兩天蒸發超1億美元，UXLINK與SFUND接連遭遇黑客攻擊，加密黑暗森林如何防範暗箭？

作者：Frank，PANews

9月22日的加密貨幣市場，白天市場驟跌的寒意未退，夜間又添新霜。

9月22日晚間，備受矚目的SocialFi項目UXLINK遭遇黑客攻擊，攻擊者通過合約漏洞從項目金庫中盜取了400萬美元的資產，並憑空增發了高達10萬億枚代幣，並在鏈上大幅拋售套取資金池資產，最終獲利超1100萬美元。消息一出，市場信心瞬間崩塌，UXLINK代幣價格在短短數小時內暴跌超過80%，市值從約1.4億美元的高點瞬間蒸發至1680萬美元。然而，黑客風暴尚未平息，僅僅24小時後，9月23日晚，老牌Launchpad平台Seedify.fund的原生代幣SFUND也未能幸免。其跨鏈橋金庫被黑客“排幹”，價值超170萬美元的資產被洗劫一空，導致SFUND價格應聲跳水，創下歷史新低，市值再度蒸發超1000萬美元。

兩天，兩個看似無關的項目，超過1億美元的市值在黑客的精準打擊下化爲烏有。這不禁讓每一個從業者和投資者再次捫心自問：在波動的市場週期之外，來自代碼深處的安全漏洞，是否才是懸在加密世界頭頂最鋒利的達摩克利斯之劍？

UXLINK的“白日驚雷”，一場關於權限的致命遊戲

UXLINK的崩盤，是一場典型的、由智能合約權限漏洞引發的“內部爆破”。整個事件的經過，如同一部精心編排的技術犯罪電影，迅速而致命。

事件的主要原因來自一個被忽視的“萬能鑰匙”。分析顯示，攻擊者的第一步是執行了一次delegateCall函數調用。這次交易從UXLINK合約中移除了合法的管理員角色，並添加了一個由黑客控制的新多重籤名所有者 。

根據Cyvers Alerts的爆料顯示，在獲得完全的管理控制權後，黑客立即開始從UXLINK的金庫錢包轉移資產。初期被盜資產包括約400萬美元的USDT、50萬美元的USDC、3.7枚WBTC和25枚ETH 。這一步爲攻擊者鎖定了直接且有保障的利潤。

隨後，攻擊者進入了最具破壞性的階段：未經授權地鑄造代幣。鏈上數據顯示，攻擊者創造了高達10萬億枚新UXLINK代幣。這一活動也徹底摧毀了市場信心，即便UXLINK迅速作出反應，與多家主要CEX進行溝通暫停了交易。但鏈上的價格隨着巨量增發也隨之崩潰，最低價格甚至達到小數點後6位數，幾近歸零。類似LUNA無限增發的一幕再次上演。

截至9月23日，按照鏈上的價格顯示，UXLINK的市值約爲80美元左右。

手握幾乎無限供應量的UXLINK代幣，攻擊者開始在各大去中心化交易所有計劃地進行拋售。爲了混淆視聽，他們使用了至少六個不同的錢包進行操作，將新鑄造的UXLINK代幣兌換成高價值資產。鏈上分析公司Lookonchain報告稱，攻擊者通過這些銷售至少獲得了6,732枚ETH，當時價值約2810萬美元 。但在這一收益資產方面，目前社交媒體上存在兩種分歧，有不少安全公司（包括UXLINK官方引用的損失金額爲1130萬美元）。

不過，無論是按照哪種計算方法，都比不上社區此次遭受的損失嚴重。在崩盤前，UXLINK的市值約爲1.5億美元，而達到最低價格後，中心化交易所的價格顯示的市值跌至1600萬美元，社區蒸發的市值約爲1億美元。

且在這個過程中，不少用戶錯以爲黑客在盜取金庫資產後就會停手，因此打算抄底賭一把。社交媒體上，不少用戶分享道，本想通過買入現貨或者開多合約的方式企圖從中搏一把反彈，結果虧損超過99%。最多的一個地址，投入超90萬美元資產，最終虧損99.8%。

明星項目的“至暗時刻”， UXLINK何去何從？

攻擊發生前一天，UXLINK官方還發布了一條推文，“即將有大事發生”，但沒成想一語成讖。

事件發生後，UXLINK官方也迅速作出反應，表示緊急聯繫了多家CEX暫停UXLINK交易，並將啓動代幣互換計劃。不過，由於未能收回合約權限，因此未能阻止黑客進行萬億級別的代幣增發。受此重創，UXLINK在社區的信心和生態建設都將面臨巨大挑戰。

