9月22日,UXLINK發生了一起災難性的安全漏洞。黑客利用其多簽錢包的薄弱環節,獲取了管理員權限。區塊鏈安全公司CyversAlerts指出,檢測到涉及金額達1130萬美元的非法交易。黑客通過一個以太坊地址執行了“delegateCall”,進行了複雜操作,從而新增了一個擁有特殊權限的帳戶。
被盜資產包括:400萬美元的USDT、50萬美元的USDC、3.7枚WBTC和25枚ETH。黑客將被盜的USDT和USDC兌換成以太坊上的DAI,而在Arbitrum上的USDT則被換成ETH並轉回。UXLINK發布公告稱,他們正在與安全專家合作,查找問題根源並減輕損失,同時聯繫主要交易所凍結與本次攻擊相關的UXLINK存款,並向執法部門報案。
然而,事情並未就此結束。UXLINK的代幣供應受到了迅速衝擊。儘管Upbit等交易所凍結了價值約500到700萬美元的資產,黑客仍利用Arbitrum鑄造了10到20億枚新的UXLINK代幣,幾乎將流通量翻倍。UXLINK價格暴跌超過70%,從0.30美元跌至約0.09美元,市值瞬間蒸發約7000萬美元。
從獵人到獵物:UXLINK黑客反被釣魚
在UXLINK遭受黑客攻擊、資產被轉移和代幣被大規模增發後,事件卻出現了出人意料的反轉。成功入侵的黑客,在短時間內就遭遇了釣魚攻擊。據鏈上安全公司與多家媒體報導,該黑客在轉移並試圖處置所竊取的代幣時,疑似點擊或授權了一個惡意合約,從而觸發了釣魚行為。
最終結果是,黑客丟失了約5.42億枚UXLINK代幣,按當時市場價格折算,價值接近4800萬美元。這一“黑吃黑”的過程,也讓整個事件充滿諷刺意味。
安全研究人員指出,這次釣魚攻擊極可能與臭名昭著的 “Inferno Drainer” 有關。這是一種 draining-as-a-service(即盜資即服務) 的釣魚工具,專門誘導用戶簽署授權交易,一旦中招,攻擊者就能瞬間將受害錢包裡的代幣和NFT轉走。黑客很可能在操作中因大意誤簽,才讓自己成為新的受害者。
慢霧科技(SlowMist)聯合創始人余弦也在X上貼出兩筆交易哈希作為佐證,並調侃道:“我就說怎麼鏈上分析分析著越來越奇怪...”。
團隊緊急應對,抄底者慘遭重創
UXLink 團隊在遭受黑客攻擊後也迅速採取了多項措施以應對危機。項目方除了與多家中心化交易所(CEX)合作,凍結可疑資金,並向執法機構報案外,團隊還計劃通過代幣置換、新合約、安全審計等方式來修復信任、穩定代幣經濟。然而,項目方並未公開詳細的技術修復方案或時間表。
在社區方面,有投資者在代幣價格暴跌後選擇“抄底”,試圖在未來價格回升時獲利。然而,由於缺乏官方的明確指引和信心恢復措施,這種“抄底”行為可能存在較高的風險。據鏈上分析師Ai姨(@ai_9684xtpa)監測,某用戶在UXLINK黑客事件後試圖“刀尖舔血”,買入代幣博取反彈,投入約92.7萬美元。但因後續黑客將代幣惡意增發至10萬億枚,導致幣價近乎歸零,其浮虧達到 92.5萬美元,虧損近 99.8%。
安全防護失效 多簽錢包非鐵壁
儘管多簽錢包旨在通過多方簽名降低單點風險,但黑客利用合約漏洞成功繞過多簽控制,轉移資產並大規模增發代幣。這表明,多簽機制本身並非萬無一失,合約設計和權限管理同樣關鍵。
基於事件經驗,安全使用多簽錢包需注意:首先,選擇經過安全審計的多簽合約,避免自研或未經驗證的代碼;其次,合理設置簽名門檻,平衡安全性與操作便利;再次,分散簽名者和私鑰管理,使用硬體或冷錢包,防止集中控制帶來的單點風險;同時,謹慎操作授權交易,避免盲目抄底或授權未知合約;此外,可引入時間鎖、大額轉帳審批和應急備用錢包等機制,降低資產瞬時流失風險;最後,定期審計和更新合約與依賴庫,及時修復潛在漏洞。
結語:
UXLINK 事件從黑客入侵、多簽錢包漏洞被利用,到黑客自身遭遇釣魚攻擊,再到社區投資者抄底受重創,完整呈現了加密資產管理中潛在的多重風險。對於項目方而言,建立完善的安全審計、透明溝通和快速響應機制至關重要;對於投資者和社區成員,則需保持理性,避免盲目追漲抄底,切實提升風險意識。