UXLINK 於 2025 年 9 月 23 日凌晨證實其多重簽名錢包發生嚴重安全漏洞,導致價值超過 1130 萬美元的加密貨幣資產被盜,此次攻擊最早由區塊鏈安全公司 Cyvers 監測並發出警報。
被盜資產與駭客手法
黑客利用 delegateCall 函數漏洞,移除了錢包的合法管理員權限,接著透過 addOwnerWithThreshold 函數將自己添加為新的錢包所有者,從而完全繞過了多重簽名的安全機制。
被盜的資產目前估計如下:
- 400 萬美元的 USDT
- 50 萬美元的 USDC
- 3.7 枚 WBTC
- 25 枚 ETH
- 約 300 萬美元價值的 UXLINK 原生代幣
攻擊者得手後,迅速將盜取的穩定幣在以太坊和 Arbitrum 網路上交換為 DAI 和 ETH,並將資產分散轉移至多個中心化(CEX)與去中心化(DEX)交易所,試圖清洗贓款。同時,黑客立即在公開市場上拋售了部分 UXLINK 代幣,初步估計約 80 萬美元,引發了市場的恐慌。
最新發展:黑客遭「黑吃黑」釣魚攻擊
極具戲劇性的是,根據鏈上數據追蹤及慢霧(SlowMist)創辦人余弦的分析,成功攻擊 UXLINK 的黑客似乎自己也成為了網路釣魚集團「Inferno Drainer」的受害者。黑客可能因操作失誤,授權給了釣魚合約,導致其盜來的約 5.42 億枚 UXLINK 代幣被該釣魚集團再度轉走,上演了一齣「螳螂捕蟬,黃雀在後」的戲碼。
市場衝擊與項目方應對
此次攻擊事件對 UXLINK 的市場信心造成了沉重打擊。消息傳出後,UXLINK 代幣價格在一小時內暴跌超過 70%(部分數據源指跌幅達 77%),市值蒸發逾 7000 萬美元。黑客的拋售行為與投資者的恐慌性賣出,導致代幣交易量在短時間內激增超過 1700% 。
面對這次危機,UXLINK 團隊目前迅速採取了以下應對措施:
- 緊急合作:與內部及外部的安全專家(如 PeckShield)合作,徹查漏洞根本原因。
- 凍結資產:立即聯繫各大交易所(包括 Kraken 、 Bithumb 等)請求協助,凍結與黑客地址相關的可疑存款,並成功凍結了部分被盜資產。
- 執法報案:已向執法機構正式報案,尋求法律途徑追蹤駭客並追回資產。
- 代幣置換與補償:由於黑客攻擊可能涉及未經授權的代幣鑄造,UXLINK 宣布將啟動代幣置換計畫,以保障持有者權益,並將為受影響的用戶制定補償方案。
UXLINK 是一個 Web3 社交平台與基礎設施,旨在將真實世界的社交關係與區塊鏈技術結合,不同於傳統社群媒體單向追蹤的模式,UXLINK 更著重於建立雙向、熟人型的社交網絡,該平台希望成為 Web2 用戶進入 Web3 世界的橋樑,並在去中心化的環境中互動、交易加密資產及建立社群,並透過其多代幣模型來激勵用戶參與及社群治理。
此次 UXLINK 漏洞事件,再次凸顯了即便是設計用以增強安全性的多重簽名錢包,若智能合約的權限管理功能存在缺陷,依然可能被惡意行為者利用。這起攻擊不僅對項目方造成重大財務損失,也提醒所有 Web3 平台,持續性的安全審計、嚴謹的權限設計與強大的內部風控機制至關重要。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
