社交 web3 应用 UXLINK 22 日证实,多签钱包遭入侵、超过 1,130 万美元资产被盗并迅速抛售,引发一小时内代币价格暴跌逾 70%。这起事件不只重创专案市值,也让多签钱包被视为「最后防线」的安全神话破了洞。
案发时间为 2025 年 9 月 22 日,官方公告指出,遭转移的资产包含约 400 万美元 USDT,以及 USDC、Wrapped Bitcoin (WBTC)、Ether (ETH) 与 UXLINK 原生代币。骇客将资金分散至中心化与去中心化交易所,再抛售约 80 万美元 UXLINK 代币,短短一小时使代币市值蒸发超过 7,000 万美元,投资人纷纷抢撤流动性,市场一度濒临失序。
攻击路径:多签机制中的「暗门」
区块链安全公司慢雾科技创办人余弦透过 X 平台分析,关键在于 Safe 多签钱包私钥外泄。攻击者先夺得私钥,将原有多签拥有者替换为地址 0x2EF43c1D0c88C071d242B6c2D0430e1751607B87,再利用智能合约 delegateCall 移除合法管理员,并透过 addOwnerWithThreshold 把自己加进多签。如此一来,原需多重签名才能转帐的机制瞬间失效。
「攻击者先窃得私钥,再透过 delegateCall 改写多签拥有者。传统多签若缺少额外验证,就可能被一把钥匙锁喉。」
这段话点出多签设计最大盲点:私钥保管与智能合约权限管理一旦出现裂缝,安全门就形同虚设。
紧急应对:与时间赛跑的冻结行动
事件爆发后,UXLINK 团队联手安全公司 PeckShield 追踪资金流向,并向多家 CEX、DEX 送出冻结申请。目前大部分资产已被锁定,尚未流入深层匿名地址。官方强调未侦测到用户个人钱包遭直接攻击,接下来会公布资产恢复与赔偿方案,并配合执法机关追查责任人。
多签钱包的下一步:信任还能加几道锁?
这是 2024 到 2025 年间金额最大的多签钱包入侵事件之一,也让「多签=安全」过去的简单概念面临挑战,对加密货币项目来说仍要记得:第一,私钥管理仍是根本;第二,智能合约需定期审计与动态监控;第三,项目方自管资产曝险时,价格波动可能在分钟级爆发。产业要重建信任,不能只靠多签名数量,而要在合约架构、权限设计与即时风险监控上堆叠更多防护。
区块链世界距离「写进合约就不会改变」还有一段距离,当达摩克利斯之剑落下,多签钱包原本的安全光环也被迫接受更严格检验。
