تم سرقة عشرة ملايين دولار ، وواجه مشروع التواصل الاجتماعي الشهير UXLINK "أحلك" لحظاته.

هاكر سنة بعد سنة، وهذا العام ليس استثناء. منذ بداية الأصول الرقمية، كانت الهجمات الإلكترونية ضدها تصاحبها، ومع تطور التكنولوجيا، تطورت لتصبح أساليب هجوم أكثر تعقيدًا، ومنطق هجوم أكثر براعة، ووسائل تقنية أكثر خداعًا. ولكن في بعض الأحيان، يجب الاعتراف بأن أي تدابير أمنية صارمة لن تصمد أمام نقاط ضعف الطبيعة البشرية. مؤخرًا، تعرض مشروع UXLINK، وهو مشروع اجتماعي بارز في Web 3، للاختراق.

تعرضت UXLINK لسرقة في الصباح الباكر، وزيادة في إصدار العقود، وانهيار كبير في قيمة العملة، في أقل من نصف يوم، شهدت لحظات من أسوأ انهيار في تاريخها، حتى شهدت مشهد "هاكر يأكل هاكر" الشهير.

أمان المشاريع التشفيرية يبدو في النهاية أنه حساب غير واضح.

على عكس المشاريع الأخرى، قد لا يكون المستخدمون من خارج الدائرة غرباء عن UXLINK. UXLINK هو مشروع اجتماعي مبني على Telegram، وبخلاف نموذج الشبكات الاجتماعية السابق، فإن UXLINK يركز على "التواصل بين الأصدقاء"، حيث يمكن تسجيل الدخول بنقرة واحدة عبر Telegram وWhatsApp وTikTok ومحفظة EOA، ويقدم مشاهد اجتماعية عميقة وحوافز رمزية للاحتفاظ بالمستخدمين من أجل دفع النمو، مع التأكيد على وظيفة المجموعات المدفوعة بالمجتمع وإصدار الأصول.

من الناحية الفنية واكتساب الحركة، لا شك أن UXLINK يقف على أكتاف العمالقة، حيث تقدم Telegram، التي تُعتبر رائدة، الدعم من الناحية التقنية والمكونات، كما أنها تقدم ميزة في اكتساب الحركة، من البداية إلى تشكيل الرسوم البيانية، ومن أدوات المجموعات إلى التداول الاجتماعي، كل ذلك مُدمج بسلاسة في Telegram.

أيضًا، ومن هنا، منذ إطلاقه في أبريل 2023، كان أداء UXLINK استثنائيًا. حصل على دعم من رؤوس الأموال الأصلية للتشفير مثل OKX Ventures وMatrixport Ventures وSevenX Ventures وHashKey Capital وAnimoca Brands، كما أن اتجاه التطبيق أكمل البدايات الباردة قبل DAPP الاجتماعية العادية. بحلول أبريل 2024، كان لدى UXLINK 5.3 مليون مستخدم مسجل، وقد أنشأ ما يقرب من 90 ألف مجموعة دردشة، وحتى أغسطس 2025، أظهرت البيانات المنشورة على الموقع الرسمي أن عدد المستخدمين المسجلين في UXLINK قد وصل إلى 54 مليون، وتجاوز عدد المحفظات النشطة اليومية 24 مليون، مما جعلها تتصدر منصات التواصل الاجتماعي في Web3 بفضل قاعدة المستخدمين الضخمة.

! GYlWExRHUBHh6WmtHFxmD1gtGU9kkD3daI7A5aM3.png

فيما يتعلق بالأصول، اعتمد UXLINK نموذج رمز مزدوج، يتكون من الرمز الأصلي القائم على UXUY ورمز UXLINK الذي يركز على الحوكمة، حيث يُستخدم الأول بشكل أساسي لتطوير المجتمع والنظام البيئي، ويمكن للمستخدمين الحصول على UXUY من خلال الدعوات أو الأنشطة المجتمعية الأخرى، بينما يركز الثاني على وظيفة الحوكمة، مع إجمالي عرض قدره مليار عملة، حيث يتم تخصيص 65% للمجتمع و40% للمستخدمين، بينما يحصل المطورون والشركاء على 25%. في أبريل من العام الماضي، أطلق UXLINK أول نشاط توزيع مجاني، حيث يمكن للمستخدمين استلام التوزيع المجاني باستخدام شهادة توزيع NFT، وتم إنتاج أكثر من 1.4 مليون NFT، وحصل 15% من المستخدمين على التوزيع المجاني. ولكن من الجدير بالذكر أن أداء الرمز لم يكن مرضيًا، حيث بعد إدراج UXLINK في البورصة في 18 يوليو من العام الماضي، ارتفع من 0.0998 دولار إلى 3.85 دولار، لكنه انخفض بعد ذلك واستقر قبل حدوث هذه الواقعة عند حوالي 0.32-0.35 دولار.

