loading...
2025年9月23日,去中心化社交平台UXLINK遭遇严重安全事件,其基于Gnosis Safe的多签钱包因私钥泄露,导致攻击者通过恶意操作篡改合约权限,实现对项目资产的完全控制。据链上数据,攻击者在短时间内转移了400万枚USDT、50万枚USDC、3.7枚WBTC及25枚ETH等主流资产,并将部分稳定币兑换为DAI后跨链转移。
https://x.com/UXLINKofficial/status/1970181382107476362
本次攻击的核心在于多签钱包的私钥管理漏洞。攻击者首先获取部分私钥,随后利用delegateCall技术调用Safe Multi Send合约,通过构造恶意参数触发代理合约内部回调,从而执行removeOwner函数。由于该函数要求msg.sender == address(this),攻击者成功在合约上下文中绕过外部验证,逐步移除原有所有者,最终将签名阈值(threshold)重置为1,使单一地址即可完成所有交易授权。
这一系列操作使得原本需多重签名才能执行的机制彻底失效,攻击者得以在链上增发10亿枚UXLINK代币,并通过6个关联地址集中抛售套现。
(https://arbiscan.io/tx/0x8504a830e7a7a1ca0308a71130efdebddd78b90a1dcc8a64d7c1d86261754689)
事件发生后,UXLINK官方迅速响应,联合ExVul、PeckShield等安全机构启动应急机制,紧急联系各大中心化交易所(CEX)和去中心化交易所(DEX),请求冻结可疑资金。截至9月24日,大部分被盗资产已被标记并锁定,有效遏制了损失进一步扩大。
值得注意的是,在资金流转过程中,黑客自身也遭遇“黑吃黑”——疑似被Inferno Drainer钓鱼攻击团伙利用授权漏洞,非法窃取其持有的约5.42亿枚UXLINK代币,价值超4800万美元。这一反杀事件为事件增添戏剧性转折。
黑客被钓鱼交易:https://arbiscan.io/tx/0xa70674ccc9caa17d6efaf3f6fcbd5dec40011744c18a1057f391a822f11986ee
未经授权的1B $UXLINK铸币:https://arbiscan.io/tx/0x2466caf408248d1b6fc6fd9d7ec8eb8d8e70cab52dacff1f94b056c10f253bc2
尽管项目方采用了多签机制以增强安全性,但此次事件暴露出“代码即法律”理想下的现实脆弱性。核心问题不在于智能合约本身,而在于私钥保管环节的疏漏。业内专家指出,即使部署了多签,若未实现私钥分散存储与独立管理,仍可能被单一入口攻破。
ExVul团队建议,项目方应建立更严格的多签治理流程,包括采用硬件钱包分片存储、引入时间锁机制、定期审计合约权限,并加强员工安全意识培训,从根本上防范人为失误带来的风险。
目前UXLINK代币价格在0.08美元附近震荡,短期受冻结消息提振或有反弹可能,但长期走势仍取决于项目方能否恢复社区信任。官方已宣布将启动代币置换计划,隔离被恶意增发污染的旧代币,并承诺制定用户赔偿方案。
此次事件再次印证了区块链安全的复杂性:技术层面的防护必须与管理制度同步升级。对于投资者而言,应警惕高波动性项目中的治理风险,关注链上数据与项目透明度,避免在非官方渠道进行交易活动。
360
837
195
161
910
886
430
216
334
444
