作者：Frank，PANews

9月22日的加密貨幣市場，白天市場驟跌的寒意未退，夜間又添新霜。

9月22日晚間，備受矚目的SocialFi專案UXLINK遭遇駭客攻擊，攻擊者透過合約漏洞從專案金庫中盜取了400萬美元的資產，並憑空增發了高達10萬億枚代幣，並在鏈上大幅拋售套取資金池資產，最終獲利超1100萬億美元。消息一出，市場信心瞬間崩塌，UXLINK代幣價格在短短數小時內暴跌超過80%，市值從約1.4億美元的高點瞬間蒸發至1,680萬美元。然而，駭客風暴尚未平息，僅僅24小時後，9月23日晚，老牌Launchpad平台Seedify.fund的原生代幣SFUND也未能倖免。其跨鏈橋金庫被駭客“排幹”，價值超170萬美元的資產被洗劫一空，導致SFUND價格應聲跳水，創下歷史新低，市值再度蒸發超1000萬美元。

兩天，兩個看似無關的項目，超過1億美元的市值在駭客的精準打擊下化為烏有。這不禁讓每個從業者和投資者再次捫心自問：在波動的市場週期之外，來自代碼深處的安全漏洞，是否才是懸在加密世界頭頂最鋒利的達摩克利斯之劍？

UXLINK的“白日驚雷”，一場關於權限的致命遊戲

UXLINK的崩盤，是一場典型的、由智慧合約權限漏洞引發的「內部爆破」。整個事件的經過，如同一部精心編排的技術犯罪電影，迅速而致命。

事件的主要原因來自一個被忽視的「萬能鑰匙」。分析顯示，攻擊者的第一步是執行了一次delegateCall函數呼叫。這次交易從UXLINK合約中移除了合法的管理員角色，並增加了一個由駭客控制的新多重簽名所有者。

根據Cyvers Alerts的爆料顯示，在取得完全的管理控制權後，駭客立即開始從UXLINK的金庫錢包轉移資產。初期被盜資產包括約400萬美元的USDT、50萬美元的USDC、3.7枚WBTC和25枚ETH 。這一步為攻擊者鎖定了直接且有保障的利潤。

隨後，攻擊者進入了最具破壞性的階段：未經授權地鑄造代幣。鏈上數據顯示，攻擊者創造了高達10兆枚新UXLINK代幣。這項活動也徹底摧毀了市場信心，即便UXLINK迅速做出反應，與多家主要CEX進行溝通暫停了交易。但鏈上的價格隨著鉅量增發也隨之崩潰，最低價格甚至達到小數點後6位數，幾近歸零。類似LUNA無限增發的一幕再次上演。

截至9月23日，以鏈上的價格顯示，UXLINK的市值約為80美元左右。

手握幾乎無限供應量的UXLINK代幣，攻擊者開始在各大去中心化交易所有計畫地進行拋售。為了混淆視聽，他們使用了至少六個不同的錢包進行操作，將新鑄造的UXLINK代幣兌換成高價值資產。鏈上分析公司Lookonchain報告稱，攻擊者透過這些銷售至少獲得了6,732枚ETH，當時價值約2,810萬美元。但在這項收益資產方面，目前社群媒體上存在兩種分歧，有不少安全公司（包括UXLINK官方引用的損失金額為1,130萬美元）。

不過，無論是依照哪一種計算方法，都比不上社區這次遭受的損失嚴重。在崩盤前，UXLINK的市值約為1.5億美元，而達到最低價格後，中心化交易所的價格顯示的市值跌至1600萬美元，社區蒸發的市值約為1億美元。

而在這個過程中，不少用戶錯以為駭客在盜取金庫資產後就會停手，因此打算抄底賭一把。在社群媒體上，不少用戶分享道，本來想透過買現貨或開多合約的方式企圖從中搏一把反彈，結果虧損超過99%。最多的一個地址，投入超90萬美元資產，最終虧損99.8%。

明星項目的“至暗時刻”， UXLINK何去何從？

攻擊發生前一天，UXLINK官方還發布了一條推文，“即將有大事發生”，但沒成想一語成謔。

事件發生後，UXLINK官方也迅速回應，表示緊急聯繫了多家CEX暫停UXLINK交易，並將啟動代幣互換計畫。不過，由於未能收回合約權限，因此未能阻止駭客進行萬億級的代幣增發。受此重創，UXLINK在社區的信心和生態建設都將面臨巨大挑戰。

