UPCX, un servizio di pagamento Web3, ha subito un grave attacco informatico e ha perso 70 milioni di dollari in token UPC quando un utente non autorizzato ha effettuato l'accesso ai token da uno smart contract. Gli sviluppatori sono venuti a conoscenza dell'hacking quando hanno notato diverse transazioni sospette uscire dai portafogli dei loro progetti.
L'hacker ha prima avuto accesso agli indirizzi del progetto e poi ha potenziato l'attacco utilizzando il contatto ProxyAdmin, ritirando 18,4 milioni di token UPC, per un totale di 70 milioni di dollari. L'hacker ha utilizzato la funzione ritiroByAdmin per trasferire una somma così elevata dal portafoglio UPCX dello sviluppatore.
Meir Dolev, co-fondatore di Cyvers, ha affermato che l'exploit aveva tutte le caratteristiche chiave di un attacco Web3, comprese credenziali compromesse e procedure di controllo degli accessi errate. Questi problemi hanno rappresentato l’80% delle violazioni Web3 nel 2024. Dolev suggerisce che gli sviluppatori utilizzino meglio autorizzazioni e firme multiple per controllare l’accesso.
UPCX stava espandendo il suo mercato nel sud-est asiatico e aveva un portafoglio e una rete principale nativi. Era un progetto relativamente nuovo ed era ancora in fase di sviluppo attivo. Tuttavia, il token faceva molto affidamento su Ethereum, utilizzando la blockchain per costruire i suoi contratti intelligenti. Dopo l'hacking, molti possessori di UPCX hanno venduto i loro token, effettuando di fatto una corsa agli sportelli. UPCX è stato scambiato su MEXC e Gate.io.
UPCX è un sistema di pagamento open source che utilizza una blockchain per fornire servizi paragonabili alle transazioni con carta di credito, ovvero scalabilità e velocità delle transazioni. Le funzionalità UPCX includono le risorse emesse dall'utente (UIA) e le risorse ancorate al mercato (MPA) per semplificare il trasferimento delle risorse. Il token mira inoltre a creare tassi di regolamento più rapidi e un servizio di rimesse.
Il progetto ha utilizzato contratti intelligenti per abilitare varie funzioni di rimessa, come la pianificazione dei pagamenti e la gestione del deposito a garanzia non custodito. UPCX stava sviluppando un SDK per sviluppatori di terze parti, un'API dedicata e un hardware punto di servizio che si integrasse con il token.
Molto probabilmente l'hacker ha preso di mira il token UPC perché il suo prezzo è recentemente aumentato vertiginosamente, raggiungendo il massimo di 5,31 dollari a marzo. Il valore del token e le falle di sicurezza presenti lo hanno reso un bersaglio attraente per gli hacker.
UPCX è distribuito su 40.000 portafogli e punta ancora ad espandere le proprie operazioni. L’anello più debole del loro progetto erano i contratti intelligenti e i portafogli di progetto, che venivano presi di mira in base alla loro dipendenza da Ethereum. Sfortunatamente per il progetto, molti possessori di UPC hanno venduto i loro token, anche se gli sviluppatori desiderano ancora mantenere il progetto. Gli hacker hanno rubato più token UPC di quelli attualmente disponibili, abbassando il prezzo del 4%.
L'hacker ha rubato cinque volte la quantità di UPC in circolazione, il che significa che se l'hacker decide di vendere, il prezzo calerà notevolmente, rendendo molto difficile trarre profitto da questo hack. L'hacker non ha spostato i fondi rubati dal nuovo indirizzo del portafoglio. Molto probabilmente l'hacker valuterà i modi per riciclare ed estrarre il denaro.