विकेंद्रीकृत सामाजिक मंच Uxlink ने बुधवार को कहा कि यह एक नए एथेरियम अनुबंध को तैनात कर रहा था, एक मल्टीसिग्नेचर वॉलेट शोषण के बाद हमलावरों ने अरबों अनधिकृत टोकन को टकराने और अपनी मूल संपत्ति के मूल्य को दुर्घटनाग्रस्त कर दिया।

Uxlink कहा इसके नए स्मार्ट कॉन्ट्रैक्ट ने एक सुरक्षा ऑडिट पारित किया था और इसे Ethereum Mainnet पर तैनात किया जाएगा। परियोजना ने कहा कि नए अनुबंध ने भविष्य में किसी भी समान घटनाओं को रोकने के लिए मिंट-बर्न फ़ंक्शन को गिरा दिया।

परियोजना ने मंगलवार को उल्लंघन की पुष्टि करते हुए कहा कि क्रिप्टो की एक महत्वपूर्ण राशि थी आदान -प्रदान में स्थानांतरित किया गया। हैक से नुकसान का अनुमान अलग -अलग होता है, साइवर अलर्ट के साथ इसका अनुमान लगाया जाता है देखा कम से कम $ 11 मिलियन चोरी, और चॉप रखने $ 30 मिलियन से अधिक का आंकड़ा।

यह स्पष्ट है कि इस घटना ने स्मार्ट कॉन्ट्रैक्ट सिक्योरिटी खामियों को उजागर किया है जो परियोजनाओं को संबोधित करना चाहिए। वेब 3 सिक्योरिटी फर्म फर्मसॉफ के सह-संस्थापक और सीईओ मारवान हेकम ने कॉइनलेग्राफ को बताया कि इस घटना ने आवश्यक सुरक्षा परतों के बिना आगे बढ़ने के जोखिमों को उजागर किया।

Uxlink शोषण “केंद्रीकृत नियंत्रण” जोखिमों पर प्रकाश डालता है

हमलावरों ने एक मल्टीसिग्नेचर वॉलेट ब्रीच के माध्यम से Uxlink के स्मार्ट कॉन्ट्रैक्ट पर नियंत्रण कर लिया और शुरू में 2 बिलियन Uxlink टोकन का खनन किया। टोकन की कीमत 90% घटकर $ 0.33 से $ 0.033 हो गई, क्योंकि हमलावर ने टकसाल जारी रखा, सुरक्षा फर्म हैकन ने लगभग 10 ट्रिलियन टोकन का अनुमान लगाया था।

हेकम ने Cointelegraph को बताया कि Uxlink Breach अपने मल्टीसिग्नेचर वॉलेट में एक प्रतिनिधि कॉल भेद्यता से आया था। इसने हैकर को मनमानी कोड चलाने और अनुबंध के प्रशासनिक नियंत्रण को संभालने की अनुमति दी। उन्होंने कहा कि इससे अनधिकृत टोकन की खनन हुआ।

“यह वास्तव में Uxlink के सेटअप में कुछ डिज़ाइन खामियों को स्पॉटलाइट करता है,” Hachem ने Cointelegraph को बताया। “एक मल्टीसिग्नेचर वॉलेट जो डेलिगेट कॉल कारनामों से ठीक से परिरक्षित नहीं किया गया था, जो कि आपूर्ति कैप को लागू करने के लिए टकसाल और कोई अंतर्निहित कोड नहीं कर सकता है, इस पर नियंत्रण करता है।”

हेकम ने कहा कि इससे पता चला कि यह “उन परियोजनाओं में बहुत अधिक केंद्रीकृत नियंत्रण रखने के लिए कितना जोखिम भरा था जो विकेंद्रीकृत होने का दावा करते हैं।”

संबंधित: Crypto.com का कहना है कि अघोषित उपयोगकर्ता डेटा लीक ‘निराधार’ की रिपोर्ट

Timelocks, हार्डकोड कैप और बेहतर ऑडिट की आवश्यकता

एक तकनीकी दृष्टिकोण से, हेकम ने कहा कि Uxlink हैक को कुछ मानक सुरक्षा उपायों से बचा जा सकता था।

इसमें नए टोकन को टकराना या अनुबंध स्वामित्व को बदलने जैसे संवेदनशील कार्यों में टाइमलॉक जोड़ना शामिल था। “एक 24 से 48-घंटे की देरी से समुदाय को कुछ भी असामान्य रूप से हाजिर करने का मौका मिलता है, इससे पहले कि यह गुजरता है।”

दूसरे समाधान में टोकन लॉन्च होने के बाद एक बार टकसाल विशेषाधिकारों का त्याग करना शामिल था, ताकि अंदरूनी सूत्र भी अधिक नहीं बना सकें। हेकम ने कहा कि स्मार्ट कॉन्ट्रैक्ट पर सीधे हार्ड-कोडिंग सप्लाई कैप नए टोकन के जोखिमों को टकराएगा।

परिचालन पक्ष पर, हेकम ने स्वतंत्र समीक्षाओं और चल रही पारदर्शिता के महत्व पर जोर दिया।

उन्होंने कहा, “आप सिर्फ टोकन अनुबंध का ऑडिट नहीं कर सकते। मल्टीसिग सेटअप को भी जांच की आवश्यकता है,” उन्होंने कहा, बटुए पते को सार्वजनिक करने के लिए परियोजनाओं से आग्रह किया और हर लेनदेन पर कई हस्ताक्षरकर्ताओं की आवश्यकता होती है।

हेकम के अनुसार, व्यापक पाठ यह था कि आमतौर पर मल्टीसिग वॉलेट जैसे उपकरणों को भी बुलेटप्रूफ के रूप में नहीं माना जाना चाहिए। उन्होंने कहा कि अधिक विकेंद्रीकृत शासन के लिए जोर देना और महत्वपूर्ण कार्यों के लिए आपातकालीन स्टॉप भी अत्यधिक महत्व के थे।

“Uxlink की घटना पर प्रकाश डाला गया है कि ठोस और चल रही सुरक्षा के बिना आगे बढ़ना समुदाय के आत्मविश्वास को चकनाचूर कर सकता है। शुरू से बचाव के लिए बेहतर है,” Hachem ने Cointelegraph को बताया।