Mặc dù hacker sở hữu kỹ năng tinh vi và có thể hoàn thành một vụ đánh cắp tỉ mỉ chỉ trong vài giờ, nhưng thị trường không quan tâm token của chúng; trong thị trường gấu, mọi người đều được đối xử bình đẳng.
Bài viết bởi: Chloe
Nguồn bài viết: ChainCatcher
Vào tháng 9 năm 2025, ví đa chữ ký của nền tảng mạng xã hội Web3 UXLink đã bị tấn công. Hacker đã cuỗm đi hơn mười triệu đô la Mỹ tài sản chỉ trong vài giờ và cố tình bán tháo token bằng cách đúc một lượng lớn token, khiến giá token giảm mạnh hơn 70% ngay lập tức. Tuy nhiên, điều nực cười nhất về thảm họa này không phải là bản thân vụ tấn công, mà là màn xử lý "nghiệp dư"hacker sau đó.
Không giống như các kế hoạch rửa tiền thông thường, hacker này không vội vàng biến mất. Thay vào đó, hắn đã đầu tư số ETH và stablecoin đánh cắp được vào một sàn giao dịch phi tập trung (DEX) và giao dịch chúng thường xuyên trên CoW Swap . Theo dữ liệu trên Chuỗi Arkham , địa chỉ này đã tích lũy gần 625 giao dịch chỉ trong sáu tháng, với lỗ vốn trên giấy tờ lên tới 4,8 triệu đô la.
Bằng cách tái hiện lại lộ trình kỹ thuật của cuộc tấn công này, chúng ta có thể khám phá ra các kiểu hành vi bất thường hacker và thực tế khắc nghiệt đằng sau đó: trong chu kỳ thị trường gấu này, ngay cả khi có công nghệ tiên tiến để đánh cắp tiền trên Chuỗi, một khi tiền quay trở lại thị trường để giao dịch, mọi người đều bình đẳng.
Lỗ hổng bảo mật ví đa chữ ký UXLink đã gây thiệt hại vượt quá mười triệu USD.
Vào ngày 22 tháng 9 năm 2025, công ty bảo mật blockchain Cyvers là đơn vị đầu tiên phát hiện hoạt động bất thường trong ví đa chữ ký UXLink và đã đưa ra cảnh báo khẩn cấp. Sau đó, UXLink chính thức xác nhận rằng ví đa chữ ký cốt lõi của họ đã bị xâm phạm, dẫn đến thiệt hại hơn 11,3 triệu đô la.
Lộ trình kỹ thuật của lần tấn công khá rõ ràng: hacker nhắm vào lỗ hổng trong hàm delegateCall của ví đa chữ ký, và đã thành công trong việc thay đổi logic hợp đồng. Kẻ tấn công trước tiên đã loại bỏ quyền quản trị hợp pháp ban đầu của ví; sau đó, bằng cách gọi hàm addOwnerWithThreshold, chúng đã tự ý chiếm quyền sở hữu ví. Như vậy, cơ chế bảo mật đa chữ ký cốt lõi của UXLink đã bị vượt qua hoàn toàn, và quyền kiểm soát ví đã được chuyển giao vĩnh viễn.
Tiếp theo đó là một cuộc cướp bóc điên cuồng tài sản Chuỗi . Các tài sản bị đánh cắp bao gồm khoảng 4 triệu USDT, 500.000 USDC, 3,7 WBTC, 25 ETH và khoảng 3 triệu đô la Token gốc. Đồng thời, hacker đúc một lượng lớn token UXLINK trên Chuỗi Arbitrum và bán tháo chúng ra thị trường, khiến giá token giảm mạnh hơn 70% trong thời gian ngắn, từ khoảng 0,30 đô la xuống dưới 0,10 đô la, xóa sổ hơn 70 triệu đô giá trị vốn hóa thị trường.
Áp dụng một cách tiếp cận không theo lối mòn: Từ bỏ việc trộn và rút tiền điện tử, chỉ duy trì hoạt động trên Chuỗi để giao dịch và cạnh tranh.
Theo kịch bản thông thường của crypto, bước tiếp theo lẽ ra phải là: hacker sẽ chuyển tài sản đến Tornado Cash để nặc danh, rửa tiền theo từng đợt thông qua nhiều địa chỉ trung gian, và cuối cùng hoàn tất toàn bộ quá trình rửa tiền và rút tiền. Nhưng kẻ tấn công này đã không đi theo con đường thông thường.
Khoảng 48 giờ sau vụ tấn công, hacker đã đổi 1.620 ETH lấy khoảng 6,73 triệu Dai. Đây lẽ ra phải là tín hiệu "bán ra" đầu tiên mà thị trường mong đợi, và một số nhà phân tích on-Chuỗi Chuỗi ngay lập tức nhận ra hành vi này. Tuy nhiên, trong sáu tháng tiếp theo, hành vi của địa chỉ này hoàn toàn khác xa với sự bình tĩnh và kín đáo của hacker chuyên nghiệp, và thay vào đó bắt đầu giao dịch điên cuồng trên Chuỗi .
Theo dữ liệu theo dõi Chuỗi Arkham , địa chỉ này đã tích lũy tới 625 giao dịch chỉ trong sáu tháng, với hoạt động tập trung cao độ vào phi tập trung nền tảng giao dịch phi tập trung CoW Swap. Các cặp giao dịch của nó thường xuyên chuyển đổi giữa WETH và Dai , tần suất hoạt động vượt xa so với người nắm giữ dài hạn thông thường. Do đó, thay vì một hacker đã đánh cắp hàng triệu đô la, người này có vẻ giống một người giao dịch hơn, hoặc có lẽ là một nhà đầu tư bán lẻ quen với việc "mua khi giá giảm, chịu đựng sự biến động và chỉ bán ra khi gần đạt giá vốn".
