フランク、PANews

9月22日、仮想通貨市場は日中の急落の影響で依然として冷え込み、夜には新たな冷え込みが生じた。

9月22日夜、SocialFiプロジェクトとして大きな期待を集めていたUXLINKがハッキング被害に遭いました。攻撃者はコントラクトの脆弱性を悪用し、プロジェクトの資金から400万ドルを盗み出し、10兆枚のトークンを発行した後、大規模なオンチェーン売却によって資金を流用し、最終的に1100万ドル以上の利益を得ました。このニュースは市場の信頼を瞬く間に失墜させ、UXLINKトークンの価格は数時間で80%以上急落し、時価総額は最高値の約1億4000万ドルから1680万ドルへと急落しました。しかし、ハッキングからわずか24時間後の9月23日夜、老舗のローンチパッドプラットフォームSeedify.fundのネイティブトークンSFUNDも影響を受けました。同社のクロスチェーンブリッジ金庫から170万ドル相当の資産が流出し、SFUNDの価格は史上最安値に急落し、時価総額は1,000万ドル以上が消失した。

2日間で、一見無関係に見える2つのプロジェクトの時価総額が、標的型ハッカー攻撃によって計1億ドル以上も吹き飛んだ。この事件は、すべての暗号資産業界と投資家に自問自答を迫った。市場の変動サイクルを超えて、コードの奥深くに潜むセキュリティ上の脆弱性こそが、暗号資産の世界に突きつけられた真のダモクレスの剣なのだろうか？

UXLINKの「Thunderbolt in the Daytime」：パーミッションをめぐる致命的なゲーム

UXLINKのクラッシュは、スマートコントラクトの権限に関する脆弱性によって引き起こされた典型的な「内部爆発」でした。事件全体は、綿密に演出されたテクノロジー犯罪映画のように、迅速かつ致命的な展開を見せました。

このインシデントの主な原因は、「マスターキー」の見落としに起因していました。分析の結果、攻撃者の最初の行動は、delegateCall関数呼び出しの実行であったことが明らかになりました。このトランザクションにより、UXLINKコントラクトから正当な管理者ロールが削除され、ハッカーが管理する新たなマルチシグネチャ所有者が追加されました。

Cyvers Alertsによると、ハッカーは完全な管理権限を獲得した後、すぐにUXLINKのトレジャリーウォレットから資産の移転を開始した。当初、盗まれた資産には約400万ドル相当のUSDT、50万ドル相当のUSDC、3.7 WBTC、25 ETHが含まれていた。この動きにより、攻撃者は即座に確実な利益を得ることができた。

その後、攻撃者は最も破壊的な段階、つまり不正なトークン発行へと突入しました。オンチェーンデータによると、攻撃者は10兆枚ものUXLINKトークンを新たに発行しました。この行為は市場の信頼を完全に失墜させました。UXLINKは複数の主要CEXに連絡を取り、取引を停止させるという迅速な対応を見せましたが、大量のトークン発行によってオンチェーン価格は暴落し、小数点以下6桁まで下落した後、ほぼゼロに戻りました。LUNAの無制限発行時と同様のシナリオが繰り返されました。

9月23日現在、オンチェーン価格によると、UXLINKの市場価値は約80米ドルでした。

事実上無制限のUXLINKトークンを武器に、攻撃者は主要な分散型取引所で組織的な売却を開始しました。状況を難読化するため、彼らは少なくとも6つの異なるウォレットを使用して、新たに発行されたUXLINKトークンをより価値の高い資産と交換しました。オンチェーン分析会社Lookonchainは、攻撃者がこれらの売却で少なくとも6,732 ETH（当時の価値で約2,810万ドル）を調達したと報告しています。しかし、ソーシャルメディアではこれらの収益の性質について意見が分かれており、UXLINKを含む複数のセキュリティ企業は1,130万ドルの損失を報告しています。

しかし、どちらの方法を用いたとしても、今回コミュニティが被った損失はより深刻です。暴落前、UXLINKの時価総額は約1億5,000万ドルでした。最安値を記録した後、中央集権型取引所に表示される時価総額は1,600万ドルまで下落し、コミュニティは約1億ドルの時価総額を失いました。

この過程で、多くのユーザーはハッカーが金庫の資産を盗んだ後に取引を止めるだろうと誤解し、安値で買いを入れようとしました。ソーシャルメディアでは、スポット購入やロング契約の建玉によって反発を狙ったものの、99%を超える損失を被ったというユーザーが多く投稿されました。90万ドル以上を投資した最大の単一アドレスは、最終的に99.8%の損失を被りました。

スタープロジェクトは暗黒時代を迎えている。UXLINKはどこへ向かうのだろうか？

攻撃の前日、UXLINKの関係者も「何か大きなことが起こる」とツイートしたが、それは予言であったことが判明した。

事件後、UXLINKの関係者は迅速に対応し、複数のCEX取引所に連絡を取り、UXLINKの取引を停止し、トークンスワップを開始すると発表しました。しかし、契約権限の回復ができなかったため、ハッカーによる数兆単位のトークン発行を阻止することはできませんでした。この深刻な打撃は、UXLINKコミュニティの信頼とエコシステムの発展に重大な課題をもたらすでしょう。

