UXLINK 安全漏洞损失千万美元，黑客随后竟遭「黑吃黑」赃款被盗

UXLINK 于 2025 年 9 月 23 日凌晨证实其多重签名钱包发生严重安全漏洞，导致价值超过 1130 万美元的加密货币资产被盗，此次攻击最早由区块链安全公司 Cyvers 监测并发出警报。

被盗资产与骇客手法

黑客利用 delegateCall 函数漏洞，移除了钱包的合法管理员权限，接著透过 addOwnerWithThreshold 函数将自己添加为新的钱包所有者，从而完全绕过了多重签名的安全机制。

被盗的资产目前估计如下：

• 400 万美元的 USDT
• 50 万美元的 USDC
• 3.7 枚 WBTC
• 25 枚 ETH
• 约 300 万美元价值的 UXLINK 原生代币

攻击者得手后，迅速将盗取的稳定币在以太坊和 Arbitrum 网路上交换为 DAI 和 ETH，并将资产分散转移至多个中心化（CEX）与去中心化（DEX）交易所，试图清洗赃款。同时，黑客立即在公开市场上抛售了部分 UXLINK 代币，初步估计约 80 万美元，引发了市场的恐慌。

最新发展：黑客遭「黑吃黑」钓鱼攻击

极具戏剧性的是，根据链上数据追踪及慢雾（SlowMist）创办人余弦的分析，成功攻击 UXLINK 的黑客似乎自己也成为了网路钓鱼集团「Inferno Drainer」的受害者。黑客可能因操作失误，授权给了钓鱼合约，导致其盗来的约 5.42 亿枚 UXLINK 代币被该钓鱼集团再度转走，上演了一出「螳螂捕蝉，黄雀在后」的戏码。

市场冲击与项目方应对

此次攻击事件对 UXLINK 的市场信心造成了沉重打击。消息传出后，UXLINK 代币价格在一小时内暴跌超过 70%（部分数据源指跌幅达 77%），市值蒸发逾 7000 万美元。黑客的抛售行为与投资者的恐慌性卖出，导致代币交易量在短时间内激增超过 1700% 。

面对这次危机，UXLINK 团队目前迅速采取了以下应对措施：

• 紧急合作：与内部及外部的安全专家（如 PeckShield）合作，彻查漏洞根本原因。
• 冻结资产：立即联系各大交易所（包括 Kraken 、 Bithumb 等）请求协助，冻结与黑客地址相关的可疑存款，并成功冻结了部分被盗资产。
• 执法报案：已向执法机构正式报案，寻求法律途径追踪骇客并追回资产。
• 代币置换与补偿：由于黑客攻击可能涉及未经授权的代币铸造，UXLINK 宣布将启动代币置换计划，以保障持有者权益，并将为受影响的用户制定补偿方案。

UXLINK 是一个 Web3 社交平台与基础设施，旨在将真实世界的社交关系与区块链技术结合，不同于传统社群媒体单向追踪的模式，UXLINK 更著重于建立双向、熟人型的社交网络，该平台希望成为 Web2 用户进入 Web3 世界的桥梁，并在去中心化的环境中互动、交易加密资产及建立社群，并透过其多代币模型来激励用户参与及社群治理。

此次 UXLINK 漏洞事件，再次凸显了即便是设计用以增强安全性的多重签名钱包，若智能合约的权限管理功能存在缺陷，依然可能被恶意行为者利用。这起攻击不仅对项目方造成重大财务损失，也提醒所有 Web3 平台，持续性的安全审计、严谨的权限设计与强大的内部风控机制至关重要。