على الرغم من الأداء الضعيف للعملة، إلا أن تشغيل UXLINK لا يزال مستمرًا بين العديد من المشاريع الاجتماعية، حيث أطلقوا استراتيجياً سلسلة نمو اجتماعي ودخلوا في مجال PayFi، كما بدأوا لاحقًا أنشطة التكديس والإيردروب لجذب انتباه المستخدمين، وقد أظهروا أيضًا أداءً بارزًا في بناء النظام البيئي، حيث تم التعاون مع أكثر من 500 مشروع في الصناعة، ويتوسع السوق من اليابان وكوريا نحو أمريكا الشمالية. باختصار، في مشاريع التواصل الاجتماعي، تظل UXLINK صوتًا مستمرًا، ويمكن اعتبارها واحدة من الأبرز.

من الصعب بناء مشروع، ولكن لتدمير مشروع، يكفي سرقة واحدة.

في 23 سبتمبر الساعة 00:43، أصدرت شركة الأمان Cyvers تحذيرًا، حيث أكدت أن نظامها اكتشف معاملات مشبوهة تتعلق بـ UXLINK، بقيمة تصل إلى 11.3 مليون دولار. السبب جاء من داخل المشروع، حيث أدى تسرب المفتاح الخاص إلى قيام هاكر بتنفيذ عملية deleGateCall على محفظة UXLINK متعددة التوقيع في 22 سبتمبر الساعة 22:53، حيث أزال المشرف السابق وأصبح هو المتحكم الوحيد في المشروع. بعد ذلك، استدعى هذا العنوان addOwnerWithThreshold، وتم تحويل 4 ملايين USDT، و500 ألف USDC، و3.7 WBTC، و25 ETH، وحوالي 3 ملايين من عملة UXLINK وتم تحويل جزء منها عبر الجسر إلى الشبكة الرئيسية.

بعد 5 دقائق فقط من انتشار الخبر، كان رد فعل السوق قويًا، حيث انخفض سعر UXLINK الفوري بسرعة من حوالي 0.3 دولار إلى أقل من 0.18 دولار، مع استمرار الاتجاه الهبوطي. بعد ساعة، اعترفت UXLINK رسميًا بتعرضها للاختراق، وبعد 9 ساعات، نشرت UXLINK تغريدة تشير إلى أنها تتعاون مع خبراء الأمن الداخلي والخارجي على مدار الساعة لتحديد السبب الجذري والسيطرة على تطورات الوضع. تم الاتصال بالعديد من CEX وDEX، وتم تجميد ودائع UXLINK المشبوهة بشكل عاجل، وفيما بعد تمت الإشارة إلى أن معظم الأصول المسروقة قد تم تجميدها، مع التأكيد على عدم وجود علامات تدل على أن محافظ المستخدمين الشخصية قد تعرضت للاختراق.

وفقًا للإجراءات العادية، فإن الاعتراف بالسرقة، والعلاقات العامة الطارئة، وبدء إعادة الإعمار بعد الكارثة قد وضع حدًا لهذا الحدث، لكن هاكر، من الواضح أنه لا يفكر بهذه الطريقة. في صباح يوم 23 الساعة 9:54، تم بدء الخطوة الأكثر تدميرًا، حيث استخدم عنوان الهجوم، بفضل الصلاحيات الإدارية التي يمتلكها، ميزة سك العقود بدون إذن، وأصدر 1 مليار من رموز UXLINK. يكمن المفتاح للحفاظ على استقرار النظام النقدي في استقرار قيمة العملة، والشرط الأول لاستقرار القيمة هو التحكم في كمية العملة المتداولة، وبالتالي فإن الزيادة الكبيرة في الإصدار، بلا شك، وضعت النظام البيئي بأسره على حافة الانهيار. انخفضت UXLINK بشكل مستمر، ووصل أدنى سعر لها إلى حد قريب من الصفر، حيث بلغت القيمة السوقية الدنيا على السلسلة 80 دولارًا، بينما كانت القيمة السوقية لـ UXLINK قبل الحادث 150 مليون دولار، ووفقًا للبيانات الحالية من CEX، فقد استعدت القيمة السوقية فقط إلى 65 مليون دولار.

