去中心化社交平台UXLink周三宣布,因多簽錢包遭受攻擊,攻擊者鑄造了數十億未經授權的代幣,導致其原生代幣價值大幅下跌,平台已部署新的以太坊(ETH)合約。
UXLink表示,新的智能合約已經通過安全審計,項目方計劃將其部署在以太坊主網。項目方表示,已在新合約中取消鑄造和銷毀功能,以防止類似事件再次發生。
該項目週二稱,已確認此次安全漏洞,大量加密貨幣已流入交易所。據Cyvers Alerts估算,黑客造成的損失至少為1100萬美元;Hacken則認為損失超過3000萬美元。
此次事件凸顯了智能合約存在的安全隱患,項目方亟需引起重視。據Cointelegraph報導,Web3安全公司FearsOff聯合創始人兼首席執行官Marwan Hachem表示,此事件突顯了缺乏必要安全層時倉促推進的風險。
UXLink漏洞凸顯“中心化控制”風險
攻擊者利用多簽錢包漏洞控制了UXLink智能合約,最初鑄造了20億UXLINK代幣。隨著攻擊者不斷鑄幣,代幣價格從0.33美元暴跌90%至0.033美元。安全公司Hacken估算,攻擊者最終共計鑄造了近10萬億枚代幣。
據Cointelegraph報導,Hachem在接受採訪時表示,UXLink此次漏洞源於多簽錢包存在委託調用漏洞,使黑客能夠控制智能合約。這使黑客能夠執行任意代碼,接管合約管理權限,並進而進行未經授權的代幣鑄造。
“這確實暴露了UXLink架構中的一些設計缺陷,”Hachem表示,“多簽錢包未能有效防範委託調用漏洞,對鑄幣權限缺乏嚴格限制,且未內置發行上限的代碼。”
Hachem指出,這一事件最終說明了“在聲稱去中心化的項目中,過度保留中心化控制的風險。”
對時間鎖、硬編碼上限及更嚴格審計的需求
Hachem認為,從技術角度來看,UXLink黑客事件本可通過標準防護措施避免。
包括為鑄造新代幣或更改合約所有權等敏感操作設置時間鎖。Hachem表示,“24至48小時的延遲能讓社區在操作前發現異常。”
第二項措施是代幣發行後撤銷鑄幣權限,確保內部人員無法再創建新代幣。Hachem指出,在智能合約中直接設置發行上限,可以防止隨意鑄造新代幣。
在運營層面,Hachem強調獨立審查和持續透明的重要性。
他說,“不能只審計代幣合約,多簽設置也要嚴格把關。”他並呼籲項目方公開錢包地址,且每筆交易都需多方簽名。
Hachem認為,更廣泛的經驗教訓是,即便常用工具如多簽錢包,也不應被視為絕對安全。他建議推動更去中心化的治理,同時為關鍵功能設置緊急停止機制,以提升整體安全性。
Hachem表示,“UXLink事件表明,缺乏堅實且持續的安全保障會嚴重打擊社區信心。項目方應從一開始就建立多重安全防護措施。”