在被攻擊之前，UXLINK一度是本輪週期中最受關注的明星項目之一，尤其在韓國市場，影響力不容小覷。作為一個SocialFi平台，UXLINK憑藉其獨特的「熟人社交」和群組裂變模式，在短時間內累積了龐大的用戶基礎。根據公開資料，專案累計完成了超過900萬美元的融資，投資者不乏知名機構。

UXLINK將韓國視為核心市場，投入了大量資源進行在地化營運和市場推廣，累積了大量真實用戶，根據官方的數據顯示，UXLINK在2024年就已實現了註冊用戶超1000萬的里程碑。

隨後，UXLINK成功上線韓國最大的合規交易所Upbit，並多次登頂韓國主要交易所Upbit和Bithumb的每日交易排名。且永續合約也成功在Binance上線，進一步擴大了其全球影響力。

攻擊發生後，UXLINK團隊表示將制定新的代幣置換計劃，透過快照等方式為受損用戶提供補償。然而，前路依然充滿荊棘。

最大的挑戰來自於信任的重建和交易所的態度。尤其是對於Upbit這樣的合規交易所，代幣經濟模型的穩定性和安全性是其上幣和維持交易對的核心考量。歷史上，不乏因類似事件而被下架的先例。例如，曾經的Pundi AI (PUNDIX)就因遭受駭客攻擊，導致代幣異常增發，最終被Upbit等韓國合規交易所以「資訊揭露不及時」為由終止交易支援。

UXLINK目前面臨的局面與此高度相似。如果其新的代幣方案無法說服Upbit和其他交易所，證明其能徹底修復漏洞並恢復健康的經濟模型，那麼「被下架」將是大概率事件。一旦失去核心市場的流動性，UXLINK想要東山再起，將難上加難。

無獨有偶，SFUND的警鐘與業界的反思

就在市場還在消化UXLINK事件的衝擊時，9月23日晚，Web3計畫孵化與啟動平台Seedify.fund的治理代幣SFUND的被盜再次給整個產業敲響了警鐘。

SFUND的攻擊原則與UXLINK如出一轍，根據Specter的爆料，SFUND的駭客透過在Baseshang 取得權限後進行了增發，最高進行了3秭（10的24次方）代幣發行。

隨後在BSC鏈上鑄造了100億枚代幣，並拋售為120萬美元的ETH。根據先前的關聯資訊顯示，這個駭客與先前的北韓駭客組織Serenity Shield有著明顯關聯。

雖然這次的被盜金額不多，但對市場的信心打擊同樣是巨大的。 15分鐘內，SFUND的價格暴跌73%，市值從2,700萬美元最低跌至1,100萬美元。其劇本與UXLINK高度類同，只是不知道這其中是巧合還是兩次攻擊都出自同一黑客集團之手。

雖然截至目前兩次事件的完整安全報告還未公佈，不過我們仍可從中獲得一些思考。兩次事件的背後原因，都出自合約的權限問題以及代幣鑄造的開關上。

SFUND創辦人在發布警告訊息時，強調其合約經過審計且已運行三年。這表明審計並非萬能護身符，常規審計可能無法發現所有深層邏輯漏洞，持續的安全審計和程式碼審查至關重要。

但對於使用者來說，我們並不具備審查合約以及其運作邏輯的邏輯。該如何避坑，的確成為了一門深奧的學問。而更簡單的方式可能就是即使是現貨囤幣，也應當設定一些必要的停損訂單，以免黑天鵝事件出現導致血本無歸。

其次，在這兩次事件當中，有不少用戶抱著僥倖心理提前抄底，結果遭受了重大損失。這種操作無異於刀口舔血，並不可取。

此外，對專案方提出「快照換幣」的方案，通常為以攻擊發生前的某個時間點為準，記錄所有用戶的持倉，並發行一種新幣按比例兌換給用戶。這種方案的本質是亡羊補牢，並不代表能夠彌補所有的損失。

從UXLINK到SFUND，兩天之內，我們目睹了程式碼漏洞如何像推倒骨牌一樣，瞬間摧毀一個專案的價值和生態。這再次證明，在加密這個黑暗森林裡，安全永遠是“1”，其他的品牌、社區、市值都是後面的“0”。沒有了安全這個“1”，後面的一切都毫無意義。對於專案方而言，必須以最高的敬畏之心對待每一行程式碼。對投資人而言，則必須在追逐高報酬的同時，將潛在的安全風險置於決策的首位。否則，下一個歸零的，可能就在不遠的將來。