! L3VIG3YlJFjdE965ANVNZ7ZL9ERfQFZNt6J2CbPC.png

الأكثر سوءًا هو أنه بعد زيادة الإصدار، استمر هاكر في البيع في مختلف البورصات، من خلال محافظ مختلفة لتبادل UXLINK المُصدر حديثًا، مما أدى إلى جمع 6732 ETH، وبلغت أرباحه 2810 مليون دولار. ومن الجدير بالذكر أنه خلال هذه الفترة، اتبع بعض المستخدمين التجريبية بعد إعلان UXLINK للقيام بعمليات شراء منخفضة، ولكن بسبب طرق زيادة الإصدار من قبل الهاكر، زادت الخسائر بشكل أكبر، حتى أن عنوانًا واحدًا أنفق 900000 دولار، ليقترب في النهاية من الصفر.

وصلت الأمور إلى هنا، ويبدو أن لها دلالة على النهاية، لكن مشهد درامي آخر حدث مرة أخرى. تعرض هاكر سرقة أصول UXLINK لهجوم "هاكر يأكل هاكر"، حيث تم تفويض عنوان فريق الاحتيال، وتعرض لهجوم تصيد Inferno Drainer. بعد التحقق، تم سرقة حوالي 5.42 مليون من رموز $UXLINK التي تم الحصول عليها بشكل غير قانوني بأسلوب "تفويض التصيد". لقد قاموا بسرقة بجد، ولا يزالون ينسون أن يجعلوا الآخرين يرتدون ثياباً، ولا يسعني سوى القول إنه كان غير متوقع.

وفقًا لأحدث التطورات، أطلق UXLINK خطة نقل عقد الرموز، حيث تم اجتياز عقد UXLINK الذكي الجديد بنجاح تدقيق الأمان، وسيتم نشر العقد على الشبكة الرئيسية لإيثريوم، وتم إلغاء وظيفة السكّ والتدمير، وسيتم الحفاظ على وظائفه عبر السلاسل من خلال خدمات الشركاء عبر السلاسل. عقد UXLINK الذكي الجديد جاهز، وعنوان العقد هو 0x3991B07b2951a4300Da8c76e7d2c7eddE861Fef3، وسيتلقى مستخدمو CEX والمستخدمون على السلسلة الذين يمتلكون رموز UXLINK المتداولة قانونيًا تبادلًا بنسبة 1:1، بينما لن تكون الرموز التي تم اعتبارها صادرة بشكل غير قانوني مؤهلة للتبادل. بالنسبة لبعض الرموز التي لا تزال قيد التداول، ستقوم الفريق بتقديم خطة تعويض منفصلة للمستخدمين المتأثرين.

! R5IEvUhV54TKmlISDsjVEdYEVZF4G8BYcnngCDSf.png

من خلال هذا الحدث، كانت سرعة استجابة الفريق المعني بالمشروع سريعة جدًا، حيث لم يثبتوا فقط استقرار مشاعر المستخدمين بسرعة، بل قدموا أيضًا حلًا في الوقت المناسب، مما يظهر أداءً يستحق الثناء في إدارة الطوارئ. لكن، من جهة أخرى، تكمن طبيعة الهجوم في نقص إدارة التوقيع المتعدد، فبالرغم من أنهم استخدموا آلية التوقيع المتعدد Safe وقاموا بتكوين عدة حسابات توقيع متعددة، إلا أن الإدارة الفعلية كانت غائبة للغاية، مما جعل التوقيع المتعدد بلا جدوى، مما أدى إلى حدوث الأزمة.

