Bị đánh cắp hàng triệu đô la, dự án mạng xã hội nổi tiếng UXLINK bước vào "thời khắc tăm tối"

Hacker năm nào cũng có, năm nay cũng không thiếu. Từ khi bắt đầu của tài sản tiền điện tử, các cuộc tấn công mạng nhằm vào nó đã xuất hiện và cùng với sự trưởng thành không ngừng của công nghệ, chúng đã phát triển thành các phương thức tấn công phức tạp hơn, logic tấn công tinh vi hơn và các phương pháp kỹ thuật gây nhầm lẫn hơn, nhưng đôi khi, không thể không thừa nhận, dù có kiểm soát chặt chẽ đến đâu, cũng không thể chống lại điểm yếu của con người. Gần đây, dự án mạng xã hội ngôi sao Web 3 UXLINK đã gặp phải vấn đề.

Bị đánh cắp vào lúc rạng sáng, phát hành hợp đồng tăng, token sụt giảm mạnh, chỉ trong chưa đầy nửa ngày, UXLINK đã trải qua khoảnh khắc sụp đổ tồi tệ nhất trong lịch sử, thậm chí còn diễn ra cảnh tượng "hacker ăn hacker" nổi tiếng.

An ninh của các dự án mã hóa, dường như cuối cùng cũng là một mớ bòng bong.

Khác với các dự án khác, người dùng bên ngoài có thể không xa lạ gì với UXLINK. UXLINK là một dự án xã hội được xây dựng trên nền tảng Telegram, khác với mô hình xã hội tổng quát trước đây, UXLINK tập trung vào "mạng xã hội quen biết", cho phép đăng nhập bằng một cú nhấp chuột qua Telegram, WhatsApp, TikTok và ví EOA, đồng thời cung cấp các tình huống xã hội sâu sắc và khuyến khích token để giữ chân người dùng nhằm thúc đẩy tăng trưởng, nhấn mạnh vào chức năng nhóm do cộng đồng điều khiển và phát hành tài sản.

Xét về mặt kỹ thuật và việc thu hút lưu lượng, UXLINK chắc chắn đang đứng trên vai của những người khổng lồ, có thể nói rằng Telegram của Đông Gia không chỉ cung cấp hỗ trợ về công nghệ và thành phần, mà còn có sự ưu ái trong việc thu hút lưu lượng, từ việc khởi đầu đến hình thành đồ họa, từ công cụ nhóm đến giao dịch xã hội đều được tích hợp liền mạch trong Telegram.

Cũng chính từ đây, kể từ khi ra mắt vào tháng 4 năm 2023, UXLINK đã thể hiện xuất sắc. Ở phía vốn, nó đã nhận được sự ưa chuộng từ các quỹ vốn gốc trong lĩnh vực tài sản tiền điện tử như OKX Ventures, Matrixport Ventures, SevenX Ventures, HashKey Capital, Animoca Brands, và hướng ứng dụng cũng hoàn thành khởi động lạnh sớm hơn so với các DAPP xã hội thông thường. Đến tháng 4 năm 2024, UXLINK đã có 5,3 triệu người dùng đăng ký, xây dựng gần 90.000 nhóm trò chuyện. Tính đến tháng 8 năm 2025, dữ liệu được công bố trên trang web cho thấy số người dùng đăng ký của UXLINK đã đạt 54 triệu, ví hoạt động hàng ngày vượt 24 triệu, nhờ vào quy mô người dùng lớn, nó đã vươn lên trở thành nền tảng xã hội Web3 hàng đầu.

Về tài sản, UXLINK áp dụng mô hình hai mã thông báo, bao gồm mã thông báo tiện ích gốc dựa trên UXUY và mã thông báo UXLINK tập trung vào quản trị, mã đầu tiên chủ yếu được sử dụng cho phát triển cộng đồng và hệ sinh thái, người dùng có thể nhận được UXUY thông qua việc mời gọi hoặc các hoạt động cộng đồng khác, mã thứ hai nhấn mạnh chức năng quản trị, tổng cung là 1 tỷ đồng, trong đó 65% phân bổ cho cộng đồng, 40% phân bổ cho người dùng, nhà phát triển và đối tác nhận 25%. Vào tháng 4 năm ngoái, UXLINK đã khởi động hoạt động airdrop lần đầu tiên, người dùng có thể nhận airdrop bằng chứng nhận NFT airdrop, hơn 1,4 triệu NFT đã được đúc, 15% người dùng đã nhận được airdrop. Nhưng cần lưu ý rằng hiệu suất mã thông báo chỉ có thể được mô tả là không mấy khả quan, vào ngày 18 tháng 7 năm ngoái, UXLINK đã lên sàn giao dịch từ 0,0998 USD tăng vọt lên 3,85 USD, nhưng sau đó liên tục giảm xuống, trước khi sự kiện này xảy ra ổn định ở mức khoảng 0,32-0,35 USD.

