Web3社交明星项目UXLINK遭遇黑客攻击：增发10亿代币、市值蒸发近亿

加密货币领域的安全问题一直是行业痛点，而近期，Web3领域备受瞩目的社交项目UXLINK却因一次严重的黑客攻击事件引发了行业震动。从凌晨被盗到代币增发，再到市值暴跌，UXLINK在短短半天内经历了堪称“至暗”的时刻。

与传统社交平台不同，UXLINK基于Telegram构建，主打“熟人社交”，支持通过Telegram、WhatsApp、TikTok和EOA钱包一键登录，凭借深度社交场景和代币激励机制迅速崛起。自2023年4月上线以来，该项目已吸引了5400万注册用户，日活钱包突破2400万，成为Web3社交领域的头部平台。

然而，再庞大的用户基础也难以抵挡黑客的致命一击。

9月23日凌晨，安全公司Cyvers发出预警，称检测到涉及UXLINK的可疑交易，规模高达1130万美元。经调查发现，此次攻击源于私钥泄露，黑客通过delegateCall操作删除了原有的多签管理员，并将自己设为唯一控制人。随后，黑客转出了包括USDT 400万、USDC 50万、WBTC 3.7、ETH 25以及约300万枚UXLINK在内的资产。

消息传出后，市场反应剧烈，UXLINK现货价格从0.3美元迅速下挫至0.18美元以下，并持续下跌。官方在1小时后承认了攻击事件，并表示正与安全专家合作调查，同时联系主要交易所紧急冻结可疑资金。

然而，这只是灾难的开始。次日上午9点54分，黑客利用其掌握的管理权限，未经允许使用合约铸造功能增发了10亿枚UXLINK代币。此举直接破坏了代币的稀缺性，导致UXLINK价格一路暴跌，最低接近归零，链上市值一度触及80美元，较事件前的1.5亿美元大幅缩水。

更令人惊讶的是，黑客并未就此收手，而是继续在各大交易所抛售增发的代币，累计获利2810万美元。与此同时，部分用户因误判形势在事件后抄底，结果损失惨重，甚至有地址投入90万美元最终几乎归零。

戏剧性的一幕发生在黑客遭到“黑吃黑”时。由于授权给了钓鱼团队的地址，黑客非法获取的约5.42亿枚UXLINK代币被另一伙攻击者通过“授权钓鱼”手法窃取，可谓“螳螂捕蝉，黄雀在后”。

针对这一系列危机，UXLINK启动了代币合约迁移计划。新的UXLINK智能合约已通过安全审计并部署在以太坊主网上，取消了铸造销毁功能，仅保留跨链服务。合法流通的代币将以1:1比例兑换，非法增发部分将不具备兑换资格。对于受影响的用户，团队承诺提供单独的补偿方案。

尽管UXLINK在危机应对上表现迅速，但本次事件暴露了项目方在多签管理上的严重漏洞。虽然采用了Safe多签机制，但实际管理缺位，多签形同虚设，最终酿成大祸。

值得注意的是，类似的攻击并非孤例。同一时段，Web3孵化器Seedify.fund和欧洲项目Griffin AI也分别因恶意增发遭受重创。前者增发3秭代币SFUND，后者则在币安Alpha空投结束后被黑客增发50亿枚GAIN，均引发市场剧烈波动。

业内专家指出，如今的攻击方式更加聚焦于合约权限与代币发行控制，相比以往单纯的资产盗窃，这类攻击对项目的生态破坏力更强。为此，项目方需加强多签管理，例如强制配合硬件钱包实现物理隔离、分散签名方、定期演练等措施，以提高安全性。

慢雾创始人余弦建议，多签所有者应使用仅支持复杂签名且具备大屏幕的硬件钱包，从助记词生成到使用全过程严格管理，并兼配Passphrase或SSS备份，同时保持高度警惕，减少潜在风险。