社交 web3 應用 UXLINK 22 日證實,多簽錢包遭入侵、超過 1,130 萬美元資產被盜並迅速拋售,引發一小時內代幣價格暴跌逾 70%。這起事件不只重創專案市值,也讓多簽錢包被視為「最後防線」的安全神話破了洞。
案發時間為 2025 年 9 月 22 日,官方公告指出,遭轉移的資產包含約 400 萬美元 USDT,以及 USDC、Wrapped Bitcoin (WBTC)、Ether (ETH) 與 UXLINK 原生代幣。駭客將資金分散至中心化與去中心化交易所,再拋售約 80 萬美元 UXLINK 代幣,短短一小時使代幣市值蒸發超過 7,000 萬美元,投資人紛紛搶撤流動性,市場一度瀕臨失序。
攻擊路徑:多簽機制中的「暗門」
區塊鏈安全公司慢霧科技創辦人余弦透過 X 平台分析,關鍵在於 Safe 多簽錢包私鑰外洩。攻擊者先奪得私鑰,將原有多簽擁有者替換為地址 0x2EF43c1D0c88C071d242B6c2D0430e1751607B87,再利用智能合約 delegateCall 移除合法管理員,並透過 addOwnerWithThreshold 把自己加進多簽。如此一來,原需多重簽名才能轉帳的機制瞬間失效。
「攻擊者先竊得私鑰,再透過 delegateCall 改寫多簽擁有者。傳統多簽若缺少額外驗證,就可能被一把鑰匙鎖喉。」
這段話點出多簽設計最大盲點:私鑰保管與智能合約權限管理一旦出現裂縫,安全門就形同虛設。
緊急應對:與時間賽跑的凍結行動
事件爆發後,UXLINK 團隊聯手安全公司 PeckShield 追蹤資金流向,並向多家 CEX、DEX 送出凍結申請。目前大部分資產已被鎖定,尚未流入深層匿名地址。官方強調未偵測到用戶個人錢包遭直接攻擊,接下來會公布資產恢復與賠償方案,並配合執法機關追查責任人。
多簽錢包的下一步:信任還能加幾道鎖?
這是 2024 到 2025 年間金額最大的多簽錢包入侵事件之一,也讓「多簽=安全」過去的簡單概念面臨挑戰,對加密貨幣項目來說仍要記得:第一,私鑰管理仍是根本;第二,智能合約需定期審計與動態監控;第三,項目方自管資產曝險時,價格波動可能在分鐘級爆發。產業要重建信任,不能只靠多簽名數量,而要在合約架構、權限設計與即時風險監控上堆疊更多防護。
區塊鏈世界距離「寫進合約就不會改變」還有一段距離,當達摩克利斯之劍落下,多簽錢包原本的安全光環也被迫接受更嚴格檢驗。
