Dicurinya k juta dolar, proyek sosial bintang UXLINK menghadapi momen "tergelap".

Hacker ada setiap tahun, tahun ini juga tidak terkecuali. Sejak awal Aset Kripto, serangan siber terhadapnya sudah ada, dan seiring dengan kematangan teknologi, serangan tersebut berevolusi menjadi metode serangan yang lebih kompleks, logika serangan yang lebih canggih, serta teknik yang lebih menyesatkan. Namun terkadang, kita harus mengakui bahwa seketat apapun pengendalian, tidak bisa mengalahkan kelemahan manusia. Baru-baru ini, proyek sosial bintang Web 3, UXLINK, juga terkena serangan.

Pencurian di pagi hari, penerbitan kontrak baru, dan penurunan harga koin yang drastis, dalam waktu kurang dari setengah hari, UXLINK telah mengalami momen paling hancur dalam sejarah, bahkan menampilkan adegan klasik "hacker memakan hacker".

Keamanan proyek enkripsi, tampaknya akhirnya adalah sebuah catatan yang membingungkan.

Berbeda dengan proyek lainnya, pengguna di luar mungkin tidak asing dengan UXLINK. UXLINK adalah proyek sosial yang dibangun di atas Telegram, berbeda dengan pola sosial yang luas sebelumnya, UXLINK mengedepankan "sosial teman dekat", yang memungkinkan login dengan sekali klik melalui Telegram, WhatsApp, TikTok, dan dompet EOA, serta menyediakan skenario sosial yang mendalam dan insentif token untuk mempertahankan pengguna guna mendorong pertumbuhan, menekankan fungsionalitas grup yang didorong oleh komunitas dan penerbitan aset.

Dari segi teknologi dan akuisisi lalu lintas, UXLINK jelas berdiri di atas bahu raksasa, di mana Telegram dari Dongjia tidak hanya memberikan dukungan dalam aspek teknologi dan komponen, tetapi juga memberikan perhatian dalam akuisisi lalu lintas, mulai dari pemula hingga pembentukan grafik, alat grup hingga perdagangan sosial yang terintegrasi tanpa cela di dalam Telegram.

Juga berasal dari sini, sejak diluncurkan pada April 2023, UXLINK telah menunjukkan kinerja yang sangat baik. Di sisi pendanaan, telah mendapatkan perhatian dari modal asli kripto seperti OKX Ventures, Matrixport Ventures, SevenX Ventures, HashKey Capital, dan Animoca Brands, serta arah aplikasi juga telah menyelesaikan cold start lebih cepat daripada DAPP sosial biasa. Pada April 2024, UXLINK sudah memiliki 5,3 juta pengguna terdaftar, membangun hampir 90 ribu grup chat, hingga Agustus 2025, data yang dirilis di situs resmi menunjukkan bahwa pengguna terdaftar UXLINK telah mencapai 54 juta, dengan dompet aktif harian melampaui 24 juta, berkat skala besar, UXLINK melompat menjadi platform teratas dalam sosial Web3.

Dalam hal aset, UXLINK mengadopsi model dua token, yaitu token utilitas asli yang didasarkan pada UXUY dan token UXLINK yang berfokus pada tata kelola. Yang pertama terutama digunakan untuk pengembangan komunitas dan ekosistem, pengguna dapat memperoleh UXUY melalui undangan atau aktivitas komunitas lainnya, sedangkan yang kedua menekankan fungsi tata kelola dengan total pasokan 1 miliar koin, di mana 65% dialokasikan untuk komunitas, 40% dialokasikan untuk pengguna, dan 25% untuk pengembang dan mitra. Pada bulan April tahun lalu, UXLINK memulai kegiatan airdrop tahap pertama, di mana pengguna dapat mengklaim airdrop dengan sertifikat airdrop NFT, lebih dari 1,4 juta NFT berhasil dicetak, 15% pengguna mendapatkan airdrop. Namun, perlu dicatat bahwa kinerja token hanya bisa digambarkan sebagai kurang memuaskan. Setelah UXLINK terdaftar di bursa pada 18 Juli tahun lalu, harga melonjak dari 0,0998 dolar AS menjadi 3,85 dolar AS, tetapi kemudian terus menurun dan stabil di kisaran 0,32-0,35 dolar AS sebelum peristiwa ini terjadi.

