重點一次看
事件概述
9月22日至23日,SocialFi項目UXLINK和Launchpad平台Seedify.fund接連遭遇駭客攻擊,導致兩者市值在兩天內蒸發超1億美元,引發市場對加密項目安全性的廣泛擔憂。
UXLINK攻擊細節
- 駭客透過智能合約漏洞獲取項目金庫控制權,盜取400萬美元資產,並憑空增發10萬億枚UXLINK代幣進行拋售,最終獲利超1100萬美元。
- 代幣價格暴跌超80%,市值從1.4億美元驟降至1680萬美元,部分用戶因抄底行為損失慘重。
Seedify.fund(SFUND)攻擊細節
攻擊者透過跨鏈橋漏洞增發巨額SFUND代幣並拋售,獲利約120萬美元,導致代幣價格短時間內暴跌73%,市值大幅縮水。
行業反思與挑戰
- 兩次攻擊均暴露了智慧合約權限管理和代幣鑄造機制的安全隱患,即使經過稽核的項目也可能存在深層漏洞。
- UXLINK計劃通過代幣置換補償用戶,但面臨交易所下架風險和信任重建難題。
- 投資者需警惕安全風險,避免盲目抄底,項目方應加強代碼稽核和持續安全監控。
核心結論
安全是加密生態的基石,項目方需提升技術防護,投資者應優先評估風險,避免黑天鵝事件導致資產歸零。
UXLINK與SFUND接連遭遇駭客攻擊,兩天蒸發1億美元
9月22日的加密貨幣市場,白天市場驟跌的寒意未退,夜間又添新霜。
9月22日晚間,備受矚目的SocialFi項目UXLINK遭遇駭客攻擊,攻擊者透過合約漏洞從項目金庫中盜取了400萬美元的資產,並憑空增發了高達10兆枚代幣,並在鏈上大幅拋售套取資金池資產,最終獲利超1100萬美元。
消息一出,市場信心瞬間崩塌,UXLINK代幣價格在短短數小時內暴跌超過80%,市值從約1.4億美元的高點瞬間蒸發至1680萬美元。然而,駭客風暴尚未平息,僅僅24小時後,9月23日晚,老牌Launchpad平台Seedify.fund的原生代幣SFUND也未能幸免。其跨鏈橋金庫被駭客「排乾」,價值超170萬美元的資產被洗劫一空,導致SFUND價格應聲跳水,創下歷史新低,市值再度蒸發超1000萬美元。
兩天,兩個看似無關的項目,超過1億美元的市值在駭客的精准打擊下化為烏有。這不禁讓每一個從業者和投資者再次捫心自問:在波動的市場週期之外,來自代碼深處的安全漏洞,是否才是懸在加密世界頭頂最鋒利的達摩克利斯之劍?
UXLINK的「白日驚雷」,一場關於權限的致命遊戲
UXLINK的崩盤,是一場典型的、由智慧合約權限漏洞引發的「內部爆破」。整個事件的經過,如同一部精心編排的技術犯罪電影,迅速而致命。
事件的主要原因來自一個被忽視的「萬能鑰匙」。分析顯示,攻擊者的第一步是執行了一次delegateCall函數調用。這次交易從UXLINK合約中移除了合法的管理員角色,並添加了一個由駭客控制的新多重簽名所有者 。
根據Cyvers Alerts的爆料顯示,在獲得完全的管理控制權後,駭客立即開始從UXLINK的金庫錢包轉移資產。初期被盜資產包括約400萬美元的USDT、50萬美元的USDC、3.7枚WBTC和25枚ETH。這一步為攻擊者鎖定了直接且有保障的利潤。
隨後,攻擊者進入了最具破壞性的階段:未經授權地鑄造代幣。鏈上數據顯示,攻擊者創造了高達10兆枚新UXLINK代幣。這一活動也徹底摧毀了市場信心,即便UXLINK迅速作出反應,與多家主要CEX進行溝通暫停了交易。但鏈上的價格隨著巨量增發也隨之崩潰,最低價格甚至達到小數點後6位數,幾近歸零。類似LUNA無限增發的一幕再次上演。
截至9月23日,按照鏈上的價格顯示,UXLINK的市值約為80美元左右。
手握幾乎無限供應量的UXLINK代幣,攻擊者開始在各大去中心化交易所有計劃地進行拋售。為了混淆視聽,他們使用了至少六個不同的錢包進行操作,將新鑄造的UXLINK代幣兌換成高價值資產。鏈上分析公司Lookonchain報告稱,攻擊者透過這些銷售至少獲得了6732枚ETH,當時價值約2810萬美元。但在這一收益資產方面,目前社群媒體上存在兩種分歧,有不少安全公司(包括UXLINK官方引用的損失金額為1130萬美元)。
不過,無論是按照哪種計算方法,都比不上社群此次遭受的損失嚴重。在崩盤前,UXLINK的市值約為1.5億美元,而達到最低價格後,中心化交易所的價格顯示的市值跌至1600萬美元,社群蒸發的市值約為1億美元。
且在這個過程中,不少用戶錯以為駭客在盜取金庫資產後就會停手,因此打算抄底賭一把。社群媒體上,不少用戶分享道,本想透過買入現貨或者開多合約的方式企圖從中搏一把反彈,結果虧損超過99%。最多的一個地址,投入超90萬美元資產,最終虧損99.8%。
明星項目的「至暗時刻」, UXLINK何去何從?