在被攻擊之前，UXLINK一度是本輪週期中最受關注的明星項目之一，尤其在韓國市場，其影響力不容小覷。作爲一個SocialFi平台，UXLINK憑藉其獨特的“熟人社交”和羣組裂變模式，在短時間內積累了龐大的用戶基礎。根據公開資料，項目累計完成了超過900萬美元的融資，投資方不乏知名機構。

UXLINK將韓國視爲核心市場，投入了大量資源進行本地化運營和市場推廣，積累了大量真實用戶，據官方的數據顯示，UXLINK在2024年就已實現了註冊用戶超1000萬的裏程碑。

隨後，UXLINK成功上線韓國最大的合規交易所Upbit，並多次登頂韓國主要交易所Upbit和Bithumb的日交易排名。且永續合約也成功在Binance上線，進一步擴大了其全球影響力。

攻擊發生後，UXLINK團隊表示將制定新的代幣置換計劃，通過快照等方式爲受損用戶提供補償。然而，前路依然充滿荊棘。

最大的挑戰來自於信任的重建和交易所的態度。尤其是對於Upbit這樣的合規交易所，代幣經濟模型的穩定性和安全性是其上幣和維持交易對的核心考量。歷史上，不乏因類似事件而被下架的先例。例如，曾經的Pundi AI (PUNDIX)就因遭受黑客攻擊，導致代幣異常增發，最終被Upbit等韓國合規交易所以“信息披露不及時”爲由終止交易支持。

UXLINK當前面臨的局面與此高度相似。如果其新的代幣方案無法說服Upbit和其他交易所，證明其能徹底修復漏洞並恢復健康的經濟模型，那麼“被下架”將是大概率事件。一旦失去核心市場的流動性，UXLINK想要東山再起，將難上加難。

無獨有偶，SFUND的警鍾與行業的反思

就在市場還在消化UXLINK事件的衝擊時，9月23日晚，Web3項目孵化與啓動平台Seedify.fund的治理代幣SFUND的被盜再次給整個行業敲響了警鍾。

SFUND的攻擊原理與UXLINK如出一轍，根據Specter的爆料，SFUND的黑客通過在Baseshang 獲取權限後進行了增發，最高進行了3秭（10的24次方）代幣發行。

隨後在BSC鏈鑄造了100億枚代幣，並拋售爲120萬美元的ETH。根據此前的關聯信息顯示，這個黑客與之前的朝鮮黑客組織Serenity Shield有着明顯關聯。

雖然這次的被盜金額並不多，但對市場的信心打擊同樣是巨大的。15分鍾內，SFUND的價格暴跌73%，市值從2700萬美元最低跌至1100萬美元。其劇本與UXLINK高度類同，只是不知道這其中是巧合還是兩次攻擊都出自同一黑客集團之手。

雖然截至目前兩次事件的完整安全報告還未公布，不過我們仍可從中獲得一些思考。兩次事件的背後原因，都出自合約的權限問題以及代幣鑄造的開關上。

SFUND創始人在發布警告信息時，強調其合約經過審計且已運行三年。這表明審計並非萬能護身符，常規審計可能無法發現所有深層邏輯漏洞，持續的安全審計和代碼審查至關重要。

但對於用戶來說，我們並不具備審查合約以及其運轉邏輯的邏輯。該如何避坑，的確成爲了一門深奧的學問。而更爲簡單的方式可能就是即便是現貨囤幣，也應當設置一些必要的止損訂單，以免黑天鵝事件出現導致血本無歸。

其次，在這兩次事件當中，有不少用戶抱着僥幸心理提前抄底，結果遭受了重大損失。這種操作無異於刀口舔血，並不可取。

此外，對項目方提出“快照換幣”的方案，通常爲以攻擊發生前的某個時間點爲準，記錄所有用戶的持倉，並發行一種新幣按比例兌換給用戶。這種方案的本質是亡羊補牢，並不代表能夠彌補所有的損失。

從UXLINK到SFUND，兩天之內，我們目睹了代碼漏洞如何像推倒多米諾骨牌一樣，瞬間摧毀一個項目的價值和生態。這再次證明，在加密這個黑暗森林裏，安全永遠是“1”，其他的品牌、社區、市值都是後面的“0”。沒有了安全這個“1”，後面的一切都毫無意義。對於項目方而言，必須以最高的敬畏之心對待每一行代碼。對於投資者而言，則必須在追逐高回報的同時，將潛在的安全風險置於決策的首位。否則，下一個歸零的，可能就在不遠的將來。