Хакер UXLINK втратив $48 млн через фішинг після експлойту на $28 млн

• Хакер UXLINK випустив мільярди токенів, продав мільйони та обвалив вартість токена.
• Зловмисник потім втратив токени на $48 млн, ставши жертвою фішингового drain-атаки.
• UXLINK планує своп токенів та оновлення безпеки для відновлення довіри користувачів.

Проєкт UXLINK зазнав однієї з найнеординарніших атак в новітній історії Web3. Хакер, який випустив мільярди токенів і вкрав мільйони активів, зрештою втратив значну частину здобичі через фішингову аферу. Такий подвійний поворот підкреслює дві зростаючі загрози у криптовалюті: експлойти смарт-контрактів та drain-атаки на основі фішингу.

Хакери випускають мільярди токенів, продають на біржах

23 вересня UXLINK підтвердив, що зловмисники скомпрометували його мультипідписний гаманець. Вони маніпулювали дозволами, надавши собі можливість випускати токени. Протягом кількох годин було створено понад два мільярди токенів UXLINK.

Хакер швидко продав 490 мільйонів токенів через шість гаманців на децентралізованих біржах. Виручка була конвертована у 6 732 ETH, що оцінюється у $28.1 млн. Додаткові продажі відбулися на централізованих біржах, що ще більше тиснуло на ринок токена.

Експлойт підірвав довіру до проєкту. Ціна UXLINK впала більш ніж на 70%, знизившись з $0.30 до $0.09. Обвал знищив майже $70 млн ринкової капіталізації.

Біржі швидко вжили заходів для стримування наслідків. Upbit призупинив депозити UXLINK і позначив токен як актив з підвищеним торговим ризиком. Представники послалися на серйозні ризики безпеки та недоліки в розкритті інформації. Підозрілі депозити також були заморожені іншими платформами.

Попри ці дії, масовий випуск токенів серйозно порушив токеноміку UXLINK. Пропозиція в обігу стала ненадійною, що викликало заклики до екстреного свопу токенів і компенсаційного плану.

Хакер стає жертвою фішингу

Далі історія отримала неочікуваний розвиток. Блокчейн-аналітики виявили, що зловмисник потрапив у фішингову пастку. Він несвідомо підписав шкідливий контракт.

Дозвіл надав зловмисникам, пов’язаним з групою Inferno Drainer, доступ до вкрадених токенів. У двох великих транзакціях було виведено понад 542 мільйони токенів UXLINK. Втрати включали 108 мільйонів токенів на $9.7 млн та 433 мільйони токенів на $39 млн.

Inferno Drainer відомий проведенням масштабних фішингових схем у Web3. Вони використовують фейкові контракти, які виглядають легітимно. Після підтвердження такі контракти дозволяють зловмисникам виводити токени через маніпуляції з дозволами.

У цьому випадку хакер UXLINK, ймовірно, думав, що захищає кошти. Натомість він надав доступ до свого гаманця. За лічені хвилини сотні мільйонів вкрадених токенів зникли.

Іронія цієї ситуації викликала сміх у криптоспільноті. Дослідники безпеки описали ситуацію як “карму”. Багато хто відзначив, що навіть досвідчені хакери вразливі до фішингу. Інцидент підкреслив, що поширені вектори атак можуть зачепити будь-кого.

Related:

Реакція проєкту та подальші кроки

UXLINK активно працює над мінімізацією шкоди. Команда випустила термінові повідомлення, підтвердивши злам, і зв’язалася з біржами. Правоохоронні органи та служби безпеки зараз займаються моніторингом коштів і пошуком шляхів відшкодування.

Представники заявили, що більшість вкрадених активів заморожено. Також оголошено плани щодо свопу токенів для компенсації постраждалих користувачів. Важливо, що атака не скомпрометувала індивідуальні гаманці користувачів.

Проєкт зазначив, що його головний пріоритет — відновлення довіри спільноти. Додаткові заходи безпеки включають покращений контроль мультипідпису та зберігання на апаратних гаманцях. Ці заходи мають запобігти подібним інцидентам у майбутньому.

Однак подвійна атака залишає тривалі побоювання. Експлойт з випуском токенів виявив слабкі місця в авторизаціях контрактів. Фішинговий поворот показав, що навіть зловмисники можуть стати жертвами.

Публікація UXLINK Hacker Loses $48M to Phishing After $28M Exploit вперше з’явилася на Cryptotale.