Web3-платформа UXLINK подверглась взлому — хакер получил доступ к мультиподписному кошельку и вывел крупный объём токенов. Команда проекта подтвердила инцидент, заявив, что большое количество UXLINK было незаконно переведено на CEX и DEX. Сейчас ведётся сотрудничество с биржами для блокировки депозитов.
По данным Lookonchain, злоумышленник завладел 490 млн UXLINK и дополнительно выпустил 2 млрд токенов. Cyvers предполагает, что для атаки использовалась функция delegateCall — она позволила отозвать права администратора и назначить нового. Ущерб оценивается в $4 млн USDT, $500 тыс. в USDC, 3,7 WBTC и 25 ETH. Часть активов уже конвертирована.
Один из адресов, предположительно связанный с хакером, вывел 10 млн UXLINK и начал их обмен. С DEX было получено 6732 ETH ($28,1 млн). При этом сам злоумышленник, возможно, стал жертвой фишинга — один из адресов потерял 542 млн UXLINK ($48 млн).
Команда UXLINK сообщила о взломе в правоохранительные органы и заверила, что большая часть токенов уже заморожена. Пользователям рекомендовано воздержаться от торговли на DEX. По последним данным, злоумышленник продолжает эмиссию токенов.
Несмотря на принятые меры, курс UXLINK обвалился с $0,3 до $0,09.
*delegateCall — это функция в Ethereum-смарт-контрактах, позволяющая одному контракту выполнять код другого, но в контексте своего хранилища. Это мощный инструмент, но при неправильной реализации — опасный.
источник
уникальность
