La plataforma social descentralizada UXLink anunció el miércoles que había implementado un nuevo contrato de Ethereum después de que una vulnerabilidad en un monedero multifirma permitiera a los atacantes acuñar miles de millones de tokens no autorizados y hundir el valor de su activo nativo.
UXLink afirmó que su nuevo contrato inteligente había superado una auditoría de seguridad y que se implementaría en la mainnet de Ethereum. El proyecto señaló que el nuevo contrato había eliminado la función de acuñación y quema para evitar incidentes similares en el futuro.
El proyecto confirmó la brecha el martes, indicando que se transfirió una cantidad significativa de criptomonedas a exchanges. Las estimaciones de las pérdidas por el hackeo varían: Cyvers Alerts calcula que se robaron al menos 11 millones de dólares, mientras que Hacken sitúa la cifra en más de 30 millones.
Lo que está claro es que el incidente ha puesto de manifiesto las deficiencias de seguridad de los contratos inteligentes que los proyectos deben abordar. Marwan Hachem, cofundador y CEO de la empresa de seguridad Web3 FearsOff, declaró a Cointelegraph que el incidente ha puesto de relieve los riesgos de precipitarse sin las capas de seguridad necesarias.
El exploit de UXLink pone de relieve los riesgos del "control centralizado"
Los atacantes tomaron el control del contrato inteligente de UXLink a través de una brecha en el monedero multifirma e inicialmente acuñaron 2.000 millones de tokens UXLINK. El precio del token cayó un 90%, de 0,33 a 0,033 dólares, a medida que el atacante continuaba acuñando, y la empresa de seguridad Hacken estima que se crearon casi 10 billones de tokens.
Hachem explicó a Cointelegraph que la brecha de UXLink proviene de una vulnerabilidad de llamada delegada en su monedero multifirma. Esto permitió al hacker ejecutar código arbitrario y hacerse con el control administrativo del contrato. Añadió que esto condujo a la acuñación de tokens no autorizados.
"Esto realmente pone de relieve algunos defectos de diseño en la configuración de UXLink", explicó Hachem a Cointelegraph. "Un monedero multifirma que no estaba debidamente protegido contra los exploits de llamadas delegadas, controles laxos sobre quién podía acuñar y ningún código integrado para hacer cumplir el límite de suministro".
Hachem dijo que, al fin y al cabo, esto demuestra lo arriesgado que es "mantener un control demasiado centralizado en proyectos que dicen ser descentralizados".
La necesidad de bloqueos temporales, límites codificados y mejores auditorías
Desde un punto de vista técnico, Hachem afirmó que el hackeo de UXLink se podría haber evitado con unas pocas medidas de seguridad estándar.
Esto incluye añadir bloqueos temporales a acciones sensibles como la acuñación de nuevos tokens o el cambio de propiedad de los contratos. "Un retraso de 24 a 48 horas da a la comunidad la oportunidad de detectar cualquier cosa inusual antes de que se lleve a cabo", afirmó Hachem.
La segunda solución consiste en renunciar a los privilegios de acuñación una vez que se lanzan los tokens, de modo que ni siquiera los iniciados puedan crear más. Hachem afirmó que la codificación fija de los límites de suministro directamente en los contratos inteligentes evitaría el riesgo de que se acuñaran nuevos tokens.
En el aspecto operativo, Hachem destacó la importancia de las revisiones independientes y la transparencia continua.
"No basta con auditar el contrato del token. La configuración multifirma también debe ser objeto de escrutinio", afirmó, instando a los proyectos a hacer públicas las direcciones de los monederos y a exigir múltiples firmantes en cada transacción.
Según Hachem, la lección más amplia es que ni siquiera las herramientas de uso común, como los monederos multifirma, deben considerarse infalibles. Afirmó que también es de suma importancia impulsar una gobernanza más descentralizada y paradas de emergencia para las funciones críticas.
"El incidente de UXLink pone de relieve que precipitarse sin una seguridad sólida y continua puede destrozar la confianza de la comunidad. Es mejor reforzar las defensas desde el principio", declaró Hachem a Cointelegraph.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.