UXLINK 暴跌超 70%，遭黑客非法增发 10 亿枚代币

作者：Zhou, ChainCatcher

9 月 22 日晚间，Web3 社交平台 UXLINK 遭遇严重安全事故，黑客通过 delegateCall 移除项目多签金库的原管理员并加入自控地址，随即取得铸币与管理权能，从项目方控制的钱包及授权地址转走 USDT、USDC、WBTC、ETH 与部分 UXLINK，涉及金融约 1,130 万美元。

随后，黑客在 Arbitrum 非法增发 UXLINK（规模超 10 亿枚），并开始分散抛售。按照链上追踪数据，黑客通过六个地址在去中心化与中心化场景合计卖出约 4.90 亿枚 UXLINK，并换得 6,732 枚 ETH，按当时价格约 2,810 万美元。此外，黑客还在各 CEX 卖出大量 UXLINK。

异常供给与集中出货叠加，引发 UXLINK 价格在数小时内快速下坠，从约 0.30 美元跌至 0.07 至 0.10 美元区间，阶段跌幅 70% 至 77%；其市值从约 1.44 亿美元跌至 0.37 亿美元，24 小时交易量激增 2622.70% 至 3.09 亿美元。

据链上监测数据，UXLINK 项目遭遇黑客攻击后，某地址在凌晨花费 92.7 万美元以均价 0.03283 美元买入 UXLINK 代币，随着价格暴跌，亏损率一度接近 99.8%。

事件发生后，UXLINK 团队连夜通告，宣布与多家交易所协作冻结涉案资金并暂停相关交易，并与警方和安全公司合作调查。同时，项目方承诺即将公布代币置换细节，警告用户勿在去中心化交易所交易以防进一步损失。

韩国交易所 Upbit 在 9 月 23 日中午公告将 UXLINK 列为警示资产并暂停存款，审查期至 10 月 17 日，理由是项目披露不足与铸币权限异常可能导致用户损失，同时提出受影响账户的补偿安排。

市场对 UXLINK 代币的负面情绪逐步扩散。Ledger 首席技术官 Charles Guillemet 指出，钱包仍然在黑客控制之下说明私钥已被完全泄露，可能是通过软件钱包，甚至是纯文本种子备份。他们试图兑换这些巨额 UXLINK，导致 Uniswap 上的流动性被彻底清除；虽然目前尚不清楚有多少 UXLINK 被成功兑换，但攻击者仍然持有大量 UXLINK，这些 UXLINK 代币可能会变得一文不值。他还表示，清除签名和交易校验可以解决这个问题。

知名加密研究员 Jason Chen 表示，UXLINK 项目因黑客攻击导致经济模型崩溃，黑客无限增发代币让价格接近归零，这种情况几乎无法挽回，社区信任正在急剧流失。

值得一提的是，23 日上午，监测显示涉案地址又出现可疑交互与资金外流，黑客疑似遭到“黑吃黑”。据 PeckShieldAlert 报告与本次入侵相关的黑客地址随后遭到钓鱼，标注为 Fake_Phishing1309277 的样本将 5.42 亿枚 UXLINK 转移走，按当时价格约 4,800 万美元。

慢雾创始人余弦发推表示，UXLINK 黑客或遭遇 Inferno Drainer 钓鱼攻击，其此前盗取的约 5.42 亿枚 UXLINK 可能是被 Inferno Drainer 用普通授权钓鱼手法钓走了。

事实上，加密货币领域多签钱包攻击并非首次发生。据统计，2024 年全球此类黑客事件造成超过 20 亿美元损失，包括 WazirX 和 Radiant Capital 的多签钱包安全漏洞。

此前的案例中，为了重建信任并减少法律风险，项目方常见的补偿措施包括资金冻结、储备退款、代币置换和安全升级等，UXLINK 当前计划的是代币置换，具体置换细节还需等官方公告。

点击了解ChainCatcher在招岗位