" Несанкционированная сторона вывела около $70 млн цифровых активов с платежной платформы с открытым исходным кодом UPCX, согласно предупреждению безопасности, выпущенному 1 апреля.
Компания блокчейн-безопасности Cyvers отметила подозрительную активность с участием 18,4 млн токенов UPC, оценив стоимость скомпрометированных средств в $70 млн.
Cyvers сообщила, что кто-то получил доступ к адресу UPCX и обновил его контракт ProxyAdmin. Затем злоумышленник выполнил функцию, которая позволяет администраторам выводить средства, что привело к переводу средств с трех разных счетов управления.
На момент написания материала украденные токены не были обменены на другие криптоактивы.
Цена UPC упала на 7% после несанкционированного перевода
UPCX признала, что обнаружила «несанкционированную активность» с участием своих управленческих счетов. Команда приостановила депозиты и снятие средств для UPCX в ответ на инцидент. Она заявила, что проблема не затронула активы пользователей, и она активно расследует этот вопрос.
Цена токенов UPC упала на фоне новостей об инциденте. По данным CoinGecko, цена токенов UPC упала на 7% с максимума в $4,06 до минимума в $3,77 во время инцидента.
24-часовой график цены UPCX. Источник: CoinGecko.
Взлом UPC отражает предыдущие модели атак
В своем заявлении соучредитель и главный технический директор Cyvers Меир Долев сообщил, что, хотя первопричина атаки все еще расследуется, подобные инциденты часто возникают из-за скомпрометированных учетных данных или неисправных механизмов контроля доступа.
Долев сказал, что эти два типа уязвимостей были основной причиной потерь криптовалюты проектами Web3 в 2024 году. Руководитель сказал, что те же причины привели к потере более чем 80% от объема всех украденных средств в течение года.
Руководитель по кибербезопасности также сказал, что схема атаки была похожа на предыдущие эксплоиты.
«Этот инцидент отражает схемы атак, которые мы задокументировали в предыдущих эксплоитах, где доступ к критически важным административным ролям позволял выполнять вредоносные обновления и выкачивать средства», — сказал Долев.
Руководитель добавил, что взлом подчеркнул настоятельную необходимость усиления мер безопасности вокруг разрешений кошелька, реализаций мультиподписей и проверки транзакций перед их выполением.
Украденные в ходе инцидента 70 миллионов долларов более чем вдвое превышают сумму, потерянную в предыдущем месяце. В марте объем украденной результате взломов криптовалюты составил 33 миллионов долларов.
