4月1日下午9:42更新:本文已更新,添加了Cyvers联合创始人兼首席技术官Meir Dolev的评论。
根据星期二(4月1日)发布的安全警报,某未经授权方从开源支付平台UPCX提取了约7000万美元的数字资产。
区块链安全公司Cyvers发现涉及1840万枚UPC代币的可疑活动,并估算被盗资金价值约为7000万美元。
Cyvers表示,有人访问了UPCX地址并升级了其ProxyAdmin合约。攻击者随后执行了一个允许管理员提取资金的功能,导致资金从三个不同的管理账户中被转移。
在撰写本文时,被盗代币尚未被兑换为其他加密资产。
Cointelegraph联系了UPCX寻求评论,但没有收到即时回应。
UPC价格在未经授权转移后下跌7%
UPCX承认其管理账户中已检测到“未经授权的活动”。团队在事件发生后暂停了UPCX的存款和取款。它表示用户资产未受该问题影响,并正在积极调查此事。
事件消息传出后,UPC代币价格下跌。据CoinGecko数据显示,UPC代币价格下跌了7%,从事件期间的最高点4.06美元跌到了最低3.77美元。
UPCX 24小时价格图表。来源:CoinGecko
UPC遭遇的黑客攻击模式与以往类似
在声明中,Cyvers联合创始人兼首席技术官Meir Dolev告诉Cointelegraph,虽然攻击的根本原因仍在调查中,但这些类型的事件通常源于凭证被泄露或访问控制机制存在缺陷。
Dolev告诉Cointelegraph,这两种漏洞都是2024年Web3领域损失的主要原因。他指出,这些问题占全年被盗资金的比例超过80%。
这位网络安全负责人还表示,攻击模式与之前的漏洞类似。Dolev告诉Cointelegraph:
“这一事件的模式与我们在此前记录的漏洞中看到的类似,关键的管理角色被访问,从而导致恶意升级和资金被盗。”
他补充道,此次黑客攻击凸显了在钱包权限、多签名实施以及运行时交易验证方面加强安全性的紧迫需求。
这次事件中被盗的7000万美元将使上个月损失的金额翻倍。3月份,因黑客攻击被盗的加密货币仅为3300万美元。