Mặc dù token có hiệu suất không tốt, nhưng từ nhiều dự án xã hội, hoạt động của UXLINK vẫn duy trì trực tuyến, không chỉ chiến lược ra mắt chuỗi tăng trưởng xã hội, gia nhập PayFi, mà còn mở ra các hoạt động staking và airdrop để thu hút sự chú ý của người dùng, trong việc xây dựng hệ sinh thái cũng thể hiện khá nổi bật, với hơn 500 dự án trong ngành đã hợp tác với họ, thị trường liên tục mở rộng từ Nhật Bản và Hàn Quốc sang Bắc Mỹ. Nói tóm lại, trong các dự án xã hội, UXLINK vẫn duy trì tiếng nói, có thể xem như một trong những người xuất sắc.

Dự án rất khó xây dựng, nhưng để phá hủy một dự án, chỉ cần một lần bị đánh cắp.

Vào lúc 00:43 ngày 23 tháng 9, công ty an ninh Cyvers đã phát đi cảnh báo, cho biết hệ thống của họ đã phát hiện các giao dịch nghi vấn liên quan đến UXLINK, với quy mô lên tới 11,3 triệu USD. Nguyên nhân xuất phát từ nội bộ dự án, do khóa bí mật bị rò rỉ, một kẻ tấn công đã thực hiện thao tác deleGateCall vào ví đa chữ ký UXLINK vào lúc 22:53 ngày 22 tháng 9, xóa bỏ quản trị viên đa chữ ký ban đầu và tự thiết lập mình làm người kiểm soát duy nhất của dự án. Sau đó, địa chỉ này đã gọi addOwnerWithThreshold, chuyển ra 4 triệu USDT, 500 nghìn USDC, 3,7 WBTC, 25 ETH và khoảng 3 triệu UXLINK đã được chuyển ra và một phần đã được cầu nối chéo tới mạng chính.

Tin tức vừa được phát ra chỉ trong 5 phút, thị trường đã phản ứng mạnh mẽ, giá UXLINK trên sàn giao dịch đã từ khoảng 0.3 USD nhanh chóng giảm xuống dưới 0.18 USD và có xu hướng giảm liên tục. Sau 1 giờ, UXLINK chính thức thừa nhận đã bị tấn công, 9 giờ sau, UXLINK đã tweet rằng đang hợp tác với các chuyên gia an ninh nội bộ và bên ngoài 24/7 để xác định nguyên nhân gốc rễ và kiểm soát tình hình. Đã liên lạc với các CEX và DEX chính, khẩn cấp đóng băng các khoản gửi UXLINK nghi ngờ, và sau đó cho biết phần lớn tài sản bị đánh cắp đã được đóng băng, nhấn mạnh rằng chưa có dấu hiệu cho thấy ví của người dùng cá nhân bị tấn công.

Theo quy trình thông thường, việc thừa nhận bị đánh cắp, quan hệ công chúng khẩn cấp, và bắt đầu tái thiết sau thảm họa đã cơ bản đánh dấu sự kết thúc của sự kiện, nhưng Hacker rõ ràng không nghĩ như vậy. Vào lúc 9 giờ 54 phút sáng ngày 23, bước đi tàn khốc nhất đã được khởi động, địa chỉ tấn công đã lợi dụng quyền quản lý của mình, sử dụng chức năng đúc hợp đồng mà không có sự cho phép, phát hành thêm 1 tỷ mã thông báo UXLINK. Chìa khóa để duy trì sự ổn định của hệ thống tiền tệ nằm ở sự ổn định của giá trị đồng tiền, và điều kiện tiên quyết để giá trị đồng tiền ổn định chính là kiểm soát lượng lưu thông của đồng tiền, trong khi việc phát hành hàng loạt rõ ràng khiến toàn bộ hệ sinh thái đứng trước bờ vực sụp đổ. UXLINK không ngừng giảm, giá thấp nhất có lúc gần bằng không, giá trị thị trường thấp nhất trên chuỗi chạm 80 đô la, trong khi trước sự kiện, giá trị thị trường của UXLINK là 150 triệu đô la, theo dữ liệu CEX hiện tại, giá trị thị trường cũng chỉ phục hồi về 65 triệu đô la.

