据Cointelegraph报道，Web3安全公司FearsOff的联合创始人兼首席执行官Marwan Hachem指出，许多宣称实现“去中心化”的项目，其过度集中控制风险不容忽视。过度依赖中心化元素可能导致重大安全隐患，甚至危及整个生态安全。

去中心化社交平台UXLink本周三宣布，由于多签钱包遭受攻击，黑客成功铸造了数十亿未经授权的代币，导致其原生代币大幅下跌。为应对危机，平台已部署了新的以太坊（ETH）合约以修复漏洞。

UXLink表示，新的智能合约已通过安全审计，并计划部署到以太坊主链。项目方还在新合约中取消了铸造和销毁功能，以防类似攻击再次发生。

据平台透露，出现漏洞当天，已有大量加密资产流入交易所。根据Cybers Alerts的估算，黑客造成的直接损失至少达1100万美元；Hacken则估计损失超过3000万美元。这次事件突显了智能合约潜在的安全风险，促使项目方加快强化安全措施。

UXLink漏洞强调“中心化控制”风险

攻击者利用多签钱包中的委托调用漏洞，控制了UXLink智能合约，最初铸造了20亿个UXLINK代币。随着攻击持续展开，代币价格从每单位0.33美元跌至约0.033美元，降幅达90%。安全机构Hacken估算，黑客最终共铸造了接近10万亿个代币，造成巨大损失。

据Cointelegraph报道，Hachem在采访中指出：“此次漏洞源于多签钱包的委托调用缺陷，黑客成功利用这一漏洞控制了智能合约，从而进行任意代码执行，接管合约权限并非法铸币。”

他补充说：“这暴露出UXLink架构中的设计缺陷——多签钱包未能有效防范委托调用漏洞，也没有为铸币权限设置严格限制，更没有内置发行上限。”

Hachem强调，这一事件最终反映出“在宣称去中心化的项目中，过度依赖中心化控制的风险不可忽视。”

应对措施：时间锁、硬编码上限与严格的安全审计

Hachem指出，从技术角度来看，类似的攻击可以通过一些标准的安全措施有效预防：

• 设置时间锁：对敏感操作如新代币铸造或合约所有权变更施加延迟（如24至48小时），为社区提供发现异常并采取行动的时间窗口。
• 取消铸币权限：在代币发行完成后，确保内部控制者无法继续铸造新币，保障货币供应的固定或有限性。
• 设置硬性发行上限：在智能合约中直接编码最大发行量，避免随意铸币造成通胀风险。

在运营方面，Hachem强调，项目团队应持续进行独立审查，并保持高度透明。他建议项目方应公布关键钱包地址，同时所有交易操作都需要多方签名确认，以提升安全保障水平。

他还建议，除了常用的多签钱包工具外，项目方应推动更去中心化的治理机制，建立紧急停止（暂停）功能，以应对突发安全事件。这些措施有助于降低安全风险，增强用户和社区的信心。

Hachem总结道：“UXLink事件提醒我们，没有任何安全措施是绝对万无一失的，早期建立多层安全防护体系，是维护项目和社区利益的关键。持续优化安全策略，是每个区块链项目应当坚持的原则。”

相关推荐：支持比特币（BTC）的民主党人士Ian Calderon宣布参与加州州长竞选