UXLINK 安全漏洞損失千萬美元，黑客隨後竟遭「黑吃黑」贓款被盜

UXLINK 於 2025 年 9 月 23 日凌晨 證實 其多重簽名錢包發生嚴重安全漏洞，導致價值超過 1130 萬美元的加密貨幣資產被盜，此次攻擊最早由區塊鏈安全公司 Cyvers 監測並發出警報 。

被盜資產與駭客手法

黑客利用 delegateCall 函數漏洞，移除了錢包的合法管理員權限，接著透過 addOwnerWithThreshold 函數將自己添加為新的錢包所有者，從而完全繞過了多重簽名的安全機制。

被盜的資產目前估計如下：

• 400 萬美元的 USDT
• 50 萬美元的 USDC
• 3.7 枚 WBTC
• 25 枚 ETH
• 約 300 萬美元價值的 UXLINK 原生代幣

攻擊者得手後，迅速將盜取的穩定幣在以太坊和 Arbitrum 網路上交換為 DAI 和 ETH，並將資產分散轉移至多個中心化（CEX）與去中心化（DEX）交易所，試圖清洗贓款。同時，黑客立即在公開市場上拋售了部分 UXLINK 代幣，初步估計約 80 萬美元，引發了市場的恐慌。

最新發展：黑客遭「黑吃黑」釣魚攻擊

極具戲劇性的是，根據鏈上數據追蹤及慢霧（SlowMist）創辦人 余弦的分析 ，成功攻擊 UXLINK 的黑客似乎自己也成為了網路釣魚集團「Inferno Drainer」的受害者。黑客可能因操作失誤，授權給了釣魚合約，導致其盜來的約 5.42 億枚 UXLINK 代幣被該釣魚集團再度轉走，上演了一齣「螳螂捕蟬，黃雀在後」的戲碼。

市場衝擊與項目方應對

此次攻擊事件對 UXLINK 的市場信心造成了沉重打擊。消息傳出後，UXLINK 代幣價格在一小時內暴跌超過 70%（部分數據源指跌幅達 77%），市值蒸發逾 7000 萬美元。黑客的拋售行為與投資者的恐慌性賣出，導致代幣交易量在短時間內激增超過 1700% 。

面對這次危機，UXLINK 團隊目前迅速採取了以下應對措施：

• 緊急合作：與內部及外部的安全專家（如 PeckShield）合作，徹查漏洞根本原因。
• 凍結資產：立即聯繫各大交易所（包括 Kraken 、 Bithumb 等）請求協助，凍結與黑客地址相關的可疑存款，並成功凍結了部分被盜資產。
• 執法報案：已向執法機構正式報案，尋求法律途徑追蹤駭客並追回資產。
• 代幣置換與補償：由於黑客攻擊可能涉及未經授權的代幣鑄造，UXLINK 宣布將啟動代幣置換計畫，以保障持有者權益，並將為受影響的用戶制定補償方案。

UXLINK 是一個 Web3 社交平台與基礎設施，旨在將真實世界的社交關係與區塊鏈技術結合，不同於傳統社群媒體單向追蹤的模式，UXLINK 更著重於建立雙向、熟人型的社交網絡，該平台希望成為 Web2 用戶進入 Web3 世界的橋樑，並在去中心化的環境中互動、交易加密資產及建立社群，並透過其多代幣模型來激勵用戶參與及社群治理。

此次 UXLINK 漏洞事件，再次凸顯了即便是設計用以增強安全性的多重簽名錢包，若智能合約的權限管理功能存在缺陷，依然可能被惡意行為者利用。這起攻擊不僅對項目方造成重大財務損失，也提醒所有 Web3 平台，持續性的安全審計、嚴謹的權限設計與強大的內部風控機制至關重要。