Meskipun kinerja token tidak memuaskan, dari berbagai proyek sosial, operasi UXLINK tetap online. Tidak hanya secara strategis meluncurkan rantai pertumbuhan sosial dan memasuki PayFi, tetapi juga memulai kegiatan staking dan airdrop untuk menarik perhatian pengguna. Dalam pembangunan ekosistem, UXLINK juga menunjukkan performa yang cukup mengesankan, dengan lebih dari 500 proyek di industri yang telah menjalin kerjasama dengannya, pasar terus berkembang dari Jepang dan Korea Selatan ke Amerika Utara. Singkatnya, dalam proyek sosial, UXLINK tetap menjadi sorotan dan bisa disebut sebagai salah satu yang terbaik.

Membangun proyek itu sulit, tetapi untuk menghancurkan sebuah proyek, hanya perlu sekali dicuri.

Pada 23 September pukul 00:43, perusahaan keamanan Cyvers mengeluarkan peringatan, menyatakan bahwa sistem mereka mendeteksi transaksi mencurigakan yang melibatkan UXLINK, dengan skala mencapai 11,3 juta dolar AS. Penyebabnya berasal dari internal proyek, akibat kebocoran kunci privat, seorang penyerang pada 22 September pukul 22:53 melakukan operasi deleGateCall pada dompet multi-tanda tangan UXLINK, menghapus administrator multi-tanda tangan yang ada, dan menjadikan dirinya sebagai satu-satunya pengendali proyek. Selanjutnya, alamat ini memanggil addOwnerWithThreshold, mentransfer USDT 4 juta, USDC 500 ribu, WBTC 3,7, ETH 25, serta sekitar 3 juta koin UXLINK yang ditransfer dan sebagian dijembatani ke jaringan utama.

Dalam waktu 5 menit setelah berita tersebut muncul, pasar bereaksi dengan kuat, harga spot UXLINK turun drastis dari sekitar 0,3 dolar menjadi di bawah 0,18 dolar, dan tren penurunan terus berlanjut. Satu jam kemudian, UXLINK secara resmi mengakui telah diserang, dan 9 jam setelahnya, UXLINK mengumumkan melalui Twitter bahwa mereka sedang bekerja sama dengan para ahli keamanan internal dan eksternal sepanjang waktu untuk mengidentifikasi penyebab mendasar dan mengendalikan perkembangan situasi. Mereka telah menghubungi CEX dan DEX utama, dengan segera membekukan setoran UXLINK yang mencurigakan, dan menyatakan bahwa sebagian besar aset yang dicuri telah dibekukan, menekankan bahwa belum ada tanda-tanda bahwa dompet pengguna pribadi telah diserang.

Menurut proses biasa, mengakui pencurian, komunikasi darurat, dan memulai pemulihan pasca bencana tampaknya telah mengakhiri peristiwa tersebut, tetapi hacker, jelas tidak berpikir demikian. Pada pukul 9:54 pagi tanggal 23, langkah paling merusak dimulai, alamat serangan menggunakan kekuasaan manajerial yang dimiliki, tanpa izin menggunakan fungsi pencetakan kontrak, dan menerbitkan 1 miliar koin UXLINK. Kunci untuk menjaga stabilitas sistem moneter terletak pada stabilitas nilai koin, dan syarat utama untuk stabilitas nilai koin adalah mengendalikan jumlah peredaran koin, sedangkan penerbitan yang berlebihan tanpa ragu membuat seluruh ekosistem berada di ambang kehancuran. UXLINK terus jatuh, harga terendah sempat mendekati nol, nilai pasar terendah di blockchain mencapai 80 dolar, sedangkan sebelum kejadian, nilai pasar UXLINK adalah 150 juta dolar, dan berdasarkan data CEX yang ada, nilai pasar hanya pulih menjadi 65 juta dolar.

