$74 млн исчезли, а токен растёт — абсурдный взлом UPCX
Инцидент обнажил парадокс криптомира.
Очередной инцидент с кражей криптовалюты стал доказательством того, что злоумышленники не брезгуют даже микропроектами, если появляется возможность быстрой наживы. На этот раз объектом атаки стала платёжная блокчейн-платформа UPCX, которую взломали через уязвимость в смарт-контрактах.
О первых подозрительных транзакциях сообщили специалисты Cyvers. Почти сразу после этого команда UPCX признала факт несанкционированной активности, уточнив, что дело касается их управляющего аккаунта. Однако деталей инцидента разработчики не раскрыли.
По данным Cyvers, неизвестные получили доступ к одному из криптокошельков проекта и изменили контракт ProxyAdmin. Затем атакующие запустили функцию withdrawByAdmin, которая позволила вывести 18,4 миллиона токенов UPC на общую сумму около $74 миллионов. Средства были украдены с трёх разных управляющих аккаунтов.
На фоне происшествия платформа временно приостановила ввод и вывод средств, при этом заверив, что активы клиентов якобы остались в безопасности и инцидент не повлиял на их сохранность. Команда также пообещала опубликовать обновлённую информацию позже, но с момента первоначального заявления новых комментариев не последовало.
Токен UPC относится к числу малокапитализационных активов — его текущая рыночная стоимость составляет всего $16,7 миллиона, а по данным CoinGecko, токен занимает 1 153-е место. При этом суточный торговый объём токена находится на уровне чуть более $1 миллиона. Это означает, что резкий вывод или продажа похищенных средств обрушила бы курс UPC практически мгновенно.
Примечательно, что в свободном обороте находится лишь около 0,5% всех токенов UPC. Таким образом, сумма украденных активов в 4 раза превышает капитализацию проекта, что делает ситуацию особенно абсурдной.
Несмотря на масштаб взлома, рынок отреагировал неожиданно спокойно. После кратковременного падения цены токен UPC не только отыграл потери, но и показал рост — за сутки курс увеличился на 2%. При этом остаётся неясным, кто стоит за текущей торговой активностью: не исключено, что команда UPCX сама скупает токен, чтобы поддержать цену.
Отсутствие прозрачности в происходящем и полумеры со стороны разработчиков вызывают серьёзные сомнения в устойчивости проекта. При этом инцидент снова напомнил, насколько уязвимыми остаются даже небольшие криптосистемы, особенно если они позволяют выполнять административные функции без надлежащей защиты.