Le 23 septembre, un grave incident de sécurité a choqué la communauté des cryptoactifs. Le projet UXLINK a subi une attaque majeure en raison de la fuite de la clé privée de son portefeuille à signatures multiples, entraînant une perte énorme de plus de 11,3 millions de dollars. Cet événement a de nouveau suscité une réflexion approfondie sur la gestion de la sécurité des projets blockchain.

La racine de l'événement réside dans la modification des permissions de signature multiple du contrat du projet. L'attaquant a réussi à se définir comme le seul signataire, obtenant ainsi un contrôle total sur le contrat. En utilisant cette autorité, l'attaquant a mené une série d'opérations soigneusement planifiées.

Les attaquants ont d'abord émis massivement des jetons UXLINK par cinq opérations. Ensuite, ils ont habilement utilisé plusieurs adresses pour échanger des jetons, transférer des fonds et effectuer des opérations inter-chaînes, pour finalement convertir leurs gains illégaux en cryptoactifs majeurs tels qu'Ethereum (ETH) et Dai (DAI).

En suivant le flux des fonds, nous avons découvert que sur le réseau Arbitrum, environ 904 000 USDT ont été échangés contre de l'ETH et transférés vers d'autres chaînes. Sur le réseau principal d'Ethereum, les actifs volés comprennent une grande quantité de USDT, USDC, ETH et WBTC, ces actifs étant finalement concentrés sur quelques adresses spécifiques.

Il est à noter qu'à ce jour, tous les fonds volés sont toujours stockés sur des adresses contrôlées par les attaquants. Beosin Trace a déjà mis ces adresses sur liste noire et continue de surveiller. Cela laisse une lueur d'espoir pour une éventuelle récupération d'actifs.

Cet événement souligne l'importance extrême de la gestion des clés privées des portefeuilles à signatures multiples dans le domaine de la finance décentralisée (DeFi). Il rappelle à nouveau aux professionnels du secteur que même un mécanisme à signatures multiples considéré comme relativement sûr peut devenir une porte d'entrée pour les attaquants si la gestion des clés privées est mal faite.

Avec le développement continu de la technologie Blockchain, des événements de sécurité similaires pourraient continuer à se produire. Par conséquent, les équipes de projet doivent constamment améliorer les mesures de sécurité, et les investisseurs doivent également rester vigilants et choisir prudemment leurs objets d'investissement. En même temps, l'ensemble de l'industrie doit établir des mécanismes d'audit de sécurité plus solides afin de protéger au maximum la sécurité des actifs des utilisateurs.

Cet incident sera sans aucun doute un cas important dans le domaine de la sécurité du Blockchain, incitant davantage de projets à réévaluer leurs stratégies de sécurité et à faire progresser l'ensemble de l'industrie vers une direction plus sûre et plus fiable.