币圈聚合(268btc.cc)讯:Web3社交平台UXLINK爆发黑客案,约1130万美元资产瞬间被掏空,代币价值暴跌近八成。更戏剧性的是,慢雾科技最新溯源发现,那名成功盗走UXLINK代币的黑客旋即遭到Inferno Drainer钓鱼集团「黑吃黑」,被再次转走约5.42亿枚UXLINK。从项目漏洞到黑客受害,事件短时间内翻转两次,成为去中心化世界风险接力的经典案例。
多重签名漏洞
调查显示,UXLINK的多重签名钱包存在delegateCall漏洞。攻击者先移除原有管理员,再新增拥有门槛权限的新地址,借此夺走控制权并转出资产。被盗金额约1130万美元,涵盖300万美元等值UXLINK、USDT、USDC、WBTC与ETH。消息传开后,代币价格在数小时内重挫77%至80%,市值蒸发逾7000万美元。UXLINK已向执法单位报告并与PeckShield等安全公司合作调查,Bithumb、Kraken等交易所同步暂停UXLINK存取款。
黑客误信授权遭InfernoDrainer反盗取
就在外界追查资金流向之际,形势再度反转。慢雾科技于9月23日指出,初始黑客落入Inferno Drainer的「普通授权钓鱼」陷阱,让钓鱼者透过链下免gas的permit签名,将5.42亿枚UXLINK转走。链上证据包含黑客授权与资产被转移两笔关键交易。慢雾创办人余弦说:「黑客很可能被Inferno Drainer这个已知钓鱼组织利用标准钓鱼手段欺骗。」
他强调,此次并无智能合约漏洞,而是社交工程攻击滥用授权。
技术缺口与人为疏失交织
UXLINK首波损失始于智能合约设定不当,次波损失则源于人为授权失误,两层风险连锁凸显区块链安全的复合特质。Inferno Drainer长期锁定DeFi用户,善用链下permit签名诱导转帐。同期间,CYVERS侦测多笔delegateCall执行与未授权转帐行为,显示可能存在更大规模的协同行动。
这出「螳螂捕蝉,黄雀在后」的双重攻击,提醒项目方与使用者、甚至是黑客:技术与审计仅是基础,操作层面同样关键。UXLINK必须重塑安全架构以挽回信任,交易所与安全公司也需要持续监控可疑地址流向。
主题测试文章,只做测试使用。发布者:admin,转转请注明出处:http://www.268btc.cc/54338.html
