增發10億Tokens、被盜千萬美元 明星社交項目UXLINK迎來“至暗”時刻
黑客年年有,今年也不缺。從Crypto伊始,針對其的網絡攻擊就相伴而生,并隨著技術的不斷成熟演化為更復雜的攻擊手法、更精巧的攻擊邏輯以及更具迷惑性的技術手段,但有時,不得不承認,再嚴密的防控,都抵不住人性的弱點。就在最近,Web3明星社交項目UXLINK就中了招。
凌晨被盜、合約增發、Tokens暴跌,短短不到半天,UXLINK就經歷了有史以來最崩潰的時刻,甚至還上演了“黑吃黑”的名場面。
加密項目的安全,似乎終究是一筆糊涂賬。
與其他項目有所不同,對于UXLINK,圈外的用戶或許并不陌生。UXLINK是基于Telegram構建的一款社交類項目,與此前泛式社交的模式不同,UXLINK主打的是“熟人社交”,可通過Telegram、WhatsApp、TikTok和EOA錢包等一鍵登錄,并提供深度社交場景和Tokens激勵來留存用戶以驅動增長,強調社群驅動的群組功能及資產發行。
從技術與流量獲取來看,UXLINK無疑是站在了巨人的肩膀上,堪稱東家的Telegram不僅在技術與組件上提供支持,在流量獲取也給予了傾斜,從入門到圖形形成、群組工具到社交化交易都無縫集成在Telegram中。
也正源于此,自2023年4月上線以來,UXLINK表現就相當優異。在資金側獲得了OKXVentures、MatrixportVentures、SevenXVentures、HashKeyCapital、AnimocaBrands等加密原生資本的青睞,應用方向也比普通社交DAPP提前完成冷啟動。到2024年4月,UXLINK已經有530萬注冊用戶,構建了近9萬多個群聊,截至到2025年8月,官網發布的數據顯示,UXLINK注冊用戶已達到5400萬,日活錢包突破了2400萬,憑借龐大的規模用戶一躍升為Web3社交的頭部平臺。
事情到此處,似乎又有了終結的意味,但戲劇化的一幕再次發生。盜取UXLINK資產的黑客遭遇“黑吃黑”,由于授權給了釣魚團隊的地址,遭到InfernoDrainer釣魚攻擊。經核實,其*非*法獲取的約5.42億枚$UXLINKTokens已被“授權釣魚”手法竊取。辛辛苦苦盜取,還不忘給他人做嫁衣,只能說意想不到。
根據最新進展,UXLINK啟動了Tokens合約遷移計劃,新的UXLINK智能合約成功通過安全審計,合約將部署在Ethereum主網上,并取消了鑄造銷毀功能,將通過跨鏈合作伙伴服務保持其跨鏈功能。新的UXLINK智能合約已準備就緒,合約地址為0x3991B07b2951a4300Da8c76e7d2c7eddE861Fef3,持有合法流通的UXLINKTokens的CEX及鏈上用戶將獲得1:1兌換,被認定為*非*法發行的Tokens將不具備兌換資格。部分仍在交易的Tokens,團隊將為受影響的用戶提供單獨的補償計劃。
從本次事件來看,項目方的響應速度相當迅速,不僅迅速穩定用戶情緒,也在第一時間給出了解決方案,應急管理方向表現仍然值得表揚。但話又說回來,本次攻擊的本質就在于多簽管理的欠缺,雖然采用了Safe多簽機制并配置了多個多簽賬戶,但實際管理卻極為缺位,多簽形同虛設,才由此引發危機。
值得注意的是,增發這項手段,在近日也非常頻發。與UXLINK同樣的手法,同一時段Web3項目孵化與啟動平臺Seedify.fund也被盜并增發了3秭,TokensSFUND受到重創,價格從0.42美元跌至0.08美元,現穩定在0.27美元處。
而就在今日,歐洲Web3項目GriffinAI在剛剛結束幣安Alpha空投的12小時后,遭到黑客攻擊惡意增發50億枚TokensGAIN,使其Tokens從0.163美元一度跌去95%接近歸零。據官方披露,攻擊地址通過引入未經授權的LayerZeroPeer發起攻擊,部署偽造的Ethereum合約繞過官方合約,再將偽造的Tokens由LayerZero跨鏈實現BNBChain的鏈上增發。而黑客GAIN則將異常增發地址砸盤獲利的2955枚BNB(約合300萬美元)通過跨鏈橋deBridge兌換成720.81枚ETH后,全部轉移進TornadoCash進行混幣。截至到目前,GriffinAI 已移除BNB鏈上 GAIN的官方流動性池,并正式要求所有CEX暫停 GAIN(BSC)Tokens的交易、存款和提現功能。但需要提醒的是,對于被盜者的安置余賠償,項目方并未提出解決方案。
唯一值得慶幸的是,與UXLINK和SFUND不同的是,部分GAIN的抄底者成功收獲了不錯的回報,有地址以均價0.00625美元抄底買入2.02萬美元的GAIN,一小時浮盈10.7萬美元。
整體來看,相比于此前的一次性攻擊行為,如今的攻擊方式開始聚焦于合約權限與Tokens發行控制上,雖然同為攻擊手段,但后者顯然要惡劣得多。對于項目而言,Tokens惡意增發摧毀的是整個以Tokens為中心的生態系統,將極大地降低用戶對項目的信任度,并由此引發一系列連鎖反應。一個典型的例子是,隨著增發事件頻發,市場上已然響起了項目方通過多簽自導自演聲音。
從安全方面來看,多簽的管理也值得重視,如今項目方智能合約普遍采用多簽制,但管理也應同步跟上,首要應做到強制配合硬件錢包,實現物理隔離,其次應盡可能將簽名方分散化,從時空上、硬件上、備份上盡可能規避集中化風險。除了技術硬方向的規避,軟環境也至關重要,多簽持有者應做到身份隱藏,并構建交叉驗證流程,有效進行二次核對,構筑人工防線。此外,演練也必不可少,保持憂患意識,定期演練并做好危機預案,畢竟在業內,假演練分分鐘就可變成真實戰。
慢霧創始人余弦也給項目方提出了建議,多簽所有者應該匹配僅支持復雜簽名且大屏幕的硬件錢包,囊括從助記詞生成到使用的全過程,并兼配Passphrase或SSS備份以提高安全性。在日常使用中,更應該提高警惕,對簽名要求高度謹慎,減少可能的風險。