攻撃以前、UXLINKはこのサイクルで最も人気のあるプロジェクトの一つであり、特に韓国市場ではその影響力は計り知れないものでした。ソーシャルネットワーキングプラットフォームとして、UXLINKは独自の「知り合いベースのソーシャルインタラクション」とグループ構築モデルを活用し、急速に大規模なユーザーベースを構築しました。公開情報によると、このプロジェクトは多くの著名な投資家から900万ドル以上の資金を調達しています。

UXLINKは韓国をコア市場と位置付け、ローカライズされた運営とマーケティングに多大なリソースを投入し、多くの実ユーザーを獲得してきました。公式データによると、UXLINKは2024年に登録ユーザー数1,000万人を超えるという節目を達成しました。

UXLINKはその後、韓国最大の規制取引所であるUpbitへの上場に成功し、韓国の2大取引所であるUpbitとBithumbのデイリー取引ランキングで繰り返しトップを獲得しました。また、Binanceでの永久契約の開始にも成功し、世界的な影響力をさらに拡大しました。

攻撃後、UXLINKチームは新たなトークンスワッププランを策定し、スナップショットなどの手段を通じて影響を受けたユーザーに補償を提供すると発表しました。しかし、今後の道のりは依然として困難に満ちています。

最大の課題は、信頼と取引所の姿勢を再構築することです。Upbitのような法令遵守を徹底している取引所にとって、トークン経済モデルの安定性とセキュリティは、取引ペアの上場と維持において重要な考慮事項です。過去には、同様の事件により上場廃止となった前例が数多くあります。例えば、Pundi AI（PUNDIX）はハッキング被害に遭い、トークン発行量が異常に増加しました。Upbitをはじめとする韓国の法令遵守を徹底している取引所は、最終的に「時期尚早な情報開示」を理由に、このトークンの取引サポートを終了しました。

UXLINKは現在、同様の状況に直面しています。新たなトークン提案がUpbitや他の取引所に脆弱性を完全に解決し、健全な経済モデルを回復できると納得させられなければ、上場廃止の可能性が高くなります。コア市場の流動性がなければ、UXLINKの復活はさらに困難になるでしょう。

偶然にも、SFUNDの警告と業界の反省は

市場がUXLINK事件の影響をまだ消化している最中の9月23日夜、Web3プロジェクトのインキュベーションおよびローンチプラットフォームであるSeedify.fundのガバナンストークンであるSFUNDが盗難され、業界全体に再び警鐘が鳴らされた。

SFUNDの攻撃原理はUXLINKの攻撃原理と全く同じです。Specter氏の暴露によると、SFUNDのハッカーはBaseshangの権限を取得し、追加トークンを発行しました。発行可能トークンの最大数は3zi（10の24乗）でした。

その後、BSCチェーン上で100億トークンが発行され、120万ドル相当のETHで売却されました。以前の関連情報から、このハッカーは元北朝鮮のハッカー集団「セレニティ・シールド」と明確なつながりがあることが示されています。

今回の盗難額は比較的少額でしたが、市場の信頼感への影響は甚大でした。SFUNDの価格は15分以内に73%急落し、時価総額は2,700万ドルから1,100万ドルまで下落しました。このシナリオはUXLINK攻撃と非常に類似していますが、これが偶然なのか、それとも両方の攻撃が同じハッカーグループによって実行されたのかは不明です。

2件のインシデントに関する完全なセキュリティレポートはまだ公開されていませんが、そこからいくつかの知見を得ることができます。両インシデントの原因は、コントラクト権限とトークン発行の切り替えに関する問題です。

SFUNDの創設者は、警告を発する際に、契約は監査済みであり、3年間運用されていたことを強調しました。これは、監査が万能薬ではなく、定期的な監査では深刻な論理的脆弱性をすべて発見できない可能性があることを示しています。継続的なセキュリティ監査とコードレビューが不可欠です。

しかし、ユーザーには契約内容やその運用ロジックを精査する能力が欠けています。落とし穴を避けることは、もはや深遠な科学と言えるでしょう。よりシンプルなアプローチとしては、スポットコインを保有している場合でも、必要なストップロス注文を設定することで、資金を全て失う可能性のあるブラックスワンイベントを回避できるかもしれません。

第二に、この2つの事件では、多くのユーザーが幸運を期待して大きな損失を被りました。これは危険な賭けに等しい行為であり、決して推奨されません。

さらに、このプロジェクトが提案する「スナップショット・コイン・スワップ」方式は、通常、攻撃前の特定の時点でユーザーの保有資産をすべて記録し、その後新しいコインを発行して、ユーザー数に応じて償還するというものです。この方式は本質的には最後の手段であり、損失からの完全な回復を保証するものではありません。

UXLINKからSFUNDまで、わずか2日間で、コードの脆弱性がまるでドミノ倒しのようにプロジェクトの価値とエコシステムを瞬時に破壊する様子を目の当たりにしました。これは、暗号資産の闇の森において、セキュリティは常に「1」であり、ブランド、コミュニティ、時価総額はその背後にある「0」であることを改めて証明しています。セキュリティがなければ、他のすべては無意味です。プロジェクトオーナーは、コードのあらゆる行を最大限の敬意を持って扱わなければなりません。投資家は、高いリターンを追求する一方で、意思決定において潜在的なセキュリティリスクを最優先に考慮する必要があります。さもなければ、次の「0」はすぐそこまで来ているかもしれません。