攻擊發生前一天,UXLINK官方還發佈了一條推文,「即將有大事發生」,但沒成想一語成讖。
事件發生後,UXLINK官方也迅速作出反應,表示緊急聯繫了多家CEX暫停UXLINK交易,並將啓動代幣互換計劃。不過,由於未能收回合約權限,因此未能阻止駭客進行上兆級別的代幣增發。受此重創,UXLINK在社群的信心和生態建設都將面臨巨大挑戰。
在被攻擊之前,UXLINK一度是本輪週期中最受關注的明星項目之一,尤其在韓國市場,其影響力不容小覷。作為一個SocialFi平台,UXLINK憑借其獨特的「熟人社交」和群組裂變模式,在短時間內積累了龐大的用戶基礎。根據公開資料,項目累計完成了超過900萬美元的融資,投資方不乏知名機構。
UXLINK將韓國視為核心市場,投入了大量資源進行本地化運營和市場推廣,積累了大量真實用戶,據官方的數據顯示,UXLINK在2024年就已實現了註冊用戶超1000萬的里程碑。
隨後,UXLINK成功上線韓國最大的合規交易所Upbit,並多次登頂韓國主要交易所Upbit和Bithumb的日交易排名。且永續合約也成功在Binance上線,進一步擴大了其全球影響力。
攻擊發生後,UXLINK團隊表示將制定新的代幣置換計劃,透過快照等方式為受損用戶提供補償。然而,前路依然充滿荊棘。
最大的挑戰來自於信任的重建和交易所的態度。尤其是對於Upbit這樣的合規交易所,代幣經濟模型的穩定性和安全性是其上幣和維持交易對的核心考量。歷史上,不乏因類似事件而被下架的先例。例如,曾經的Pundi AI(PUNDIX)就因遭受駭客攻擊,導致代幣異常增發,最終被Upbit等韓國合規交易所以「資訊披露不及時」為由終止交易支持。
UXLINK當前面臨的局面與此高度相似。如果其新的代幣方案無法說服Upbit和其他交易所,證明其能徹底修復漏洞並恢復健康的經濟模型,那麼「被下架」將是大概率事件。一旦失去核心市場的流動性,UXLINK想要東山再起,將難上加難。
無獨有偶,SFUND的警鐘與行業的反思
就在市場還在消化UXLINK事件的衝擊時,9月23日晚,Web3項目孵化與啟動平台Seedify.fund的治理代幣SFUND的被盜再次給整個行業敲響了警鐘。
SFUND的攻擊原理與UXLINK如出一轍,根據Specter的爆料,SFUND的駭客透過在Baseshang獲取權限後進行了增發,最高進行了3秭(10的24次方)代幣發行。
隨後在BSC鏈鑄造了100億枚代幣,並拋售為120萬美元的ETH。根據此前的關聯訊息顯示,這個駭客與之前的朝鮮駭客組織Serenity Shield有著明顯關聯。
雖然這次的被盜金額並不多,但對市場的信心打擊同樣是巨大的。15分鐘內,SFUND的價格暴跌73%,市值從2700萬美元最低跌至1100萬美元。其劇本與UXLINK高度類同,只是不知道這其中是巧合還是兩次攻擊都出自同一駭客集團之手。
雖然截至目前兩次事件的完整安全報告還未公佈,不過我們仍可從中獲得一些思考。兩次事件的背後原因,都出自合約的權限問題以及代幣鑄造的開關上。
SFUND創始人在發佈警告訊息時,強調其合約經過稽核且已運行三年。這表明稽核並非萬能護身符,常規稽核可能無法發現所有深層邏輯漏洞,持續的安全稽核和代碼審查至關重要。
但對於用戶來說,我們並不具備審查合約以及其運轉邏輯的邏輯。該如何避坑,的確成為了一門深奧的學問。而更為簡單的方式可能就是即便是現貨囤幣,也應當設置一些必要的止損訂單,以免黑天鵝事件出現導致血本無歸。
其次,在這兩次事件當中,有不少用戶抱著僥倖心理提前抄底,結果遭受了重大損失。這種操作無異於刀口舔血,並不可取。
此外,對項目方提出「快照換幣」的方案,通常為以攻擊發生前的某個時間點為準,記錄所有用戶的持倉,並發行一種新幣按比例兌換給用戶。這種方案的本質是亡羊補牢,並不代表能夠彌補所有的損失。
從UXLINK到SFUND,兩天之內,我們目睹了代碼漏洞如何像推倒多米諾骨牌一樣,瞬間摧毀一個項目的價值和生態。這再次證明,在加密這個黑暗森林里,安全永遠是「1」,其他的品牌、社群、市值都是後面的「0」。沒有了安全這個「1」,後面的一切都毫無意義。對於項目方而言,必須以最高的敬畏之心對待每一行代碼。對於投資者而言,則必須在追逐高回報的同時,將潛在的安全風險置於決策的首位。否則,下一個歸零的,可能就在不遠的將來。
本文合作轉載自:《PANews》