Lebih parahnya lagi, setelah penerbitan tambahan, hacker terus melakukan penjualan di berbagai bursa, menukarkan UXLINK yang diterbitkan tambahan melalui berbagai dompet, mengumpulkan 6732 ETH, dengan keuntungan mencapai 28,1 juta dolar. Perlu dicatat bahwa selama periode ini, beberapa pengguna mengikuti pengalaman empiris untuk melakukan aksi beli di dasar setelah pengumuman UXLINK dirilis, tetapi karena jalur penerbitan tambahan hacker, kerugian semakin meluas, bahkan ada satu alamat yang menghabiskan 900 ribu dolar, dan akhirnya hampir mendekati nol.

Sampai di sini, sepertinya ada makna akhir, tetapi sebuah adegan dramatis terjadi lagi. Hacker yang mencuri aset UXLINK mengalami "hacker dimakan hacker", karena telah memberikan izin kepada alamat tim phishing, dan kemudian diserang oleh Inferno Drainer phishing. Setelah diverifikasi, sekitar 5,42 juta koin $UXLINK yang diperoleh secara ilegal telah dicuri dengan metode "phishing yang diberikan izin". Mencuri dengan susah payah, tetapi tidak lupa untuk membuat orang lain kaya, hanya bisa dikatakan tak terduga.

Menurut perkembangan terbaru, UXLINK telah meluncurkan rencana migrasi kontrak token. Kontrak pintar UXLINK yang baru telah berhasil melewati audit keamanan, dan kontrak tersebut akan dideploy di jaringan utama Ethereum, serta menghapus fitur pencetakan dan pembakaran, dan akan mempertahankan fungsionalitas lintas rantai melalui layanan mitra lintas rantai. Kontrak pintar UXLINK yang baru telah siap, dengan alamat kontrak 0x3991B07b2951a4300Da8c76e7d2c7eddE861Fef3. Pengguna CEX dan pengguna on-chain yang memegang koin UXLINK yang beredar secara sah akan mendapatkan pertukaran 1:1, koin yang diakui sebagai penerbitan ilegal tidak akan memenuhi syarat untuk ditukar. Beberapa koin yang masih diperdagangkan, tim akan menyediakan rencana kompensasi terpisah untuk pengguna yang terdampak.

Dari kejadian ini, respons tim proyek cukup cepat, tidak hanya stabilisasi emosi pengguna dengan cepat, tetapi juga memberikan solusi pada waktu pertama, menunjukkan kinerja manajemen darurat yang masih patut dipuji. Namun, di sisi lain, esensi dari serangan kali ini terletak pada kurangnya manajemen multisig, meskipun telah menggunakan mekanisme multisig Safe dan mengonfigurasi beberapa akun multisig, tetapi manajemennya sebenarnya sangat kurang, sehingga multisig menjadi tidak berfungsi, yang menyebabkan krisis.

Perlu dicatat bahwa metode peningkatan ini juga sangat sering terjadi baru-baru ini. Dengan cara yang sama seperti UXLINK, platform inkubasi dan peluncuran proyek Web3 yang sama, Seedify.fund, juga telah diretas dan mengalami peningkatan 3 triliun, token SFUND mengalami kerugian besar, harganya turun dari 0,42 dolar menjadi 0,08 dolar, dan kini stabil di 0,27 dolar.

