Vào ngày 22, ứng dụng web xã hội UXLINK xác nhận ví đa chữ ký của họ đã bị tấn công, với hơn 11,3 triệu đô la tài sản bị đánh cắp và bán tháo nhanh chóng, khiến giá token giảm mạnh hơn 70% chỉ trong vòng một giờ. Sự cố này không chỉ gây thiệt hại nghiêm trọng cho giá trị vốn hóa thị trường của dự án mà còn phá vỡ quan niệm cho rằng ví đa chữ ký chỉ được coi là "phòng tuyến cuối cùng".
Vụ việc xảy ra vào ngày 22 tháng 9 năm 2025. Thông báo chính thức cho biết số tài sản bị đánh cắp bao gồm khoảng 4 triệu đô la Mỹ dưới dạng USDT, cũng như USDC, Wrapped Bitcoin (WBTC), Ether (ETH) và Token gốc. Tin tặc đã phân tán số tiền này trên sàn giao dịch phi tập trung, sau đó bán ra khoảng 800.000 đô la Mỹ token UXLINK, xóa sổ hơn 70 triệu đô la giá trị vốn hóa thị trường token chỉ trong một giờ. Các nhà đầu tư đã nhanh chóng rút thanh khoản, đẩy thị trường đến bờ vực hỗn loạn.
Đường tấn công: "Cánh cửa bí mật" trong Cơ chế đa chữ ký
Yu Xian, nhà sáng lập công ty bảo mật blockchain SlowMist Technology, đã phân tích tình hình thông qua nền tảng X và kết luận rằng chìa khóa nằm ở việc xâm phạm khóa private key ví đa chữ ký Safe . Kẻ tấn công trước tiên lấy được private key và thay thế chủ sở hữu đa chữ ký ban đầu bằng địa chỉ 0x2EF43c1D0c88C071d242B6c2D0430e1751607B87 . Sau đó, chúng sử dụng hợp đồng thông minh delegateCall để xóa quản trị viên hợp lệ và tự thêm mình vào đa chữ ký bằng cách sử dụng addOwnerWithThreshold . Điều này về cơ bản đã vô hiệu hóa cơ chế đa chữ ký cho việc chuyển tiền.
"Kẻ tấn công trước tiên sẽ đánh cắp private key, sau đó sử dụng delegateCall để ghi đè lên chủ sở hữu đa chữ ký. Đa chữ ký truyền thống không cần xác minh bổ sung có thể bị khóa bằng một khóa duy nhất."
Đoạn văn này chỉ ra điểm mù lớn nhất trong thiết kế đa chữ ký: một khi có lỗ hổng trong việc quản lý quyền lưu giữ private key và hợp đồng thông minh, cổng bảo mật sẽ trở nên vô dụng.
Ứng phó khẩn cấp: Đóng băng hoạt động trong cuộc đua với thời gian
Sau sự cố, đội ngũ UXLINK đã hợp tác với công ty bảo mật PeckShield để theo dõi dòng tiền và gửi yêu cầu đóng băng đến nhiều sàn giao dịch CEX và DEX. Hiện tại, phần lớn tài sản đã bị khóa và chưa được chuyển vào các địa chỉ nặc danh. Chính thức nhấn mạnh rằng chưa phát hiện bất kỳ cuộc tấn công trực tiếp nào vào ví người dùng. Họ sẽ công bố kế hoạch thu hồi và bồi thường tài sản, đồng thời hợp tác với các cơ quan thực thi pháp luật để truy tìm những kẻ chịu trách nhiệm.
Bước tiếp theo cho ví đa chữ ký: Có thể thêm bao nhiêu khóa nữa vào trust?
Sự cố này, một trong những vụ vi phạm ví đa chữ ký lớn nhất trong giai đoạn 2024-2025, thách thức quan niệm đơn giản rằng "đa chữ ký = bảo mật". Các dự án crypto cần ghi nhớ: thứ nhất, quản lý private key vẫn là nền tảng cơ bản; thứ hai, hợp đồng thông minh đòi hỏi kiểm toán định kì và giám sát động; và thứ ba, khi các dự án để tài sản của chính mình gặp rủi ro, biến động giá có thể bùng phát chỉ trong vài phút. Để xây dựng lại niềm tin trong ngành, chúng ta không chỉ dựa vào số lượng ví đa chữ ký mà còn phải triển khai các biện pháp bảo vệ bổ sung thông qua kiến trúc hợp đồng, thiết kế cấp phép và giám sát rủi ro theo thời gian thực.
Thế giới blockchain vẫn còn khá xa với thực tế là "những gì được ghi trong hợp đồng không thể thay đổi". Khi thanh kiếm Damocles rơi xuống, hào quang bảo mật ban đầu của ví đa chữ ký sẽ buộc phải trải qua quá trình giám sát chặt chẽ hơn.
