被盜千萬美元 明星社交項目UXLINK迎來“至暗”時刻

黑客年年有，今年也不缺。從加密貨幣伊始，針對其的網路攻擊就相伴而生，並隨着技術的不斷成熟演化爲更復雜的攻擊手法、更精巧的攻擊邏輯以及更具迷惑性的技術手段，但有時，不得不承認，再嚴密的防控，都抵不住人性的弱點。就在最近，Web 3 明星社交項目UXLINK就中了招。

凌晨被盜、合約增發、代幣暴跌，短短不到半天，UXLINK就經歷了有史以來最崩潰的時刻，甚至還上演了“黑喫黑”的名場面。

加密項目的安全，似乎終究是一筆糊塗帳。

與其他項目有所不同，對於UXLINK，圈外的用戶或許並不陌生。UXLINK是基於Telegram構建的一款社交類項目，與此前泛式社交的模式不同，UXLINK主打的是“熟人社交”，可通過Telegram、WhatsApp、TikTok 和EOA錢包等一鍵登入，並提供深度社交場景和代幣激勵來留存用戶以驅動增長，強調社群驅動的羣組功能及資產發行。

從技術與流量獲取來看，UXLINK無疑是站在了巨人的肩膀上，堪稱東家的Telegram不僅在技術與組件上提供支持，在流量獲取也給予了傾斜，從入門到圖形形成、羣組工具到社交化交易都無縫集成在Telegram中。

也正源於此，自2023年4月上線以來，UXLINK表現就相當優異。在資金側獲得了OKX Ventures、Matrixport Ventures、SevenX Ventures、HashKey Capital、Animoca Brands等加密原生資本的青睞，應用方向也比普通社交DAPP提前完成冷啓動。到2024年4月，UXLINK已經有530萬註冊用戶，構建了近 9 萬多個羣聊，截至到2025年8月，官網發布的數據顯示，UXLINK註冊用戶已達到5400萬，日活錢包突破了2400萬，憑藉龐大的規模用戶一躍升爲Web3社交的頭部平台。

在資產方面，UXLINK採了雙代幣模型，分別爲依托UXUY的原生實用代幣以及以治理爲核心的UXLINK代幣，前者主要用於社區與生態發展，用戶可通過邀請或其他社區活動獲取UXUY，後者則強調治理功能，總供應量爲10億枚，其中65%分配給社區，40%分配爲用戶，開發者和合作夥伴獲取25%。去年4月，UXLINK開啓了首期空投活動，用戶可憑藉空投憑證NFT領取空投，超過140萬張NFT得以鑄造，15%的用戶獲取了空投。但值得注意的是，代幣表現僅能用差強人意來形容，去年7月18日UXLINK上線交易所後從0.0998美元最高飆升至3.85美元，但隨後持續下滑，在本次事件發生前穩定在0.32-0.35美元左右。

盡管代幣表現不佳，但從一衆社交項目來看，UXLINK的運營還是持續在線，不僅在戰略上推出社交增長鏈、入局PayFi，後續更是開啓質押、空投活動以獲取用戶注意力，在生態構建上表現也相當亮眼，超過500家業內項目與其達成合作，市場從日韓向北美不斷拓展。簡而言之，在社交項目中，UXLINK聲量持續在線，可稱之爲其中的佼佼者。

建設項目很難，但要毀掉一個項目，只需要一次被盜。

9月23日00:43分，安全公司 Cyvers 發布預警，稱其系統檢測到涉及UXLINK的可疑交易，規模達到1130萬美元。原因出自項目內部，由於私鑰泄露，一名攻擊者在 9 月 22 日 22:53 對 UXLINK 多簽錢包執行了delegateCall 操作，將原有的多籤管理員刪除，並將自己設爲了項目唯一控制人。隨後，這一地址調用 addOwnerWithThreshold，轉出 USDT 400 萬、USDC 50 萬、WBTC 3.7、ETH 25以及約 300 萬枚 UXLINK 被轉出並部分跨鏈橋接至主網。

消息傳出僅僅5分鍾，市場反應強烈，UXLINK現貨從0.3美元左右迅速下挫跌破0.18美元，並有持續下跌趨勢。1小時後，UXLINK官方承認受到攻擊，9小時後，UXLINK發推表示正與內部和外部安全專家全天候合作，以查明根本原因並控制事態發展。已聯繫主要的 CEX和DEX，緊急凍結可疑的UXLINK存款，並於後續表示大部分被盜資產已被凍結，強調尚無跡象表明個人用戶錢包受到攻擊。

按照普通流程來看，承認被盜、緊急公關、開始災後重建基本已然爲事件劃下休止符，但黑客，顯然不這麼想。23日晨9點54 分，最具毀滅性的步驟開啓，攻擊地址憑藉手握的管理大權，未經允許使用合約鑄造功能，增發了10億枚UXLINK代幣。貨幣系統維持穩定的關鍵在於幣值的穩定，而幣值穩定的首要條件就在於控制貨幣流通量，而大量增發，無疑讓整個生態系統瀕臨崩潰。UXLINK跌跌不休，最低價格一度接近歸零，鏈上市值最低觸及80美元，而在事件前，UXLINK的市值是1.5億美元，現有CEX數據來看，市值也僅恢復到6500萬美元。