Kinh khủng hơn, sau khi tăng phát, Hacker tiếp tục bán tháo trên các sàn giao dịch lớn, thông qua các ví khác nhau để đổi lấy UXLINK đã tăng phát, tích lũy được 6732 ETH, lợi nhuận đạt 28 triệu USD. Đáng chú ý là, trong thời gian này, một số người dùng đã làm theo kinh nghiệm và thực hiện thao tác bắt đáy sau khi UXLINK công bố thông báo, nhưng do hướng tăng phát của Hacker, dẫn đến thua lỗ ngày càng mở rộng, thậm chí có một địa chỉ đã vung tay chi 900.000 USD, cuối cùng gần như về 0.

Sự việc đến đây dường như đã có ý nghĩa kết thúc, nhưng một cảnh kịch tính lại xảy ra. Hacker đã đánh cắp tài sản UXLINK gặp phải tình huống "hắc ăn hắc", do đã ủy quyền cho địa chỉ của đội lừa đảo, đã bị tấn công lừa đảo Inferno Drainer. Qua xác minh, khoảng 5.42 triệu đồng $UXLINK mà họ thu được bất hợp pháp đã bị đánh cắp bằng phương pháp "ủy quyền lừa đảo". Cực nhọc đánh cắp, còn không quên làm áo cưới cho người khác, chỉ có thể nói thật không ngờ.

Theo những tiến triển mới nhất, UXLINK đã khởi động kế hoạch di chuyển hợp đồng token, hợp đồng thông minh UXLINK mới đã thành công trong việc vượt qua kiểm tra an ninh, hợp đồng sẽ được triển khai trên mạng chính Ethereum và chức năng đúc và hủy bỏ sẽ bị hủy bỏ, chức năng liên chuỗi của nó sẽ được duy trì thông qua dịch vụ đối tác liên chuỗi. Hợp đồng thông minh UXLINK mới đã sẵn sàng, địa chỉ hợp đồng là 0x3991B07b2951a4300Da8c76e7d2c7eddE861Fef3, các CEX và người dùng trên chuỗi nắm giữ token UXLINK hợp pháp sẽ được nhận 1:1 đổi, các token được xác định là phát hành bất hợp pháp sẽ không đủ điều kiện đổi. Đối với một số token vẫn đang được giao dịch, đội ngũ sẽ cung cấp một kế hoạch bồi thường riêng cho những người dùng bị ảnh hưởng.

Từ sự kiện này, tốc độ phản hồi của dự án là khá nhanh, không chỉ nhanh chóng ổn định tâm lý người dùng mà còn ngay lập tức đưa ra giải pháp, hướng quản lý khẩn cấp vẫn đáng khen ngợi. Nhưng nói đi cũng phải nói lại, bản chất của cuộc tấn công lần này nằm ở sự thiếu hụt trong quản lý ký nhiều, mặc dù đã áp dụng cơ chế ký nhiều Safe và cấu hình nhiều tài khoản ký nhiều, nhưng quản lý thực tế lại cực kỳ thiếu sót, ký nhiều giống như không có, từ đó gây ra khủng hoảng.

Cần lưu ý rằng, phương pháp phát hành thêm này gần đây cũng rất phổ biến. Cách thức tương tự như UXLINK, trong cùng một khoảng thời gian, nền tảng ươm tạo và khởi động dự án Web3 Seedify.fund cũng đã bị hack và phát hành thêm 3 nghìn tỷ, token SFUND bị ảnh hưởng nặng nề, giá từ 0.42 đô la giảm xuống còn 0.08 đô la, hiện ổn định ở mức 0.27 đô la.

