资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
去中心化社交平台UXLink遭遇多重签名钱包漏洞攻击
周三,去中心化社交平台UXLink宣布在以太坊主网部署新智能合约。此前该平台因多重签名钱包漏洞导致攻击者铸造了数十亿未经授权的代币,致使其原生资产价值暴跌。UXLink表示,新合约已通过安全审计,并取消了铸造-销毁功能以防止类似事件再次发生。
攻击事件细节
本周二,UXLink确认遭受安全漏洞攻击,大量加密货币被转移至交易所。关于损失金额的估算存在差异:网络安全公司Cyvers Alerts估计至少1100万美元被盗,而Hacken则认为损失超过3000万美元。事件导致UXLINK代币价格从0.33美元暴跌90%至0.033美元,攻击者最终铸造了近10万亿枚代币。
安全专家深度剖析
Web3安全公司FearsOff联合创始人兼CEO Marwan Hachem指出,此次漏洞源于多重签名钱包中的委托调用(delegate call)漏洞,使得攻击者能执行任意代码并接管合约管理权限。"这暴露出UXLink架构中的设计缺陷:未对多重签名钱包实施充分的委托调用防护,铸造权限管控松散,且未内置供应量上限代码。"
Hachem强调,事件揭示了所谓"去中心化"项目中过度集中控制权的风险,"即使像多重签名这种常用工具也不应被视为万无一失"。
防范措施建议
技术层面防护
Hachem提出三项核心防护方案:
1. 对代币铸造、合约所有权变更等敏感操作设置24-48小时时间锁
2. 代币发行后立即放弃铸造权限
3. 在智能合约中硬编码供应量上限
运营管理改进
除技术方案外,Hachem特别强调持续透明化运营的重要性:"不能仅审计代币合约,多重签名配置同样需要独立审查。"他建议项目方应公开钱包地址,并要求每笔交易需多方签名确认。
最后Hachem总结道:"UXLink事件表明,缺乏持续稳固的安全建设会摧毁社区信任。项目方应从初始阶段就建立多层防御体系,同时推动关键功能的去中心化治理和紧急制动机制。"