Kỹ năng giao dịch chưa được tốt: từng chịu khoản lỗ ròng hơn 4 triệu USD và gần như đình trệ trong sáu tháng.
Theo dữ liệu theo dõi lãi lỗ của Arkham , từ tháng 10 năm 2025 đến đầu tháng 2 năm 2026, địa chỉ của kẻ tấn công lần chịu tài sản trên giấy tờ vượt quá 3 triệu đô la; vào tháng 2, lỗ vốn đạt đỉnh điểm 4,8 triệu đô la. Mô hình giao dịch của chúng rất nhất quán: liên tục gia tăng thu mua ở những điểm thấp, ngoan cố giữ vị thế trong suốt quá trình biến động và chỉ thoát lệnh khi giá cuối cùng phục hồi gần mức giá vốn.
Hacker đã xoay chuyển vào cuối tháng 3. Anh ta đã đổi 5.496 ETH lấy khoảng 11,86 triệu Dai trên sàn CoW Swap với giá trung bình là 2.150 đô la, thu về lợi nhuận trên giấy tờ khoảng 935.000 đô la và đưa danh mục đầu tư của mình trở lại điểm hòa vốn. Tuy nhiên, lượng WBTC nắm giữ đang làm giảm dần lợi nhuận này. Vào ngày 30 tháng 1 năm 2026, hacker mua vào 203 WBTC với giá trung bình là 83.225 đô la, tính đến gần đây đã dẫn đến khoản lỗ trên giấy tờ khoảng 2,68 triệu đô la. Thời điểm mua vào này trùng với đợt phục hồi ngắn hạn của thị trường, có nghĩa là anh ta lại mua vào ở mức giá tương đối cao.
Một nhà tù trong suốt và một chặng đường dài phục hồi.
Vụ việc UXLink mang đến một góc nhìn độc đáo về lịch sử crypto: một kẻ tấn công, dưới sự chú ý của dư luận, liên tục để lại dấu vết giao dịch rất dễ thấy, cho phép các nhà phân tích Chuỗi khối toàn cầu ghi lại đầy đủ hành động của hắn.
Điều này có thể không xuất phát từ sự bất cẩn của hacker, mà là từ một quan niệm lỗi thời về "bảo mật". Anh ta có thể cho rằng rằng bằng cách phân tán tài sản trên nhiều địa chỉ và hoạt động trên các sàn giao dịch phi tập trung (DEX) để vượt qua các bước xác thực danh tính của các sàn giao dịch tập trung (CEX), anh ta có thể duy trì tính ẩn danh. Tuy nhiên, sự phát triển nhanh chóng của các công cụ phân tích Chuỗi đã khiến đánh giá này trở nên quá lạc quan. Các tổ chức như Arkham, Lookonchain, PeckShield và SlowMist gần như ngay lập tức phát hiện ra mọi giao dịch lớn, vạch trần mọi động thái của hacker dưới sự giám sát của công chúng. Hacker này, mặc dù sở hữu hàng triệu đô la, dường như đang sống trong một nhà tù kỹ thuật số minh bạch.
Đối với nhóm dự án UXLink, tình huống này vừa là một niềm an ủi nhỏ, vừa là một thách thức lớn. Mặc dù tài sản chưa biến mất và vẫn còn trên blockchain có thể truy vết, nhưng trong thế giới Chuỗi thiếu thẩm quyền pháp lý, vẫn còn một khoảng cách khó vượt qua giữa "có thể nhìn thấy" và "có thể khôi phục".
Mặc dù UXLink đã nhanh chóng hoàn tất việc kiểm toán hợp đồng mới, hoán đổi token và kế hoạch bồi thường cho người dùng sau sự cố nhằm khôi phục niềm tin thị trường, giá token đã giảm mạnh từ mức cao nhất là 3,75 đô la vào tháng 12 năm 2024 xuống còn khoảng 0,0044 đô la, giảm 99%. Đối với UXLink, việc vá lỗ hổng mã nguồn có thể chỉ mất vài tuần, nhưng việc xây dựng lại hệ sinh thái từ gần như đổ nát sẽ là một hành trình dài và gian khổ.
Trong bối cảnh thị trường gấu, hãy đối xử bình đẳng với mọi người.
Vụ hacker UXLink đã trở thành một hình ảnh thu nhỏ của "thực tế thị trường", chứ không chỉ đơn thuần là một sự cố bảo mật.
Mặc dù sở hữu kỹ năng vượt trội, cho phép anh ta khai thác chính xác các lỗ hổng delegateCall và vượt qua các biện pháp phòng thủ đa chữ ký, hoàn thành một vụ thu hoạch tỉ mỉ chỉ trong vài giờ; tuy nhiên, sau khi tiền được gửi vào tài khoản, anh ta đối diện tình thế khó xử tương tự như nhà đầu tư bán lẻ thông thường: thị trường không quan tâm nguồn gốc token, ETH tiếp tục giảm trong suốt thời gian nắm giữ, và BTC vẫn bị mắc kẹt sau khi vị thế được thiết lập.
Kết cục này không đáng thương hại, nhưng lại mang tính trớ trêu không thể phủ nhận. Tài sản kẻ tấn công đã dày công đánh cắp cuối cùng đã bị bào mòn bởi biến động thị trường, giá trị sổ sách của chúng sáu tháng sau gần như không thay đổi so với giá mua ban đầu. Hắn không phải là người nắm giữ ETH đầu tiên mất tiền trong thị trường gấu , và cũng sẽ không phải là nhà đầu cơ cuối cùng chịu tổn thất khi Mua bắt đáy WBTC ở đáy thị trường.
