Команда UPCX официально подтвердила факт внутреннего инцидента, затронувшего один из административных аккаунтов платформы. В качестве превентивной меры временно приостановлены все депозиты и выводы средств, при этом, как подчёркивается в заявлении, пользовательские балансы не пострадали.
Ведущая аналитическая фирма Cyvers провела технический аудит происходящего и обнаружила серию подозрительных транзакций, в ходе которых злоумышленник получил доступ к функции withdrawByAdmin в рамках контракта ProxyAdmin. Это позволило ему вывести 18,4 млн UPC — около $70 млн.
Токены в настоящий момент остаются на одном адресе, и ни один из них не был обменян или отправлен на централизованные биржи. Это свидетельствует о возможной отсроченной атаке либо о попытке разбирательства до конвертации активов.
UPCX продолжает расследование и обещает предоставить полную картину инцидента в ближайшее время. Вопросы админ-доступа и архитектуры прокси-контрактов вновь оказались в центре обсуждений безопасности Web3.
