UXLINK 项目被盗事件惊现黑吃黑
事件起始
UXLINK 项目是一个基于 Web3 的社交基础设施平台,其代币 $UXLINK 于 2024 年发行,总供应量原本为 10 亿枚。事件于 2025 年 9 月 22 日(昨日)开始,黑客通过利用项目多签钱包(multi-sig wallet)的漏洞发起攻击。具体而言,黑客 exploitation 了一个 delegateCall 漏洞,从而剥夺了原管理员权限,并将自己设置为合约所有者。这允许黑客从钱包中窃取资产,并进行未经授权的代币增发。
初步损失估计为 1130 万美元,包括 USDT、USDC、WBTC、ETH 和部分 $UXLINK 代币。
被盗资产迅速转移到中心化交易所(CEX)和去中心化交易所(DEX),部分资金已被交易所冻结。
事件经过
初始窃取与增发:黑客控制钱包后,不仅转移了现有资产,还恶意增发了约 10 万亿枚 $UXLINK 代币(原供应量增加 10,000 倍)。
部分报道提到黑客铸造了约 20 亿枚代币,但链上分析显示实际增发规模更大。
随后,黑客开始在 Arbitrum 网络上抛售这些代币,造成价格暴跌,从约 0.30 美元迅速跌至 0.10 美元,跌幅近 70%。
一些投机者试图在低点买入博反弹,例如地址 0x4f3…10a1 以 273 ETH(约 92.7 万美元)买入,但随后因进一步增发和抛售导致浮亏 92.5 万美元(亏损 99.8%)。
戏剧性转折:黑客被“黑吃黑”:在攻击过程中,黑客自身落入 Inferno Drainer 的钓鱼陷阱。黑客签署了一个恶意 increaseAllowance 授权交易,导致约 5.42 亿枚 $UXLINK(价值约 4800 万美元)被转移到钓鱼地址。
相关交易包括:
UXLINK 黑客授权给钓鱼团伙的 tx
https://arbiscan.io/tx/0x24cbd7ae9f9efc25e7100d1c1b48f97482dc31fae40dc9737291a520879a0bf1
被钓鱼团伙盗走的 tx
https://arbiscan.io/tx/0xa70674ccc9caa17d6efaf3f6fcbd5dec40011744c18a1057f391a822f11986ee
这使得事件更具讽刺性,黑客的链上行为变得异常混乱。
项目方与交易所响应:UXLINK 团队迅速与交易所合作,冻结了大部分被盗资金,并聘请取证专家调查。
部分交易所暂停了 $UXLINK 的存取款服务。
黑客的抛售压力导致期货与现货价差超过 15%。
当前结果截至 2025 年 9 月 23 日,$UXLINK 价格已崩盘至约 0.02359 美元,24 小时跌幅达 99.8%,市值缩水至约 236 万美元(从峰值暴跌)。
项目方承诺制定补偿计划,但尚未公布细节。
被盗资金部分已被冻结,黑客损失的 5.42 亿枚代币进一步复杂化了追回过程。事件导致社区信任受损,一些用户呼吁项目方承认链上交易并补偿,但整体恢复前景不明朗。
价格图显示从 0.12 美元急剧下滑至近零,流动性池也遭受重创。
项目教训与建议
此事件凸显了 Web3 项目在安全治理上的常见痛点,以下是总结的教训及建议:
|
教训
|
建议
|
|---|---|
|
多签钱包易受 delegateCall 等漏洞攻击,中央化元素在去中心化系统中放大风险。
|
进行全面代码审计和模拟攻击测试,使用硬件钱包或更先进的多因素验证;避免单一管理员权限。
|
|
黑客自身易中钓鱼,显示生态链上安全链条脆弱。
|
教育用户(包括开发者)识别 phishing,如避免不明授权;使用浏览器扩展如 Scam Sniffer 监控交易。
|
|
无限增发机制缺乏限制,导致供应爆炸性膨胀。
|
在合约设计中加入供应上限、时间锁或社区治理投票机制;定期披露审计报告。
|
|
投机行为放大损失,低点买入易被进一步 rug。
|
投资者应 DYOR(Do Your Own Research),监控链上活动;项目方需透明沟通事件进展以恢复信心。
|
|
响应迟缓可能永久损害信任。
|
建立应急响应团队,与安全公司如 SlowMist 合作;预设补偿基金以快速安抚用户。
|
资金追回可能性
被盗资金总额约1130万美元(包括USDT、USDC、WBTC、ETH和$UXLINK),加上黑客增发的约20亿枚$UXLINK(部分已抛售获利约2800万美元ETH)。
追回难度中等偏高,但有积极因素。
以下是详细评估:
积极因素(支持追回):
交易所冻结:项目方与多家中心化交易所(CEX)合作,已冻结大部分被盗资产(如转移到CEX的资金)。这包括黑客抛售获得的ETH和部分$UXLINK。历史数据显示,CEX冻结后追回率可达50-80%,尤其如果涉及KYC地址或司法介入。
第三方调查:聘请PeckShield等安全公司进行链上追踪和取证。这些专家可识别黑客地址路径,并与DEX(如Arbitrum上的池子)合作标记资金。
警方与司法介入:项目方已联系警方,结合链上证据,可能通过国际合作(如Interpol)追回。
类似案例(如Ronin桥黑客)显示,司法行动可部分成功。
黑客二次受害:黑客自身被Inferno Drainer phishing,损失约5.42亿枚$UXLINK(价值4800万美元)。
这分散了资金,但也可能暴露更多地址,便于追踪。
负面因素(阻碍追回):
资金分散与洗钱:部分资金已通过DEX抛售并转换为ETH,可能已混入混币器(如Tornado Cash替代品)或多链转移,追回难度增加。加密黑客整体追回率仅约20-30%,因匿名性强。
增发代币影响:增发的20亿枚$UXLINK已部分流通,即使追回原资产,供应膨胀导致价值稀释,间接损失难全额补偿。
时间因素:事件刚发生,黑客若快速洗钱,追回窗口缩小。二次phishing使资金流向另一个恶意方,增加复杂性。
用户影响:项目方确认用户钱包未直接受影响,但流动性池和持有者遭受间接损失(如价格崩盘)。
总体概率:部分资金(50-70%)可能追回,主要依赖CEX冻结和PeckShield追踪。全额追回不太现实,类似事件(如FTX崩溃)显示恢复需数月至年。
相关文章
