UXLinkの脆弱性は、マルチシグウォレットの侵害によって攻撃者が何十億もの無許可UXLINKトークンを発行できてしまい、価格が暴落。これを受けて新たな監査済みイーサリアム契約が導入されました。即時対応として、タイムロック設定、供給上限のコード化、ミント権限の放棄、独立監査など再発防止策が実施されています。
-
マルチシグの侵害により大量のミントが可能となり、UXLINKの価値が激減。
-
プロジェクトは新たに監査済みのイーサリアム契約を展開し、ミント・バーン機能を削除。
-
被害額は約1100万ドルから3000万ドル超と推定されており、セキュリティ強化が推奨される。
UXLink脆弱性の概要:マルチシグ侵害、推定被害額、新契約の修正点と実践的なスマートコントラクト強化策。プロジェクトは今すぐトークンの安全確保を。
FearsOff CEOのマルワン・ハシェム氏は、この事件は分散型を謳うプロジェクトにおける中央集権的管理のリスクを示していると述べています。
分散型ソーシャルプラットフォームのUXLinkは、水曜日にマルチシグウォレットの脆弱性を突かれ何十億もの無許可トークンがミントされ、ネイティブトークンの市場価値が崩壊したことを受け、新たなイーサリアム契約を展開したと発表しました。
UXLinkは新スマートコントラクトがセキュリティ監査に合格し、イーサリアムメインネットで稼働予定であることを確認。置き換え契約ではミント・バーン機能が削除され、任意の供給拡大リスクを排除しています。
プロジェクトは火曜日に侵害を公表し、かなりの量の暗号資産が取引所へ移動されたと伝えました。被害推定額は情報源により異なり、Cyvers Alertsは少なくとも1100万ドルの盗難を報告。一方でセキュリティ企業Hackenは3000万ドル超の損失と試算しています。
出典: UXLink
UXLinkの脆弱性とは何で、何が起きたのか?
UXLinkの脆弱性はマルチシグウォレットの侵害であり、攻撃者はdelegate callの脆弱性を悪用して管理権限を奪い、何十億ものUXLINKをミント。結果としてトークン価格は約90%下落し、0.33ドルから0.033ドルへ暴落しました。
攻撃者はどうやってマルチシグウォレットの制御を奪ったのか?
専門家の分析によると、マルチシグの設定内でdelegate callの脆弱性を突いたことが原因です。この弱点により任意コードの実行が可能となり、本来の署名者制御を回避して不正なミントや管理操作が行われました。
推定される被害額や影響はどの程度か?
推定額は情報源で異なり、Cyvers Alertsは最低でも1100万ドルの盗難を報告。セキュリティ会社Hackenは3000万ドル超の損失を推定しています。攻撃者は初めに約20億UXLINKをミントし、場合によっては最大で10兆トークン近くまで発行したとされ、市場は大幅なクラッシュに見舞われました。
なぜこの失敗が起き、どんな防御策が不足していたのか?
FearsOffの専門家マルワン・ハシェム氏は、設計上の欠陥を指摘しています。delegate call脆弱性に耐性のないマルチシグウォレット、甘いミント制御、コードで強制されていない供給上限。これらの欠陥がマルチシグの侵害で中央権限の悪用を招きました。
同様の攻撃を防ぐにはどうしたらよいか?
技術的・運用的な対策がリスク軽減に不可欠です:
- タイムロックを導入する:敏感な処理に24〜48時間の遅延を設け、異常をコミュニティが発見できるようにする。
- 供給上限をコードに組み込む:スマートコントラクト内に最大供給量を明記して、不正なミントを防止する。
- ミント権限を放棄する:ローンチ後にミンター権限を削除し、内部関係者による後の不正ミントを防ぐ。
- マルチシグ設定を監査する:マルチシグと関連するdelegate callを、トークン契約と同様に徹底監査する。
- 署名者情報の透明性を確保する:ウォレットアドレスを公開し、複数かつ独立の署名者を割り当てる。
- 緊急停止機能を実装する:重要処理に対して一時停止や非常停止機能を備える。
侵害発覚後、プロジェクトは即座にどう対処すべきか?
対応策としては、可能な限り侵害対象のコントラクトを凍結、取引所と連携し疑わしい入金を警戒(連絡先があれば)、詳細なポストモーテムを公開、監査済みの新契約を展開し、透明かつ迅速なコミュニケーションでコミュニティの信頼回復に努めることが挙げられます。
よくある質問
攻撃中に何枚のUXLINKがミントされたのか?
初報では約20億枚がミントされたとされますが、セキュリティ企業によっては、攻撃の実行方法によって最大で約10兆枚に上るとの推計もあります。
タイムロックや供給上限だけでミント攻撃を完全に防げる?
タイムロックと供給上限はリスクを大幅に軽減しますが、安全なマルチシグ設定、独立監査、運用の透明性と組み合わせて、堅牢な多層防御を構築する必要があります。
重要ポイントまとめ
- UXLink脆弱性:マルチシグのdelegate call脆弱性が大量ミントと価格暴落を招いた。
- 技術的修正:監査済み契約の展開、ミント機能の除去、供給上限のコード組み込みは不可欠。
- 運用上のベストプラクティス:タイムロック、権限放棄、独立監査、透明なガバナンスがセキュリティと信頼を再確立する。
結論
UXLinkの攻撃事例は、単一のマルチシグ脆弱性がトークンエコシステム全体を揺るがす可能性を示しています。スマートコントラクトの堅牢なセキュリティ対策、タイムロック、コードによる供給制限、継続的な監査の実施がプロジェクトとコミュニティを守る鍵です。COINOTAGは多層防御の導入と、侵害後の明確かつ具体的な対応策の公開を強く推奨します。
公開日:2025-09-24 | 更新日:2025-09-24 | 著者:COINOTAG
