增发10亿Tokens、被盗千万美元 明星社交项目UXLINK迎来“至暗”时刻
黑客年年有,今年也不缺。从Crypto伊始,针对其的网络攻击就相伴而生,并随着技术的不断成熟演化为更复杂的攻击手法、更精巧的攻击逻辑以及更具迷惑性的技术手段,但有时,不得不承认,再严密的防控,都抵不住人性的弱点。就在最近,Web3明星社交项目UXLINK就中了招。
凌晨被盗、合约增发、Tokens暴跌,短短不到半天,UXLINK就经历了有史以来最崩溃的时刻,甚至还上演了“黑吃黑”的名场面。
加密项目的安全,似乎终究是一笔糊涂账。
与其他项目有所不同,对于UXLINK,圈外的用户或许并不陌生。UXLINK是基于Telegram构建的一款社交类项目,与此前泛式社交的模式不同,UXLINK主打的是“熟人社交”,可通过Telegram、WhatsApp、TikTok和EOA钱包等一键登录,并提供深度社交场景和Tokens激励来留存用户以驱动增长,强调社群驱动的群组功能及资产发行。
从技术与流量获取来看,UXLINK无疑是站在了巨人的肩膀上,堪称东家的Telegram不仅在技术与组件上提供支持,在流量获取也给予了倾斜,从入门到图形形成、群组工具到社交化交易都无缝集成在Telegram中。
也正源于此,自2023年4月上线以来,UXLINK表现就相当优异。在资金侧获得了OKXVentures、MatrixportVentures、SevenXVentures、HashKeyCapital、AnimocaBrands等加密原生资本的青睐,应用方向也比普通社交DAPP提前完成冷启动。到2024年4月,UXLINK已经有530万注册用户,构建了近9万多个群聊,截至到2025年8月,官网发布的数据显示,UXLINK注册用户已达到5400万,日活钱包突破了2400万,凭借庞大的规模用户一跃升为Web3社交的头部平台。
事情到此处,似乎又有了终结的意味,但戏剧化的一幕再次发生。盗取UXLINK资产的黑客遭遇“黑吃黑”,由于授权给了钓鱼团队的地址,遭到InfernoDrainer钓鱼攻击。经核实,其*非*法获取的约5.42亿枚$UXLINKTokens已被“授权钓鱼”手法窃取。辛辛苦苦盗取,还不忘给他人做嫁衣,只能说意想不到。
根据最新进展,UXLINK启动了Tokens合约迁移计划,新的UXLINK智能合约成功通过安全审计,合约将部署在Ethereum主网上,并取消了铸造销毁功能,将通过跨链合作伙伴服务保持其跨链功能。新的UXLINK智能合约已准备就绪,合约地址为0x3991B07b2951a4300Da8c76e7d2c7eddE861Fef3,持有合法流通的UXLINKTokens的CEX及链上用户将获得1:1兑换,被认定为*非*法发行的Tokens将不具备兑换资格。部分仍在交易的Tokens,团队将为受影响的用户提供单独的补偿计划。
从本次事件来看,项目方的响应速度相当迅速,不仅迅速稳定用户情绪,也在第一时间给出了解决方案,应急管理方向表现仍然值得表扬。但话又说回来,本次攻击的本质就在于多签管理的欠缺,虽然采用了Safe多签机制并配置了多个多签账户,但实际管理却极为缺位,多签形同虚设,才由此引发危机。
值得注意的是,增发这项手段,在近日也非常频发。与UXLINK同样的手法,同一时段Web3项目孵化与启动平台Seedify.fund也被盗并增发了3秭,TokensSFUND受到重创,价格从0.42美元跌至0.08美元,现稳定在0.27美元处。
而就在今日,欧洲Web3项目GriffinAI在刚刚结束币安Alpha空投的12小时后,遭到黑客攻击恶意增发50亿枚TokensGAIN,使其Tokens从0.163美元一度跌去95%接近归零。据官方披露,攻击地址通过引入未经授权的LayerZeroPeer发起攻击,部署伪造的Ethereum合约绕过官方合约,再将伪造的Tokens由LayerZero跨链实现BNBChain的链上增发。而黑客GAIN则将异常增发地址砸盘获利的2955枚BNB(约合300万美元)通过跨链桥deBridge兑换成720.81枚ETH后,全部转移进TornadoCash进行混币。截至到目前,GriffinAI 已移除BNB链上 GAIN的官方流动性池,并正式要求所有CEX暂停 GAIN(BSC)Tokens的交易、存款和提现功能。但需要提醒的是,对于被盗者的安置余赔偿,项目方并未提出解决方案。
唯一值得庆幸的是,与UXLINK和SFUND不同的是,部分GAIN的抄底者成功收获了不错的回报,有地址以均价0.00625美元抄底买入2.02万美元的GAIN,一小时浮盈10.7万美元。
整体来看,相比于此前的一次性攻击行为,如今的攻击方式开始聚焦于合约权限与Tokens发行控制上,虽然同为攻击手段,但后者显然要恶劣得多。对于项目而言,Tokens恶意增发摧毁的是整个以Tokens为中心的生态系统,将极大地降低用户对项目的信任度,并由此引发一系列连锁反应。一个典型的例子是,随着增发事件频发,市场上已然响起了项目方通过多签自导自演声音。
从安全方面来看,多签的管理也值得重视,如今项目方智能合约普遍采用多签制,但管理也应同步跟上,首要应做到强制配合硬件钱包,实现物理隔离,其次应尽可能将签名方分散化,从时空上、硬件上、备份上尽可能规避集中化风险。除了技术硬方向的规避,软环境也至关重要,多签持有者应做到身份隐藏,并构建交叉验证流程,有效进行二次核对,构筑人工防线。此外,演练也必不可少,保持忧患意识,定期演练并做好危机预案,毕竟在业内,假演练分分钟就可变成真实战。
慢雾创始人余弦也给项目方提出了建议,多签所有者应该匹配仅支持复杂签名且大屏幕的硬件钱包,囊括从助记词生成到使用的全过程,并兼配Passphrase或SSS备份以提高安全性。在日常使用中,更应该提高警惕,对签名要求高度谨慎,减少可能的风险。