黑客年年有，今年也不缺。從Crypto伊始，針對其的網(wǎng)絡(luò)攻擊就相伴而生，并隨著技術(shù)的不斷成熟演化為更復(fù)雜的攻擊手法、更精巧的攻擊邏輯以及更具迷惑性的技術(shù)手段，但有時(shí)，不得不承認(rèn)，再嚴(yán)密的防控，都抵不住人性的弱點(diǎn)。就在最近，Web3明星社交項(xiàng)目UXLINK就中了招。

凌晨被盜、合約增發(fā)、Tokens暴跌，短短不到半天，UXLINK就經(jīng)歷了有史以來最崩潰的時(shí)刻，甚至還上演了“黑吃黑”的名場面。

加密項(xiàng)目的安全，似乎終究是一筆糊涂賬。

與其他項(xiàng)目有所不同，對于UXLINK，圈外的用戶或許并不陌生。UXLINK是基于Telegram構(gòu)建的一款社交類項(xiàng)目，與此前泛式社交的模式不同，UXLINK主打的是“熟人社交”，可通過Telegram、WhatsApp、TikTok和EOA錢包等一鍵登錄，并提供深度社交場景和Tokens激勵(lì)來留存用戶以驅(qū)動增長，強(qiáng)調(diào)社群驅(qū)動的群組功能及資產(chǎn)發(fā)行。

從技術(shù)與流量獲取來看，UXLINK無疑是站在了巨人的肩膀上，堪稱東家的Telegram不僅在技術(shù)與組件上提供支持，在流量獲取也給予了傾斜，從入門到圖形形成、群組工具到社交化交易都無縫集成在Telegram中。

也正源于此，自2023年4月上線以來，UXLINK表現(xiàn)就相當(dāng)優(yōu)異。在資金側(cè)獲得了OKXVentures、MatrixportVentures、SevenXVentures、HashKeyCapital、AnimocaBrands等加密原生資本的青睞，應(yīng)用方向也比普通社交DAPP提前完成冷啟動。到2024年4月，UXLINK已經(jīng)有530萬注冊用戶，構(gòu)建了近9萬多個(gè)群聊，截至到2025年8月，官網(wǎng)發(fā)布的數(shù)據(jù)顯示，UXLINK注冊用戶已達(dá)到5400萬，日活錢包突破了2400萬，憑借龐大的規(guī)模用戶一躍升為Web3社交的頭部平臺。

事情到此處，似乎又有了終結(jié)的意味，但戲劇化的一幕再次發(fā)生。盜取UXLINK資產(chǎn)的黑客遭遇“黑吃黑”，由于授權(quán)給了釣魚團(tuán)隊(duì)的地址，遭到InfernoDrainer釣魚攻擊。經(jīng)核實(shí)，其*非*法獲取的約5.42億枚$UXLINKTokens已被“授權(quán)釣魚”手法竊取。辛辛苦苦盜取，還不忘給他人做嫁衣，只能說意想不到。

根據(jù)最新進(jìn)展，UXLINK啟動了Tokens合約遷移計(jì)劃，新的UXLINK智能合約成功通過安全審計(jì)，合約將部署在Ethereum主網(wǎng)上，并取消了鑄造銷毀功能，將通過跨鏈合作伙伴服務(wù)保持其跨鏈功能。新的UXLINK智能合約已準(zhǔn)備就緒，合約地址為0x3991B07b2951a4300Da8c76e7d2c7eddE861Fef3，持有合法流通的UXLINKTokens的CEX及鏈上用戶將獲得1:1兌換，被認(rèn)定為*非*法發(fā)行的Tokens將不具備兌換資格。部分仍在交易的Tokens，團(tuán)隊(duì)將為受影響的用戶提供單獨(dú)的補(bǔ)償計(jì)劃。

從本次事件來看，項(xiàng)目方的響應(yīng)速度相當(dāng)迅速，不僅迅速穩(wěn)定用戶情緒，也在第一時(shí)間給出了解決方案，應(yīng)急管理方向表現(xiàn)仍然值得表揚(yáng)。但話又說回來，本次攻擊的本質(zhì)就在于多簽管理的欠缺，雖然采用了Safe多簽機(jī)制并配置了多個(gè)多簽賬戶，但實(shí)際管理卻極為缺位，多簽形同虛設(shè)，才由此引發(fā)危機(jī)。

