增發(fā)10億Tokens、被盜千萬美元 明星社交項目UXLINK迎來“至暗”時刻
黑客年年有,今年也不缺。從Crypto伊始,針對其的網(wǎng)絡(luò)攻擊就相伴而生,并隨著技術(shù)的不斷成熟演化為更復(fù)雜的攻擊手法、更精巧的攻擊邏輯以及更具迷惑性的技術(shù)手段,但有時,不得不承認,再嚴密的防控,都抵不住人性的弱點。就在最近,Web3明星社交項目UXLINK就中了招。
凌晨被盜、合約增發(fā)、Tokens暴跌,短短不到半天,UXLINK就經(jīng)歷了有史以來最崩潰的時刻,甚至還上演了“黑吃黑”的名場面。
加密項目的安全,似乎終究是一筆糊涂賬。
與其他項目有所不同,對于UXLINK,圈外的用戶或許并不陌生。UXLINK是基于Telegram構(gòu)建的一款社交類項目,與此前泛式社交的模式不同,UXLINK主打的是“熟人社交”,可通過Telegram、WhatsApp、TikTok和EOA錢包等一鍵登錄,并提供深度社交場景和Tokens激勵來留存用戶以驅(qū)動增長,強調(diào)社群驅(qū)動的群組功能及資產(chǎn)發(fā)行。
從技術(shù)與流量獲取來看,UXLINK無疑是站在了巨人的肩膀上,堪稱東家的Telegram不僅在技術(shù)與組件上提供支持,在流量獲取也給予了傾斜,從入門到圖形形成、群組工具到社交化交易都無縫集成在Telegram中。
也正源于此,自2023年4月上線以來,UXLINK表現(xiàn)就相當優(yōu)異。在資金側(cè)獲得了OKXVentures、MatrixportVentures、SevenXVentures、HashKeyCapital、AnimocaBrands等加密原生資本的青睞,應(yīng)用方向也比普通社交DAPP提前完成冷啟動。到2024年4月,UXLINK已經(jīng)有530萬注冊用戶,構(gòu)建了近9萬多個群聊,截至到2025年8月,官網(wǎng)發(fā)布的數(shù)據(jù)顯示,UXLINK注冊用戶已達到5400萬,日活錢包突破了2400萬,憑借龐大的規(guī)模用戶一躍升為Web3社交的頭部平臺。
事情到此處,似乎又有了終結(jié)的意味,但戲劇化的一幕再次發(fā)生。盜取UXLINK資產(chǎn)的黑客遭遇“黑吃黑”,由于授權(quán)給了釣魚團隊的地址,遭到InfernoDrainer釣魚攻擊。經(jīng)核實,其*非*法獲取的約5.42億枚$UXLINKTokens已被“授權(quán)釣魚”手法竊取。辛辛苦苦盜取,還不忘給他人做嫁衣,只能說意想不到。
根據(jù)最新進展,UXLINK啟動了Tokens合約遷移計劃,新的UXLINK智能合約成功通過安全審計,合約將部署在Ethereum主網(wǎng)上,并取消了鑄造銷毀功能,將通過跨鏈合作伙伴服務(wù)保持其跨鏈功能。新的UXLINK智能合約已準備就緒,合約地址為0x3991B07b2951a4300Da8c76e7d2c7eddE861Fef3,持有合法流通的UXLINKTokens的CEX及鏈上用戶將獲得1:1兌換,被認定為*非*法發(fā)行的Tokens將不具備兌換資格。部分仍在交易的Tokens,團隊將為受影響的用戶提供單獨的補償計劃。
從本次事件來看,項目方的響應(yīng)速度相當迅速,不僅迅速穩(wěn)定用戶情緒,也在第一時間給出了解決方案,應(yīng)急管理方向表現(xiàn)仍然值得表揚。但話又說回來,本次攻擊的本質(zhì)就在于多簽管理的欠缺,雖然采用了Safe多簽機制并配置了多個多簽賬戶,但實際管理卻極為缺位,多簽形同虛設(shè),才由此引發(fā)危機。
值得注意的是,增發(fā)這項手段,在近日也非常頻發(fā)。與UXLINK同樣的手法,同一時段Web3項目孵化與啟動平臺Seedify.fund也被盜并增發(fā)了3秭,TokensSFUND受到重創(chuàng),價格從0.42美元跌至0.08美元,現(xiàn)穩(wěn)定在0.27美元處。
而就在今日,歐洲Web3項目GriffinAI在剛剛結(jié)束幣安Alpha空投的12小時后,遭到黑客攻擊惡意增發(fā)50億枚TokensGAIN,使其Tokens從0.163美元一度跌去95%接近歸零。據(jù)官方披露,攻擊地址通過引入未經(jīng)授權(quán)的LayerZeroPeer發(fā)起攻擊,部署偽造的Ethereum合約繞過官方合約,再將偽造的Tokens由LayerZero跨鏈實現(xiàn)BNBChain的鏈上增發(fā)。而黑客GAIN則將異常增發(fā)地址砸盤獲利的2955枚BNB(約合300萬美元)通過跨鏈橋deBridge兌換成720.81枚ETH后,全部轉(zhuǎn)移進TornadoCash進行混幣。截至到目前,GriffinAI 已移除BNB鏈上 GAIN的官方流動性池,并正式要求所有CEX暫停 GAIN(BSC)Tokens的交易、存款和提現(xiàn)功能。但需要提醒的是,對于被盜者的安置余賠償,項目方并未提出解決方案。
唯一值得慶幸的是,與UXLINK和SFUND不同的是,部分GAIN的抄底者成功收獲了不錯的回報,有地址以均價0.00625美元抄底買入2.02萬美元的GAIN,一小時浮盈10.7萬美元。
整體來看,相比于此前的一次性攻擊行為,如今的攻擊方式開始聚焦于合約權(quán)限與Tokens發(fā)行控制上,雖然同為攻擊手段,但后者顯然要惡劣得多。對于項目而言,Tokens惡意增發(fā)摧毀的是整個以Tokens為中心的生態(tài)系統(tǒng),將極大地降低用戶對項目的信任度,并由此引發(fā)一系列連鎖反應(yīng)。一個典型的例子是,隨著增發(fā)事件頻發(fā),市場上已然響起了項目方通過多簽自導(dǎo)自演聲音。
從安全方面來看,多簽的管理也值得重視,如今項目方智能合約普遍采用多簽制,但管理也應(yīng)同步跟上,首要應(yīng)做到強制配合硬件錢包,實現(xiàn)物理隔離,其次應(yīng)盡可能將簽名方分散化,從時空上、硬件上、備份上盡可能規(guī)避集中化風險。除了技術(shù)硬方向的規(guī)避,軟環(huán)境也至關(guān)重要,多簽持有者應(yīng)做到身份隱藏,并構(gòu)建交叉驗證流程,有效進行二次核對,構(gòu)筑人工防線。此外,演練也必不可少,保持憂患意識,定期演練并做好危機預(yù)案,畢竟在業(yè)內(nèi),假演練分分鐘就可變成真實戰(zhàn)。
慢霧創(chuàng)始人余弦也給項目方提出了建議,多簽所有者應(yīng)該匹配僅支持復(fù)雜簽名且大屏幕的硬件錢包,囊括從助記詞生成到使用的全過程,并兼配Passphrase或SSS備份以提高安全性。在日常使用中,更應(yīng)該提高警惕,對簽名要求高度謹慎,減少可能的風險。