更可惡的是，在增發後，黑客繼續在各大交易所進行拋售，通過不同的錢包將增發的UXLINK進行兌換，累積獲得6732枚ETH，獲利達到2810萬美元。值得一提的是，在此期間，部分用戶遵循經驗主義在UXLINK發布公告後進行抄底操作，但由於黑客的增發行徑，致使虧損進一步擴大，甚至有一地址豪擲90萬美元，最終接近歸零。

事情到此處，似乎又有了終結的意味，但戲劇化的一幕再次發生。盜取UXLINK資產的黑客遭遇“黑喫黑”，由於授權給了釣魚團隊的地址，遭到Inferno Drainer釣魚攻擊。經核實，其非法獲取的約5.42億枚$UXLINK代幣已被“授權釣魚”手法竊取。辛辛苦苦盜取，還不忘給他人做嫁衣，只能說意想不到。

根據最新進展，UXLINK啓動了代幣合約遷移計劃，新的UXLINK智能合約成功通過安全審計，合約將部署在以太坊主網上，並取消了鑄造銷毀功能，將通過跨鏈合作夥伴服務保持其跨鏈功能。新的 UXLINK 智能合約已準備就緒，合約地址爲 0x3991B07b2951a4300Da8c76e7d2c7eddE861Fef3，持有合法流通的UXLINK代幣的 CEX 及鏈上用戶將獲得 1:1 兌換，被認定爲非法發行的代幣將不具備兌換資格。部分仍在交易的代幣，團隊將爲受影響的用戶提供單獨的補償計劃。

從本次事件來看，項目方的響應速度相當迅速，不僅迅速穩定用戶情緒，也在第一時間給出了解決方案，應急管理方向表現仍然值得表揚。但話又說回來，本次攻擊的本質就在於多籤管理的欠缺，雖然採用了Safe多籤機制並配置了多個多籤帳戶，但實際管理卻極爲缺位，多籤形同虛設，才由此引發危機。

值得注意的是，增發這項手段，在近日也非常頻發。與UXLINK同樣的手法，同一時段Web3項目孵化與啓動平台Seedify.fund也被盜並增發了3秭，代幣SFUND受到重創，價格從0.42美元跌至0.08美元，現穩定在0.27美元處。

而就在今日，歐洲Web3項目Griffin AI在剛剛結束幣安Alpha空投的12小時後，遭到黑客攻擊惡意增發50億枚代幣GAIN，使其代幣從0.163美元一度跌去95%接近歸零。據官方披露，攻擊地址通過引入未經授權的 LayerZero Peer發起攻擊，部署僞造的以太坊合約繞過官方合約，再將僞造的代幣由LayerZero跨鏈實現BNB Chain的鏈上增發。而黑客GAIN則將異常增發地址砸盤獲利的2955枚BNB (約合300萬美元) 通過跨鏈橋deBridge兌換成 720.81 枚 ETH 後，全部轉移進 Tornado Cash 進行混幣。截至到目前，GriffinAI 已移除BNB 鏈上 GAIN 的官方流動性池，並正式要求所有CEX 暫停 GAIN (BSC) 代幣的交易、存款和提現功能。但需要提醒的是，對於被盜者的安置餘賠償，項目方並未提出解決方案。

唯一值得慶幸的是，與UXLINK和SFUND不同的是，部分GAIN的抄底者成功收獲了不錯的回報，有地址以均價0.00625 美元抄底買入 2.02 萬美元的GAIN，一小時浮盈10.7萬美元。

整體來看，相比於此前的一次性攻擊行爲，如今的攻擊方式開始聚焦於合約權限與代幣發行控制上，雖然同爲攻擊手段，但後者顯然要惡劣得多。對於項目而言，代幣惡意增發摧毀的是整個以代幣爲中心的生態系統，將極大地降低用戶對項目的信任度，並由此引發一系列連鎖反應。一個典型的例子是，隨着增發事件頻發，市場上已然響起了項目方通過多籤自導自演聲音。

從安全方面來看，多籤的管理也值得重視，如今項目方智能合約普遍採用多籤制，但管理也應同步跟上，首要應做到強制配合硬體錢包，實現物理隔離，其次應盡可能將籤名方分散化，從時空上、硬件上、備份上盡可能規避集中化風險。除了技術硬方向的規避，軟環境也至關重要，多籤持有者應做到身分隱藏，並構建交叉驗證流程，有效進行二次核對，構築人工防線。此外，演練也必不可少，保持憂患意識，定期演練並做好危機預案，畢竟在業內，假演練分分鍾就可變成真實戰。

慢霧創始人餘弦也給項目方提出了建議，多籤所有者應該匹配僅支持復雜籤名且大屏幕的硬體錢包，囊括從助記詞生成到使用的全過程，並兼配Passphrase或SSS備份以提高安全性。在日常使用中，更應該提高警惕，對籤名要求高度謹慎，減少可能的風險。