Dan hari ini, proyek Web3 Eropa Griffin AI mengalami serangan Hacker hanya 12 jam setelah menyelesaikan airdrop Binance Alpha, yang menyebabkan peningkatan jahat 5 miliar koin GAIN, membuat nilai koinnya turun dari 0,163 dolar AS hingga hampir 95% mendekati nol. Menurut pengumuman resmi, alamat serangan memulai serangan dengan memperkenalkan LayerZero Peer yang tidak sah, mengimplementasikan kontrak Ethereum palsu untuk menghindari kontrak resmi, dan kemudian meningkatkan jumlah koin palsu di BNB Chain melalui jembatan LayerZero. Sementara itu, Hacker GAIN menjual alamat peningkatan abnormal dan meraup keuntungan sebesar 2955 BNB ( yang setara dengan sekitar 3 juta dolar AS ), yang kemudian ditukar melalui jembatan lintas rantai deBridge menjadi 720,81 ETH, dan seluruhnya dipindahkan ke Tornado Cash untuk pencampuran koin. Hingga saat ini, GriffinAI telah menghapus kolam likuiditas resmi GAIN di BNB Chain dan secara resmi meminta semua CEX untuk menghentikan perdagangan, setoran, dan penarikan koin GAIN (BSC). Namun, perlu dicatat bahwa pihak proyek belum mengajukan solusi untuk kompensasi bagi para korban yang dicuri.

Satu-satunya hal yang patut disyukuri adalah, berbeda dengan UXLINK dan SFUND, sebagian pembeli GAIN yang membeli di titik terendah berhasil mendapatkan keuntungan yang baik, ada alamat yang membeli GAIN seharga rata-rata 0,00625 dolar dengan total 20.200 dolar, dalam satu jam memperoleh keuntungan mengambang sebesar 107.000 dolar.

Secara keseluruhan, dibandingkan dengan tindakan serangan sekali jalan sebelumnya, cara serangan saat ini mulai fokus pada kontrol izin kontrak dan penerbitan koin, meskipun keduanya merupakan metode serangan, tetapi yang terakhir jelas lebih buruk. Bagi proyek, penerbitan koin yang merugikan menghancurkan seluruh ekosistem yang berpusat pada koin, yang secara signifikan akan mengurangi tingkat kepercayaan pengguna terhadap proyek, dan dari situ memicu serangkaian reaksi berantai. Contoh yang khas adalah, seiring dengan frekuensi kejadian penerbitan yang meningkat, suara bahwa pihak proyek melakukan pengaturan sendiri melalui multi-signature sudah mulai terdengar di pasar.

Dari segi keamanan, manajemen multi-tanda tangan juga patut diperhatikan. Saat ini, kontrak pintar proyek umumnya menggunakan sistem multi-tanda tangan, tetapi manajemen juga harus ditingkatkan seiring dengan itu. Yang pertama adalah memaksa penggunaan dompet perangkat keras untuk mencapai isolasi fisik. Selanjutnya, upayakan untuk mendistribusikan pihak yang menandatangani sebanyak mungkin, baik dari segi waktu, perangkat keras, maupun cadangan, untuk menghindari risiko sentralisasi. Selain penghindaran dari sisi teknis yang keras, lingkungan lunak juga sangat penting. Pemegang multi-tanda tangan harus menyembunyikan identitas mereka dan membangun proses verifikasi silang untuk melakukan pemeriksaan ulang secara efektif, membangun garis pertahanan manual. Selain itu, latihan juga sangat diperlukan. Pertahankan kesadaran akan potensi masalah, lakukan latihan secara rutin dan siapkan rencana darurat, karena di industri ini, latihan palsu bisa berubah menjadi pertempuran nyata dalam sekejap.

Pendiri Slow Fog, Yu Xian, juga memberikan saran kepada pihak proyek, bahwa pemilik multi-tanda tangan sebaiknya menggunakan dompet perangkat keras yang hanya mendukung tanda tangan kompleks dan layar besar, mencakup seluruh proses dari pembuatan frasa pemulihan hingga penggunaannya, serta kompatibel dengan Passphrase atau cadangan SSS untuk meningkatkan keamanan. Dalam penggunaan sehari-hari, kita sebaiknya lebih waspada, sangat berhati-hati terhadap persyaratan tanda tangan, dan mengurangi risiko yang mungkin terjadi.