黑客年年有，今年也不缺。從Crypto伊始，針對其的網絡攻擊就相伴而生，并隨著技術的不斷成熟演化為更復雜的攻擊手法、更精巧的攻擊邏輯以及更具迷惑性的技術手段，但有時，不得不承認，再嚴密的防控，都抵不住人性的弱點。就在最近，Web3明星社交項目UXLINK就中了招。

凌晨被盜、合約增發、Tokens暴跌，短短不到半天，UXLINK就經歷了有史以來最崩潰的時刻，甚至還上演了“黑吃黑”的名場面。

加密項目的安全，似乎終究是一筆糊涂賬。

與其他項目有所不同，對于UXLINK，圈外的用戶或許并不陌生。UXLINK是基于Telegram構建的一款社交類項目，與此前泛式社交的模式不同，UXLINK主打的是“熟人社交”，可通過Telegram、WhatsApp、TikTok和EOA錢包等一鍵登錄，并提供深度社交場景和Tokens激勵來留存用戶以驅動增長，強調社群驅動的群組功能及資產發行。

從技術與流量獲取來看，UXLINK無疑是站在了巨人的肩膀上，堪稱東家的Telegram不僅在技術與組件上提供支持，在流量獲取也給予了傾斜，從入門到圖形形成、群組工具到社交化交易都無縫集成在Telegram中。

也正源于此，自2023年4月上線以來，UXLINK表現就相當優異。在資金側獲得了OKXVentures、MatrixportVentures、SevenXVentures、HashKeyCapital、AnimocaBrands等加密原生資本的青睞，應用方向也比普通社交DAPP提前完成冷啟動。到2024年4月，UXLINK已經有530萬注冊用戶，構建了近9萬多個群聊，截至到2025年8月，官網發布的數據顯示，UXLINK注冊用戶已達到5400萬，日活錢包突破了2400萬，憑借龐大的規模用戶一躍升為Web3社交的頭部平臺。

事情到此處，似乎又有了終結的意味，但戲劇化的一幕再次發生。盜取UXLINK資產的黑客遭遇“黑吃黑”，由于授權給了釣魚團隊的地址，遭到InfernoDrainer釣魚攻擊。經核實，其*非*法獲取的約5.42億枚$UXLINKTokens已被“授權釣魚”手法竊取。辛辛苦苦盜取，還不忘給他人做嫁衣，只能說意想不到。

根據最新進展，UXLINK啟動了Tokens合約遷移計劃，新的UXLINK智能合約成功通過安全審計，合約將部署在Ethereum主網上，并取消了鑄造銷毀功能，將通過跨鏈合作伙伴服務保持其跨鏈功能。新的UXLINK智能合約已準備就緒，合約地址為0x3991B07b2951a4300Da8c76e7d2c7eddE861Fef3，持有合法流通的UXLINKTokens的CEX及鏈上用戶將獲得1:1兌換，被認定為*非*法發行的Tokens將不具備兌換資格。部分仍在交易的Tokens，團隊將為受影響的用戶提供單獨的補償計劃。

從本次事件來看，項目方的響應速度相當迅速，不僅迅速穩定用戶情緒，也在第一時間給出了解決方案，應急管理方向表現仍然值得表揚。但話又說回來，本次攻擊的本質就在于多簽管理的欠缺，雖然采用了Safe多簽機制并配置了多個多簽賬戶，但實際管理卻極為缺位，多簽形同虛設，才由此引發危機。

值得注意的是，增發這項手段，在近日也非常頻發。與UXLINK同樣的手法，同一時段Web3項目孵化與啟動平臺Seedify.fund也被盜并增發了3秭，TokensSFUND受到重創，價格從0.42美元跌至0.08美元，現穩定在0.27美元處。

而就在今日，歐洲Web3項目GriffinAI在剛剛結束幣安Alpha空投的12小時后，遭到黑客攻擊惡意增發50億枚TokensGAIN，使其Tokens從0.163美元一度跌去95%接近歸零。據官方披露，攻擊地址通過引入未經授權的LayerZeroPeer發起攻擊，部署偽造的Ethereum合約繞過官方合約，再將偽造的Tokens由LayerZero跨鏈實現BNBChain的鏈上增發。而黑客GAIN則將異常增發地址砸盤獲利的2955枚BNB(約合300萬美元)通過跨鏈橋deBridge兌換成720.81枚ETH后，全部轉移進TornadoCash進行混幣。截至到目前，GriffinAI 已移除BNB鏈上 GAIN的官方流動性池，并正式要求所有CEX暫停 GAIN(BSC)Tokens的交易、存款和提現功能。但需要提醒的是，對于被盜者的安置余賠償，項目方并未提出解決方案。

唯一值得慶幸的是，與UXLINK和SFUND不同的是，部分GAIN的抄底者成功收獲了不錯的回報，有地址以均價0.00625美元抄底買入2.02萬美元的GAIN，一小時浮盈10.7萬美元。

整體來看，相比于此前的一次性攻擊行為，如今的攻擊方式開始聚焦于合約權限與Tokens發行控制上，雖然同為攻擊手段，但后者顯然要惡劣得多。對于項目而言，Tokens惡意增發摧毀的是整個以Tokens為中心的生態系統，將極大地降低用戶對項目的信任度，并由此引發一系列連鎖反應。一個典型的例子是，隨著增發事件頻發，市場上已然響起了項目方通過多簽自導自演聲音。

從安全方面來看，多簽的管理也值得重視，如今項目方智能合約普遍采用多簽制，但管理也應同步跟上，首要應做到強制配合硬件錢包，實現物理隔離，其次應盡可能將簽名方分散化，從時空上、硬件上、備份上盡可能規避集中化風險。除了技術硬方向的規避，軟環境也至關重要，多簽持有者應做到身份隱藏，并構建交叉驗證流程，有效進行二次核對，構筑人工防線。此外，演練也必不可少，保持憂患意識，定期演練并做好危機預案，畢竟在業內，假演練分分鐘就可變成真實戰。

慢霧創始人余弦也給項目方提出了建議，多簽所有者應該匹配僅支持復雜簽名且大屏幕的硬件錢包，囊括從助記詞生成到使用的全過程，并兼配Passphrase或SSS備份以提高安全性。在日常使用中，更應該提高警惕，對簽名要求高度謹慎，減少可能的風險。