执行摘要
Web3 社交平台 UXLINK 的多重签名钱包遭受了 1130 万美元的安全漏洞,导致数十亿代币未经授权铸造,其原生代币价格暴跌 77%。该事件于 2025 年 9 月 22 日首次由 Cyvers Alerts 检测到,涉及利用 delegateCall
漏洞,允许攻击者获得管理控制权并操纵代币供应。UXLINK 已通过与交易所协调冻结资金、联系执法部门以及计划进行代币互换以恢复生态系统完整性来作出回应。
事件详情
2025 年 9 月 22 日,区块链安全公司 Cyvers Alerts 在 UXLINK 的智能合约中发现了可疑活动,导致 UXLINK 于 2025 年 9 月 23 日官方确认其多重签名钱包发生安全漏洞。该漏洞利用了钱包 delegateCall
实现中的一个缺陷,该缺陷授予攻击者管理员级别的访问权限。这使得攻击者能够绕过访问控制,重新配置钱包权限,并操纵代币供应机制。
攻击者共盗取了约 1130 万美元的资产,其中包括 450 万美元的稳定币,如 USDT、WBTC 和 ETH。Lookonchain 的链上分析表明,黑客将 5.42 亿枚 UXLINK 代币转移到钓鱼地址,并在去中心化交易所 (DEXs) 出售了 4.9 亿枚代币。此外,攻击者还进行了未经授权的铸造,在 Arbitrum 网络上创建了 10 亿至 20 亿枚新的 UXLINK 代币,后来的报告显示铸造数量继续增加到约 10 万亿枚。这些非法铸造和盗取的代币随后被清算,收益通过跨链桥转移到 Ethereum 并兑换为 ETH,至少获得了 6,732 ETH,价值约 2810 万美元。市场反应剧烈,UXLINK 代币价格在数小时内从 0.30 美元跌至 0.09454 美元,跌幅达 77%,市值蒸发约 7000 万美元。
财务机制和应对措施
本次安全漏洞的核心财务机制涉及 UXLINK 代币的未经授权铸造和随后的清算。通过利用 delegateCall
漏洞,攻击者有效地制造了一次通货膨胀事件,稀释了现有代币供应并促成了大规模抛售。直接资产流失包括 400 万美元的 USDT,额外 50 万美元的 USDT,3.7 WBTC(价值约 418,590 美元),以及 25 ETH(价值约 105,326 美元)。
为应对此次攻击,UXLINK 采取了多项协调行动。平台立即通知社区不要在 DEXs 上交易 $UXLINK,并联系了主要的中心化交易所 (CEXs) 以暂停交易并冻结可疑存款。Upbit 等平台的早期干预成功冻结了 500 万至 700 万美元的被盗资金。然而,分析师估计仍有 2000 万至 3000 万美元的被盗资产在黑客控制之下。UXLINK 已向执法机构报告了该事件,并正在与区块链分析公司 Blockscope 和安全公司 PeckShield 合作,追踪 Arbitrum 和 Ethereum 网络上的资金流向,协助调查。为了减轻未经授权铸造的影响并恢复代币的经济模型,UXLINK 宣布了代币互换计划,强调用户钱包未受直接影响,且大部分被盗资金已被冻结。该项目还承诺通过社区治理流程赔偿受害者。
市场影响
此次事件凸显了 DeFi 生态系统中的关键漏洞,尤其是在多重签名钱包的可靠性方面。多重签名钱包旨在增强安全性,但在访问权限配置错误时却被证明容易受到攻击。UXLINK 攻击强调了对采用复杂治理模型的 Web3 平台进行更稳健的智能合约审计和持续安全评估的必要性。该事件导致整个行业的高度审查,加强了即使在看似安全的多重签名设置中也存在单点故障的担忧。
更广泛的市场影响包括投资者对 Web3 社交平台和使用多重签名钱包解决方案的项目信任的潜在侵蚀。此类漏洞可能阻碍机构和散户投资者,导致对透明安全协议和全面风险评估的需求增加。该事件为其他项目敲响了警钟,强调了未解决的安全缺陷相关的财务和声誉风险以及市值快速损失的可能性。
专家评论
分析师指出,UXLINK 漏洞再次引发了关于 DeFi 中多重签名钱包固有安全性的争论。虽然旨在通过需要多方批准来降低风险,但此次漏洞表明,底层 delegateCall
功能或配置错误的访问控制中的漏洞可能会破坏这些安全措施。行业专家强调,此类事件直接侵蚀了投资者信任,将 UXLINK 的情况定位为基于复杂治理结构构建的项目的一个鲜明例子。持续、严格的审计和透明的事件响应协议的需求是漏洞后专家讨论中反复出现的主题。
更广阔的背景
UXLINK 攻击与 Web3 空间中日益令人担忧的安全漏洞趋势相符,特别针对 DeFi 协议和多重签名钱包。此次事件紧随其他多起备受瞩目的漏洞,加剧了在保护去中心化应用程序和用户资产方面持续存在的挑战。UXLINK 的快速响应,包括与交易所和执法部门的协调,反映了行业对迅速事件管理的普遍推动。然而,未经授权铸造和资产流失的规模凸显了持续存在的威胁格局,需要重新评估当前的安全最佳实践并开发更具弹性的基础设施以保护新兴的 Web3 生态系统。
来源:[1] UXLINK 多重签名钱包被黑,大量加密货币被盗 - TechFlow (https://www.techflowpost.com/newsletter/detai ...)[2] DeFi 的多重签名漏洞暴露:UXLINK 1100 万美元黑客事件凸显安全危机 - AInvest (https://vertexaisearch.cloud.google.com/groun ...)[3] UXLINK 2025 年黑客攻击:1130 万美元被盗,$UXLINK 在多重签名漏洞中暴跌 70% - Bitemycoin (https://vertexaisearch.cloud.google.com/groun ...)