作者:Zhou, ChainCatcher
9 月 22 日晚间,Web3 社交平台 UXLINK 遭遇严重安全事故,黑客通过 delegateCall 移除项目多签金库的原管理员并加入自控地址,随即取得铸币与管理权能,从项目方控制的钱包及授权地址转走 USDT、USDC、WBTC、ETH 与部分 UXLINK,涉及金融约 1,130 万美元。
随后,黑客在 Arbitrum 非法增发 UXLINK(规模超10 亿枚),并开始分散抛售。按照链上追踪数据,黑客通过六个地址在去中心化与中心化场景合计卖出约 4.90 亿枚 UXLINK,并换得 6,732 枚 ETH,按当时价格约 2,810 万美元。此外,黑客还在各 CEX 卖出大量 UXLINK。
异常供给与集中出货叠加,引发 UXLINK 价格在数小时内快速下坠,从约 0.30 美元跌至 0.07 至 0.10 美元区间,阶段跌幅 70% 至 77%;其市值从约 1.44 亿美元跌至 0.37 亿美元,24 小时交易量激增 2622.70% 至 3.09 亿美元。
据链上监测数据,UXLINK 项目遭遇黑客攻击后,某地址在凌晨花费92.7 万美元以均价 0.03283 美元买入UXLINK 代币,随着价格暴跌,亏损率一度接近 99.8%。
事件发生后,UXLINK 团队连夜通告,宣布与多家交易所协作冻结涉案资金并暂停相关交易,并与警方和安全公司合作调查。同时,项目方承诺即将公布代币置换细节,警告用户勿在去中心化交易所交易以防进一步损失。
韩国交易所Upbit 在 9 月 23 日中午公告将 UXLINK 列为警示资产并暂停存款,审查期至 10 月 17 日,理由是项目披露不足与铸币权限异常可能导致用户损失,同时提出受影响账户的补偿安排。
市场对 UXLINK 代币的负面情绪逐步扩散。Ledger 首席技术官 Charles Guillemet 指出,钱包仍然在黑客控制之下说明私钥已被完全泄露,可能是通过软件钱包,甚至是纯文本种子备份。他们试图兑换这些巨额 UXLINK,导致 Uniswap 上的流动性被彻底清除;虽然目前尚不清楚有多少 UXLINK 被成功兑换,但攻击者仍然持有大量 UXLINK,这些 UXLINK 代币可能会变得一文不值。他还表示,清除签名和交易校验可以解决这个问题。
知名加密研究员 Jason Chen 表示,UXLINK 项目因黑客攻击导致经济模型崩溃,黑客无限增发代币让价格接近归零,这种情况几乎无法挽回,社区信任正在急剧流失。
值得一提的是,23 日上午,监测显示涉案地址又出现可疑交互与资金外流,黑客疑似遭到“黑吃黑”。据 PeckShieldAlert 报告与本次入侵相关的黑客地址随后遭到钓鱼,标注为 Fake_Phishing1309277 的样本将 5.42 亿枚 UXLINK 转移走,按当时价格约 4,800 万美元。
慢雾创始人余弦发推表示,UXLINK 黑客或遭遇 Inferno Drainer 钓鱼攻击,其此前盗取的约 5.42 亿枚 UXLINK 可能是被 Inferno Drainer 用普通授权钓鱼手法钓走了。
事实上,加密货币领域多签钱包攻击并非首次发生。据统计,2024 年全球此类黑客事件造成超过 20 亿美元损失,包括 WazirX 和 Radiant Capital 的多签钱包安全漏洞。
此前的案例中,为了重建信任并减少法律风险,项目方常见的补偿措施包括资金冻结、储备退款、代币置换和安全升级等,UXLINK 当前计划的是代币置换,具体置换细节还需等官方公告。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
