据Cointelegraph报道，Web3安全公司FearsOff的联合创始人兼首席执行官Marwan Hachem指出，在许多自称“去中心化”的项目中，过度集中控制的存在带来了显著风险。

去中心化社交平台UXLink本周三宣布，由于多签钱包遭受攻击，黑客成功铸造了数十亿未经授权的代币，导致其原生代币价格大幅下跌。平台已部署全新的以太坊（ETH）智能合约，以应对此次事件。

UXLink表示，新合约已通过安全审计，计划部署在以太坊主网上。项目方还取消了新合约中的铸币与销毁功能，以防止类似事件再次发生。

该项目周二确认了此安全漏洞，称大量加密资产已流入交易所。据Cyverse Alerts估算，黑客造成的损失至少为1100万美元；Hacken认为损失超过3000万美元。

此次事件突显出智能合约潜在的安全风险，引发了项目方的高度重视。正如Cointelegraph报道，Web3安全专家FearsOff的首席执行官Marwan Hachem表示，此次事件暴露出在缺乏充分安全措施的情况下仓促推进的风险。

UXLink漏洞揭示“中心化控制”风险

黑客利用多签钱包中的委托调用漏洞控制了UXLink的智能合约，最初铸造了20亿UXLINK代币。随着攻击持续，代币价格从每个0.33美元暴跌90%至0.033美元。安全监测公司Hacken估算，攻击者最终累计铸造了近10万亿枚代币。

据Cointelegraph报道，Hachem在采访中指出，UXLink此次被攻破的核心原因，是多签钱包中存在委托调用漏洞，使得黑客能够控制合约的执行权限，从而进行任意代码操作、接管合约管理权限，并塑造超出授权范围的代币数量。

“这暴露了UXLink架构中的设计缺陷，”Hachem表示，“多签钱包未能有效防范委托调用漏洞，缺乏对铸币权限的严格限制，也没有在合约中设置发行上限。”

Hachem强调，这一事件进一步证明了“在自称去中心化的项目中，过度依赖中心化控制是极其危险的。”

对时间锁、上限硬编码及加强审计的建议

Hachem认为，从技术角度来看，此次黑客攻击本可以通过规范的安全措施得到避免。包括在执行敏感操作（如铸币或变更合约所有权）时加入时间锁，确保有一定的延迟，让社区可以及时察觉异常行为。例如，设置24到48小时的缓冲时间，有利于提前发现问题。

第二个建议是，事后取消矿池或团队的铸币权限，避免任何内部成员可以自行创建新代币。合理的做法是在智能合约中硬编码发行总量上限，从源头防止随意铸币。

在运营层面，Hachem特别强调独立第三方的安全审查和持续的透明度。他指出：“不仅要对代币合约进行安全审计，涉及多签设置和关键权限的合约也必须严格把关。”他呼吁项目方应公开部分钱包地址，确保每次关键交易都需要多方签名确认，从源头杜绝单点失控风险。”

Hachem还指出，更广泛的经验教训是，即便是常用的多签钱包和管理工具，也不能完全保证安全。他建议推动更为去中心化的治理架构，并在关键节点设置紧急停止机制，以应对极端事件，从而显著提升整体安全水平。

他最后强调，“UXLink事件再次证明，没有坚实且持续的安全保障措施，社区的信任会受到严重打击。项目方应从一开始就建立多层次的安全防护体系。”

相关阅读：支持比特币（BTC）的民主党人Ian Calderon竞选加州州长