笑死！UXLINK骇客偷1130万美「却被钓鱼攻击」，币圈黑吃黑防不胜防

骇客盗走 UXLINK 后又遭 Inferno Drainer 钓鱼，暴露多层次区块链安全漏洞
（前情提要：Coinbase史上最大「资料外洩事件」内幕：外包商内鬼串谋骇客，每笔资料售200美元 ）
（背景补充：假招聘广告暗藏加密骇客！恶意软体ModStealer专窃用户资料，瞄準加密货币钱包 ）

本文目录

• 多重签名漏洞
• 骇客误信授权　遭 Inferno Drainer 反盗取
• 技术缺口与人为疏失交织

 

Web3 社交平台 UXLINK 爆发骇客案，约 1130 万美元资产瞬间被掏空，代币价值暴跌近八成。更戏剧性的是，慢雾科技最新溯源发现，那名成功盗走 UXLINK 代币的骇客旋即遭到 Inferno Drainer 钓鱼集团「黑吃黑」，被再次转走约 5.42 亿枚 UXLINK。从项目漏洞到骇客受害，事件短时间内翻转两次，成为去中心化世界风险接力的经典案例。

多重签名漏洞

调查显示，UXLINK 的多重签名钱包存在 delegateCall 漏洞。攻击者先移除原有管理员，再新增拥有门槛权限的新地址，藉此夺走控制权并转出资产。被盗金额约 1130 万美元，涵盖 300 万美元等值 UXLINK、USDT、USDC、WBTC 与 ETH。消息传开后，代币价格在数小时内重挫 77% 至 80%，市值蒸发逾 7000 万美元。UXLINK 已向执法单位报告并与 PeckShield 等安全公司合作调查，Bithumb、Kraken 等交易所同步暂停 UXLINK 存取款。

骇客误信授权　遭 Inferno Drainer 反盗取

就在外界追查资金流向之际，形势再度反转。慢雾科技于 9 月 23 日指出，初始骇客落入 Inferno Drainer 的「普通授权钓鱼」陷阱，让钓鱼者透过链下免 gas 的 permit 签名，将 5.42 亿枚 UXLINK 转走。链上证据包含 骇客授权 与 资产被转移 两笔关键交易。慢雾创办人余弦说：

「骇客很可能被 Inferno Drainer 这个已知钓鱼组织利用标準钓鱼手段欺骗。」

他强调，此次并无智能合约漏洞，而是社交工程攻击滥用授权。

技术缺口与人为疏失交织

UXLINK 首波损失始于智能合约设定不当，次波损失则源于人为授权失误，两层风险连锁凸显区块链安全的複合特质。Inferno Drainer 长期锁定 DeFi 用户，善用链下 permit 签名诱导转帐。同期间，CYVERS 侦测 多笔 delegateCall 执行与未授权转帐行为，显示可能存在更大规模的协同行动。

这齣「螳螂捕蝉，黄雀在后」的双重攻击，提醒项目方与使用者、甚至是骇客：技术与审计仅是基础，操作层面同样关键。UXLINK 必须重塑安全架构以挽回信任，交易所与安全公司也需要持续监控可疑地址流向。