هک UXLink و سقوط 90 درصدی قیمت ارز UXLink

پلتفرم اجتماعی غیرمتمرکز UXLink روز چهارشنبه اعلام کرد که قرارداد جدیدی بر روی شبکه اتریوم مستقر کرده است. این اقدام پس از آن صورت گرفت که نفوذگران با استفاده از یک کیف‌پول چندامضایی موفق شدند میلیاردها توکن بدون مجوز را تولید کنند و ارزش دارایی بومی این پلتفرم را کاهش دهند.

UXLink اعلام کرد که قرارداد هوشمند جدید آن پس از گذراندن بررسی‌های امنیتی مستقر خواهد شد و با حذف قابلیت ضرب-سوخت به منظور جلوگیری از وقوع مجدد چنین حوادثی، طرح جدیدی را ارائه کرده است.

این پروژه روز سه‌شنبه تایید کرد که یک حمله گسترده منجر به انتقال مقدار قابل توجهی از رمزارزها به صرافی‌ها شده است. برآوردهای مختلفی از میزان خسارات این هک وجود دارد؛ Cyvers Alerts تخمین می‌زند که حداقل 11 میلیون دلار به سرقت رفته است، در حالی که Hacken این رقم را بیش از 30 میلیون دلار اعلام کرده است.

آنچه واضح است، این حادثه نقص‌های امنیتی قراردادهای هوشمند را برجسته کرد که باید توسط پروژه‌ها مورد توجه قرار گیرد. مارون حاجم، هم‌بنیان‌گذار و مدیر عامل شرکت امنیتی Web3 FearsOff به کوین تلگراف اعلام کرد که این حادثه نشان‌دهنده خطرات پیشروی بیش از حد بدون لایه‌های امنیتی لازم است.

ریسک‌های کنترل متمرکز در رخنه UXLink

نفوذگران با استفاده از رخنه در کیف‌پول چندامضایی Control UXLink کنترل قرارداد هوشمند این پروژه را به دست گرفتند و ابتدا 2 میلیارد توکن UXLINK تولید کردند. قیمت UXLINK با ادامه روند ضرب توکن توسط نفوذگر، 90 درصد کاهش یافت و از 0.33 دلار به 0.033 دلار رسید، به طوری که Hacken برآورد می‌کند تقریباً 10 تریلیون توکن ایجاد شده است.

حاجم به کوین تلگراف گفت که این رخنه به دلیل وجود نقص در تماس‌های نماینده در کیف‌پول چندامضایی UXLink بوده است. این نقص به هکر اجازه داد تا کدهای دلخواه را اجرا کند و کنترل مدیرانه قرارداد را به دست بگیرد و منجر به تولید توکن‌های بدون مجوز شود.

حاجم افزود: این واقعه نواقص طراحی در سیستم UXLink را به وضوح نشان می‌دهد، از جمله عدم محافظت مناسب کیف‌پول چندامضایی در برابر سوءاستفاده نماینده، کنترل ضعیف بر روی شخصی که می‌تواند توکن‌ها را ضرب کند و نبود کد داخلی برای اعمال سقف عرضه.

حاجم بیان کرد که در نهایت این واقعه نشان می‌دهد که چقدر خطرناک است که در پروژه‌هایی که ادعای عدم تمرکز دارند، کنترل متمرکز زیادی وجود داشته باشد.

نیاز به تأخیرات زمانی، سقف‌های سخت‌افزاری و ممیزی‌های بهتر

از دیدگاه فنی، حاجم گفت هک UXLink می‌توانست با چند محافظت استاندارد اجتناب‌پذیر باشد.

این شامل اضافه کردن تأخیرات زمانی به اقدامات حساسی مانند ضرب توکن جدید یا تغییر مالکیت قرارداد است. حاجم گفت: "زمان تأخیر ۲۴ تا ۴۸ ساعته به جامعه فرصت می‌دهد تا هر چیز غیرعادی را قبل از اجرای آن شناسایی کند."

راه‌حل دوم شامل چشم‌پوشی از امتیازات ضرب توکن پس از توسعه آنها است، به طوری که حتی افراد داخلی نیز نمی‌توانند توکن‌های بیشتری تولید کنند. حاجم بیان کرد که اعمال مستقیم سقف عرضه در قراردادهای هوشمند می‌تواند از ریسک ضرب توکن‌های جدید جلوگیری کند.

از جنبه عملیاتی، حاجم بر اهمیت نظرات مستقل و شفافیت مداوم تأکید کرد.

وی گفت: "نمی‌توانید فقط قرارداد توکن را ممیزی کنید. تنظیمات چندامضایی نیز نیاز به بررسی دقیق دارد، دعوت از پروژه‌ها به انتشار عمومی آدرس‌های کیف‌پول و نیاز به چندین امضا در هر تراکنش."

به گفته حاجم، درس گسترده‌تر این است که حتی ابزارهای معمول مثل کیف‌پول‌های چندامضایی نباید به عنوان ضدگلوله در نظر گرفته شوند. وی اضافه کرد فشار برای حکمرانی بیشتر غیرمتمرکز و توقف‌های اضطراری برای عملکردهای بحرانی نیز از اهمیت بالایی برخوردار است.

حاجم به Cointelegraph گفت: "حادثه UXLink نشان می‌دهد که پیشروی بدون امنیت قوی و مستمر می‌تواند اعتماد جامعه را از بین ببرد. بهتر است از همان ابتدا لایه‌های دفاعی بیشتری ایجاد شود."