9月22日至23日,Web3社交平台UXLINK遭遇了自成立以来最严重的安全危机。一名黑客利用其多签钱包漏洞盗取价值约1130万美元的资产后,竟在链上非法增发10亿枚UXLINK代币——相当于原总供应量的整整一倍。更戏剧性的是,当所有人以为黑客得手时,这名黑客自己却成了另一场钓鱼攻击的受害者,损失高达5.42亿UXLINK代币。
UXLINK攻击事件始于9月22日凌晨,区块链安全公司Cyvers率先监测到异常交易活动。系统发现一个以太坊地址执行了delegateCall操作,移除了管理员权限,并调用“addOwnerWithThreshold”函数,随后开始大规模转移资产。
黑客攻击手法专业且迅速,在得手后,攻击者立即转走了400万枚USDT、50万枚USDC、3.7枚WBTC和25枚ETH。所有在以太坊网络上的USDC和USDT被统一兑换成DAI,而在Arbitrum网络上的USDT则被兑换成ETH并跨链转移到以太坊主网。
约一小时后,另一个地址收到了1000万枚UXLINK(约300万美元),并开始进行兑换操作。这一系列操作显示黑客对跨链交易和资产转移极为熟悉,很可能是有预谋的专业攻击。
慢雾科技创始人余弦在X平台上分析称:“看了下UXLINK被盗情况,大概率是UXLINK有关Safe多签的几把私钥泄露了。”关键操作是将目标Safe多签的owner改为黑客控制的地址,随后完成资金转移。
在事件发生约一小时后,UXLINK即在X平台发布紧急安全通知,确认多重签名钱包存在安全漏洞。团队表示已成功冻结大部分被盗资产,并委托安全公司PeckShield协助调查和加强资产追回工作。
正当人们以为黑客已经得手时,事件出现了戏剧性转折。区块链安全公司Scam Sniffer监测发现,盗取UXLINK资金的地址自己竟然也成为了网络钓鱼的受害者。
黑客签署了恶意的increaseAllowance授权,导致约5.42亿枚UXLINK代币被转入钓鱼地址。按当时市价计算,这笔损失高达约4800万美元。
SlowMist创始人余贤指出,这起“黑吃黑”事件很可能是著名钓鱼团伙Inferno Drainer所为,采用了普通的授权钓鱼方法。这种讽刺性的结局在加密货币史上并不多见——攻击者自己反而成了被攻击的目标。
这种“黑客反被黑”的情况在加密货币领域并非首次发生,2025年4月,一名从zkLend盗取2,930 ETH(价值约540万美元)的黑客,在试图通过Tornado Cash洗钱过程中也遭遇了网络钓鱼诈骗,最终损失全部赃款。
Lookonchain的监测数据进一步揭示了黑客的作案细节:黑客通过6个地址在链上卖出UXLINK,已获得6732枚ETH,价值约2810万美元。此外,黑客还在各大中心化交易所抛售大量UXLINK,进一步加剧了市场抛压。
这次安全事件对UXLINK的市场表现造成了毁灭性打击。根据CoinLive数据显示,UXLINK价格暴跌71.9%,截至发稿时报0.08529美元。
UXLINK 代币价格的崩盘堪称触目惊心,其价格一度下跌超过 90%,市场价值在短时间内蒸发近 7000 万美元。如此剧烈的跌幅,不仅重创了整个加密货币市场的信心,更直接导致大量投资者血本无归。
UXLINK 代币价格实时数据,来源币界网
具体来看,监测数据详细记录了一名投资者的惨痛遭遇:持有 0x4f3 开头地址的投资者,在凌晨时分投入 273 枚 ETH(约 54 万美元),购入 Arbitrum 网络的 UXLINK 代币。然而仅仅十小时过后,这笔投资的价值已缩水近 97%,近乎归零。这一极端案例,淋漓尽致地展现出安全事件对普通持有者造成的毁灭性打击,也为所有加密货币投资者敲响了风险警钟。
韩国主要加密货币交易所迅速做出反应,Upbit与Bithumb将UXLINK指定为“交易警示”项目,Upbit还同步暂停了UXLINK的充提服务。这些措施虽然保护了更多投资者,但也进一步限制了UXLINK的流动性。
市场对UXLINK代币的负面情绪逐步扩散。知名加密研究员Jason Chen表示:“UXLINK项目因黑客攻击导致经济模型崩溃,黑客无限增发代币让价格接近归零,这种情况几乎无法挽回,社区信任正在急剧流失。”
UXLINK事件引发了对多重签名钱包安全性的深刻反思,多重签名钱包本需多个密钥共同授权交易,理论上比单用户控制更安全。但UXLINK的核心问题是“多签私钥泄露”,这表明即使采用多签机制,也可能因私钥管理不当而失效。
为应对黑客非法增发代币的行为,UXLINK宣布将立即启动代币置换计划,以确保代币经济的完整性。团队正在紧急联系主要中心化交易所暂停UXLINK交易,并将在稍后公布详细的代币置换操作指南。
UXLINK团队承诺尽快制定明确的账户恢复和赔偿方案。然而,重建社区信任将是一个漫长而艰难的过程。正如Ledger首席技术官Charles Guillemet所指出的:“黑客无限增发代币让价格接近归零,这种情况几乎无法挽回。”
据统计,2024年全球多签钱包黑客事件造成超过20亿美元损失,包括WazirX和Radiant Capital的多签钱包安全漏洞。UXLINK事件再次凸显了Web3项目在安全防护上的挑战,特别是社交型应用近来频繁遭遇攻击,引起业界关注。
对于整个加密货币行业而言,这一事件提醒所有项目方必须加强私钥管理措施,提升系统安全水平。同时,投资者也应提高风险意识,谨慎评估中心化和去中心化平台的安全保障措施。
在UXLINK安全事件引发行业震动的背景下,选择安全可靠的加密货币钱包显得尤为重要。XBIT Wallet作为一款新兴的去中心化Web3钱包,以其多重安全设计和用户自主掌控私钥的特性,为加密货币安全交易提供了新的解决方案。
安全架构与核心技术
XBIT Wallet采用“冷热钱包分离+多重签名”架构,确保用户私钥永不触网,从源头杜绝黑客通过网络攻击窃取的风险。其核心安全措施包括三个方面:首先,私钥由用户完全自主控制,通过12词助记词备份体系,每个助记词由高强度随机算法生成;其次,支持生物识别+硬件隔离双重认证生成私钥;最后,热钱包交易需通过“双因子验证+地理围栏”双重校验,有效规避传统中心化钱包的“单点故障”风险。
交易安全与风险管理
在交易安全方面,XBIT Wallet内置智能风控系统,能实时监测异常转账、陌生设备登录等风险行为。当市场出现异常波动时,其独创的“热钱包动态隔离”技术会自动将用户资产从交易链路临时转移至独立安全存储模块,从技术层面隔绝行情异常引发的操作风险。此外,该钱包还支持智能止损模块,可预设价格触发阈值,在市场剧烈波动时自动执行风控措施。
UXLINK面临的不仅是经济上的损失,更是信任值的断崖式下滑。尽管项目方已承诺进行代币置换并加强安全措施,但这场危机暴露的不仅是技术漏洞,更是整个加密货币生态仍不成熟的事实。
随着监管机构对这类事件的关注度提高,加密货币项目将面临更严格的安全审查。对于那些仍在发展中的Web3项目来说,安全必须成为核心设计理念,而非事后补救措施。