Và ngay hôm nay, dự án Web3 châu Âu Griffin AI đã bị tấn công bởi hacker chỉ 12 giờ sau khi kết thúc airdrop Alpha của Binance, dẫn đến việc phát hành trái phép 5 tỷ token GAIN, khiến token của nó giảm từ 0.163 USD xuống gần như bằng 0 với mức giảm 95%. Theo thông tin chính thức, địa chỉ tấn công đã thực hiện cuộc tấn công bằng cách giới thiệu một Peer LayerZero không được phép, triển khai hợp đồng Ethereum giả mạo để vượt qua hợp đồng chính thức, và sau đó phát hành token giả mạo qua chuỗi liên kết của LayerZero để tăng cường phát hành trên chuỗi BNB. Hacker GAIN đã phá giá địa chỉ phát hành bất thường và thu lợi 2955 BNB ( tương đương khoảng 3 triệu USD ), sau đó đã chuyển đổi qua cầu nối chuỗi deBridge thành 720.81 ETH, và toàn bộ số tiền đã được chuyển vào Tornado Cash để trộn. Đến thời điểm hiện tại, GriffinAI đã loại bỏ bể thanh khoản GAIN chính thức trên chuỗi BNB và chính thức yêu cầu tất cả CEX tạm dừng giao dịch, gửi tiền và rút tiền của token GAIN (BSC). Tuy nhiên, cần lưu ý rằng, dự án không đưa ra giải pháp nào cho việc bồi thường cho những người bị đánh cắp.

Điều duy nhất đáng mừng là, khác với UXLINK và SFUND, một số nhà đầu tư bắt đáy GAIN đã thành công thu về lợi nhuận khá tốt, có địa chỉ đã bắt đáy với giá trung bình 0.00625 USD mua vào 20,200 USD GAIN, trong một giờ đã có lãi 107,000 USD.

Nhìn chung, so với các hành vi tấn công một lần trước đây, hiện nay các phương thức tấn công đã bắt đầu tập trung vào quyền hạn hợp đồng và kiểm soát phát hành token, mặc dù đều là phương tiện tấn công, nhưng rõ ràng phương thức sau ác liệt hơn nhiều. Đối với dự án, việc phát hành token một cách ác ý hủy hoại toàn bộ hệ sinh thái dựa trên token, sẽ giảm đáng kể độ tin cậy của người dùng đối với dự án, và từ đó gây ra một loạt phản ứng dây chuyền. Một ví dụ điển hình là, với việc các sự kiện phát hành gia tăng, trên thị trường đã vang lên tiếng nói rằng các bên dự án tự tổ chức tự diễn kịch thông qua đa chữ ký.

Về mặt an ninh, quản lý đa chữ ký cũng đáng được chú ý. Hiện nay, các hợp đồng thông minh của các dự án thường áp dụng chế độ đa chữ ký, nhưng việc quản lý cũng nên đồng bộ theo kịp. Điều đầu tiên cần làm là bắt buộc sử dụng ví phần cứng để đạt được sự tách biệt vật lý. Thứ hai, cần cố gắng phân tán các bên ký tên, từ không gian và thời gian, phần cứng cho đến việc sao lưu, nhằm hạn chế rủi ro tập trung. Ngoài việc tránh rủi ro theo hướng kỹ thuật, môi trường mềm cũng rất quan trọng. Những người sở hữu đa chữ ký nên ẩn danh và xây dựng quy trình xác minh chéo, thực hiện kiểm tra thứ hai một cách hiệu quả, xây dựng hàng rào bảo vệ nhân tạo. Hơn nữa, việc diễn tập cũng là điều không thể thiếu, duy trì ý thức cảnh giác, diễn tập định kỳ và chuẩn bị sẵn kế hoạch ứng phó khủng hoảng, bởi vì trong ngành, việc diễn tập giả có thể biến thành cuộc chiến thực sự trong tích tắc.

Người sáng lập Slow Mist, Yu Xian, cũng đã đưa ra đề xuất cho dự án, rằng những người sở hữu chữ ký đa chữ ký nên sử dụng ví phần cứng chỉ hỗ trợ chữ ký phức tạp và có màn hình lớn, bao gồm toàn bộ quá trình từ việc tạo cụm từ khôi phục đến sử dụng, và cũng nên kết hợp với Passphrase hoặc sao lưu SSS để tăng cường bảo mật. Trong việc sử dụng hàng ngày, cần phải cảnh giác hơn, yêu cầu chữ ký một cách cẩn thận cao độ, giảm thiểu rủi ro có thể xảy ra.