UXLink enfrenta ataque e implementa novo contrato na rede Ethereum para controlar danos
A plataforma social descentralizada UXLink anunciou nesta quarta-feira a implantação de um novo contrato inteligente na rede Ethereum após um ataque que explorou vulnerabilidades em sua carteira multisig, permitindo a criação não autorizada de bilhões de tokens, o que provocou um colapso no valor do ativo nativo da plataforma.
Segundo a UXLink, o novo contrato, que já passou por auditoria de segurança, será implementado na mainnet do Ethereum. O projeto eliminou a função de mint-burn para evitar incidentes similares no futuro.
O ataque, confirmado pela UXLink na terça-feira, resultou na transferência de grande volume de criptomoedas para exchanges. As estimativas das perdas variam: a empresa Cyvers Alerts calcula pelo menos US$ 11 milhões, enquanto a firma de segurança Hacken avalia danos superiores a US$ 30 milhões.
O incidente evidenciou falhas na segurança dos contratos inteligentes, com especialistas alertando para os riscos de avanços apressados sem as devidas camadas de proteção. Marwan Hachem, CEO da empresa de segurança Web3 FearsOff, destacou que a brecha explorou uma vulnerabilidade do tipo delegate call na carteira multisig do projeto, possibilitando aos hackers assumir o controle administrativo do contrato e mintar tokens sem autorização.
Além disso, Hachem apontou falhas no design do sistema de controle, como ausência de restrições rígidas sobre quem pode criar tokens e falta de mecanismos internos para limitar o fornecimento total, demonstrando o perigo de manter controle excessivamente centralizado em projetos que se intitulam descentralizados.
Na avaliação técnica, o especialista ressaltou que o problema poderia ter sido prevenido com medidas padrão de segurança, como a implementação de timelocks para ações sensíveis, por exemplo, criação de novos tokens e alteração da propriedade do contrato, permitindo uma janela de 24 a 48 horas para identificar ações suspeitas.
Outra recomendação foi a renúncia das permissões para mint após o lançamento dos tokens, e a inclusão de limites fixos de fornecimento (hard caps) diretamente no contrato inteligente para evitar mintagens excessivas. Hachem também reforçou a importância de revisões independentes completas, incluindo auditoria da carteira multisig e maior transparência com divulgação dos endereços das carteiras e exigência de múltiplas assinaturas em transações críticas.
O episódio da UXLink destaca que mesmo mecanismos amplamente adotados, como carteiras multisig, não são infalíveis e que a governança descentralizada, aliada a mecanismos de bloqueio emergenciais, é fundamental para garantir a segurança. Hachem conclui que apressar lançamentos sem fortalecer a segurança pode comprometer a confiança da comunidade, defendendo uma abordagem de múltiplas camadas de proteção desde o início do projeto.
