Что произошло и почему это важно

В UXLINK произошла атака на админский контур: злоумышленник получил повышенные права и смог повлиять на движение активов и выпуск токенов. Для держателей это значит два фронта действий: срочная личная безопасность кошельков и внимательное следование официальным инструкциям по миграции токена (swap). Ниже — развернутый, но понятный план действий, чтобы минимизировать риски и подготовиться к обмену на новый контракт.

Коротко: приоритеты на ближайшие дни

• Защитить свои кошельки. Отозвать лишние разрешения на списание токенов (approvals), проверить историю подключений, отключить «лишние» dApp.
• Не кликать «компенсации». Любые сайты/боты с обещанием «Claim/Refund/Airdrop за взлом» — почти всегда фишинг.
• Следить за официальными апдейтами по миграции. Будут объявлены адрес нового контракта, снапшот (фиксирование балансов), условия и окно обмена.
• Проверять статусы бирж. Перед депозитом/выводом убедитесь, что по токену нет временных ограничений или «торговых предупреждений».

Как отозвать разрешения на списание токенов (revoke)

Когда вы подключаете кошелек к dApp, он часто запрашивает «разрешение на списание» токена. После инцидента такие разрешения лучше ограничить.

• Зайдите в менеджер разрешений вашего кошелька или используемого вами агрегатора и просмотрите все активные approvals по основным сетям.
• Отзовите все разрешения, которые не нужны прямо сейчас, особенно для адресов контрактов UXLINK и связанных с ним dApp.
• Повторите процедуру на всех сетях, где вы держали токены, и на всех «рабочих» кошельках.

Базовые материалы по теме: что такое approvals и как их отзывать, self-custody: принципы безопасного хранения.

Фишинг после взломов: как не стать следующей жертвой

После громких инцидентов всплеск фишинга неизбежен: атакующие делают копии сайтов, запускают ботов и шлют «компенсации». Что делать:

• Проверяйте домены и подписи. Переходите на страницы только из закрепленных ссылок в официальных соцсетях и каналах проекта.
• Никогда не вводите seed-фразу. Ни один честный сервис не попросит сид-фразу «для компенсации/миграции».
• Подписывайте минимум. Если страницa просит «setApprovalForAll/Permit/Permit2» без понятной причины — выходите.
• Рабочий и «холодный» кошельки — отдельно. Держите «рабочий» кошелек с мелкими суммами, а основные активы — на аппаратном.

Подробно: фишинг в крипте: как распознать и не потерять средства, 2FA: базовая защита аккаунтов.

Миграция токена (swap): как это обычно устроено

Чтобы восстановить экономику токена после атаки на контракт/выпуск, команды часто делают перевыпуск (новый контракт) и обменивают старые токены на новые по снапшоту.

• Новый контракт. Публикуется адрес и настройки (отключены опасные функции, фиксированное предложение и т. п.).
• Снапшот балансов. В объявленный момент делается «фото» всех адресов и остатков — на его основе начисляют новые токены.
• Окно обмена. Определяется период, в который держатели могут завершить swap. Для депозитов на биржах часто настраивается автоматический обмен.
• Инструкции для кошельков. Владельцы на некастодиальных кошельках получают пошаговую инструкцию: как и куда подать транзакцию на обмен, какие комиссии и сроки.

Важные подсказки по swap:

• Не спешите подключать кошелек «куда попало». Дождитесь официальной ссылки и инструкций.
• Проверьте, к какому времени назначен снапшот, и успейте обезопасить адрес до этого момента (revoke, аппаратный кошелек).
• Если держите токены на CEX — посмотрите карточку актива и объявления биржи: обычно они пишут, поддерживают ли обмен и в каком режиме.

Статусы на биржах: как ими пользоваться без лишнего риска

Биржи могут вводить «торговые предупреждения», временно ограничивать ввод/вывод или менять маржинальные параметры по активу. Это делается не «против держателей», а чтобы ограничить рыночные и операционные риски в ходе инцидента и миграции.

• Проверяйте карточку токена на вашей бирже перед любой операцией (депозит/вывод/торговля).
• Избегайте маркет-ордеров в тонком стакане. Ставьте лимитные заявки с аккуратным размером.
• Не используйте плечо на «штормах»: резкие свечи и расширение спредов — обычное дело после атак.

Если вы LP/участник пула ликвидности

После атаки и до завершения миграции проверьте:

• актуален ли адрес пула и нет ли «замороженных» функций в контракте;
• не включены ли защитные режимы (пауза свапов, список блокировок адресов);
• баланс пула и цену относительно внешних орбит (биржи, оракулы) — перекос может означать риск «пылесоса».

Если вы контрагент/мерчант

Принимайте оплату только в «здоровых» токенах (после миграции). До объявления итогов — лучше временно отключить приём проблемного актива, чтобы не оказаться с невозвратными «староревизионными» токенами.

Разбор рисков админского периметра (простыми словами)

• Мультисиг — не серебряная пуля. Если мультподпись можно обойти через делегированные вызовы или апгрейдные прокси, она не спасёт. Нужны timelock, разделение ролей (владелец/казначей/апгрейд), внешние подписанты и аудит-алерты.
• Обновляемые контракты. Прокси-архитектуры удобны, но опасны. Любая «дверь» для обновления должна иметь задержку и публичное окно проверки.
• План реагирования. У команд должен быть «папка-экстренка»: шаблоны писем на биржи, список контактов, таблица «чёрных адресов», быстрые каналы связи с сообществом.

Справочно: что такое мультисиг и как он устроен, хранение у себя или у провайдера.

Правильная «гигиена» кошелька — чек-лист

• Аппаратный кошелек для хранения и отдельный «рабочий» для повседневных операций.
• Раздельные браузерные профили и расширения; минимум разрешений и подключений.
• Белые списки адресов на биржах, 2FA на почте/аккаунтах, антифишинг-код.
• Каждый крупный перевод — через пробный мини-трансфер и сверку адреса/сети.

FAQ: коротко о главном

Нужно ли «срочно» переводить токены?

Если они на вашем кошельке — сначала отзовите разрешения и дождитесь официального гайда по swap. Если на бирже — смотрите объявления: обычно CEX обрабатывают обмен автоматически.

Что будет, если пропустить окно обмена?

Команды часто оставляют дополнительное «окно» или ручную процедуру. Но лучше не тянуть: читайте анонсы и соблюдайте сроки.

Как понять, что сайт/бот — официальный?

Сверяйте домен, ссылку из закрепа официальных соцсетей и подписи транзакций. Никогда не вводите seed-фразу. Любые «компенсации» вне офканалов — почти наверняка фейк.

Итог

План прост: сначала безопасность (revoke, чистка подключений, аппаратный кошелек), затем подготовка к миграции (следить за адресом нового контракта, снапшотом, инструкциями), и только потом — торговые решения. Биржевые предупреждения служат маяками риска: проверяйте статусы перед любыми операциями. Такой порядок действий минимизирует потери и помогает спокойно пройти обмен.

Читайте также (внутренние ссылки)

• Блокчейны и масштабирование — Виталик о Base (L2): «делают правильно»
• Рынки — Dogecoin-ETF (TDOG) в списках DTCC: что это значит
• Лента новостей — свежие апдейты по рынку
• Wiki — Одобрения (approvals): как их проверять и отзывать
• Wiki — Фишинг в крипте: гайд по безопасности
• Wiki — 2FA: базовая защита аккаунтов
• Wiki — Мультисиг: плюсы и риски