值得注意的是，增發(fā)這項(xiàng)手段，在近日也非常頻發(fā)。與UXLINK同樣的手法，同一時(shí)段Web3項(xiàng)目孵化與啟動平臺Seedify.fund也被盜并增發(fā)了3秭，TokensSFUND受到重創(chuàng)，價(jià)格從0.42美元跌至0.08美元，現(xiàn)穩(wěn)定在0.27美元處。

而就在今日，歐洲Web3項(xiàng)目GriffinAI在剛剛結(jié)束幣安Alpha空投的12小時(shí)后，遭到黑客攻擊惡意增發(fā)50億枚TokensGAIN，使其Tokens從0.163美元一度跌去95%接近歸零。據(jù)官方披露，攻擊地址通過引入未經(jīng)授權(quán)的LayerZeroPeer發(fā)起攻擊，部署偽造的Ethereum合約繞過官方合約，再將偽造的Tokens由LayerZero跨鏈實(shí)現(xiàn)BNBChain的鏈上增發(fā)。而黑客GAIN則將異常增發(fā)地址砸盤獲利的2955枚BNB(約合300萬美元)通過跨鏈橋deBridge兌換成720.81枚ETH后，全部轉(zhuǎn)移進(jìn)TornadoCash進(jìn)行混幣。截至到目前，GriffinAI 已移除BNB鏈上 GAIN的官方流動性池，并正式要求所有CEX暫停 GAIN(BSC)Tokens的交易、存款和提現(xiàn)功能。但需要提醒的是，對于被盜者的安置余賠償，項(xiàng)目方并未提出解決方案。

唯一值得慶幸的是，與UXLINK和SFUND不同的是，部分GAIN的抄底者成功收獲了不錯(cuò)的回報(bào)，有地址以均價(jià)0.00625美元抄底買入2.02萬美元的GAIN，一小時(shí)浮盈10.7萬美元。

整體來看，相比于此前的一次性攻擊行為，如今的攻擊方式開始聚焦于合約權(quán)限與Tokens發(fā)行控制上，雖然同為攻擊手段，但后者顯然要惡劣得多。對于項(xiàng)目而言，Tokens惡意增發(fā)摧毀的是整個(gè)以Tokens為中心的生態(tài)系統(tǒng)，將極大地降低用戶對項(xiàng)目的信任度，并由此引發(fā)一系列連鎖反應(yīng)。一個(gè)典型的例子是，隨著增發(fā)事件頻發(fā)，市場上已然響起了項(xiàng)目方通過多簽自導(dǎo)自演聲音。

從安全方面來看，多簽的管理也值得重視，如今項(xiàng)目方智能合約普遍采用多簽制，但管理也應(yīng)同步跟上，首要應(yīng)做到強(qiáng)制配合硬件錢包，實(shí)現(xiàn)物理隔離，其次應(yīng)盡可能將簽名方分散化，從時(shí)空上、硬件上、備份上盡可能規(guī)避集中化風(fēng)險(xiǎn)。除了技術(shù)硬方向的規(guī)避，軟環(huán)境也至關(guān)重要，多簽持有者應(yīng)做到身份隱藏，并構(gòu)建交叉驗(yàn)證流程，有效進(jìn)行二次核對，構(gòu)筑人工防線。此外，演練也必不可少，保持憂患意識，定期演練并做好危機(jī)預(yù)案，畢竟在業(yè)內(nèi)，假演練分分鐘就可變成真實(shí)戰(zhàn)。

慢霧創(chuàng)始人余弦也給項(xiàng)目方提出了建議，多簽所有者應(yīng)該匹配僅支持復(fù)雜簽名且大屏幕的硬件錢包，囊括從助記詞生成到使用的全過程，并兼配Passphrase或SSS備份以提高安全性。在日常使用中，更應(yīng)該提高警惕，對簽名要求高度謹(jǐn)慎，減少可能的風(fēng)險(xiǎn)。