من الجدير بالذكر أن وسيلة زيادة العرض كانت أيضًا شائعة جدًا في الآونة الأخيرة. بنفس الطريقة التي تم بها اختراق UXLINK ، تم أيضًا اختراق منصة Seedify.fund ، التي يتم فيها احتضان وإطلاق مشاريع Web3 في نفس الفترة ، وزيادة عرضها بمقدار 3 تريليون ، مما أدى إلى تضرر رمز SFUND بشكل كبير ، حيث انخفض السعر من 0.42 دولار إلى 0.08 دولار ، واستقر حاليًا عند 0.27 دولار.

وفي اليوم، تعرض مشروع Griffin AI الأوروبي Web3، بعد 12 ساعة فقط من انتهاء توزيع عملة Binance Alpha، لهجوم هاكر أدى إلى إصدار 50 مليار عملة GAIN بشكل ضار، مما أدى إلى انخفاض سعر عملته من 0.163 دولار بنسبة 95% تقريبًا حتى اقترب من الصفر. وفقًا للإفصاحات الرسمية، قام عنوان الهجوم بالهجوم عن طريق إدخال Peer LayerZero غير المصرح به، ونشر عقد Ethereum مزيف لتجاوز العقد الرسمي، ثم تم تنفيذ زيادة إصدار العملة المزيفة عبر LayerZero على سلسلة BNB. بينما قام هاكر GAIN ببيع عنوان الإصدار الاستثنائي لتحقيق ربح قدره 2955 عملة BNB ( ما يعادل حوالي 3 ملايين دولار )، من خلال جسر deBridge تم تحويلها إلى 720.81 عملة ETH، ثم تم نقلها بالكامل إلى Tornado Cash لغرض غسل الأموال. حتى الآن، قام GriffinAI بإزالة حوض السيولة الرسمي لـ GAIN على سلسلة BNB، وطلب رسميًا من جميع CEX تعليق تداول وإيداع وسحب عملة GAIN (BSC). لكن من الجدير بالذكر أن المشروع لم يقدم أي حل لتعويض المتضررين.

الشيء الوحيد الذي يمكن أن نكون محظوظين به هو أن بعض المتداولين الذين اشتروا GAIN بنجاح حققوا عوائد جيدة، حيث هناك عنوان قام بشراء 20.2 ألف دولار من GAIN بسعر متوسط 0.00625 دولار، وحقق ربحاً عائداً قدره 107 آلاف دولار في ساعة واحدة.

بشكل عام، بالمقارنة مع السلوكيات الهجومية السابقة التي كانت تتمثل في الهجمات الفردية، بدأت أساليب الهجوم اليوم تركز على أذونات العقود والتحكم في إصدار العملات، على الرغم من أن كلاهما يعتبر وسيلة هجوم، إلا أن الأخيرة يبدو أنها أسوأ بكثير. بالنسبة للمشاريع، فإن الزيادة غير المشروعة في إصدار العملات تدمر النظام البيئي بأكمله الذي يركز على العملات، مما سيقلل بشكل كبير من ثقة المستخدمين في المشروع، ومن ثم يؤدي إلى سلسلة من ردود الفعل. مثال نموذجي هو أنه مع تزايد حوادث الإصدار، بدأ السوق بالفعل في سماع أصوات المشروع التي تشير إلى أن الفريق قد أدار الأمر بنفسه من خلال التوقيع المتعدد.

من حيث الأمان، فإن إدارة التوقيع المتعدد تستحق أيضًا الاهتمام. في الوقت الحاضر، تعتمد مشاريع العقود الذكية عمومًا على نمط التوقيع المتعدد، ولكن يجب أن تتزامن الإدارة مع ذلك. يجب أن يكون الأمر الأول هو فرض التعاون مع محافظ الأجهزة لتحقيق العزل المادي. ثم يجب قدر الإمكان توزيع الأطراف الموقعة لتجنب المخاطر المركزية من حيث الوقت والمكان والأجهزة والنسخ الاحتياطية. بالإضافة إلى تجنب المخاطر من الجانب الفني، فإن البيئة اللينة أيضًا مهمة للغاية. يجب على حاملي التوقيع المتعدد الحفاظ على هويتهم مخفية، وبناء عملية تحقق متبادل، وإجراء مراجعة ثانية بشكل فعال، وبناء خط دفاع بشري. بالإضافة إلى ذلك، فإن التمرين ضروري للغاية، يجب الحفاظ على الوعي بالمخاطر، وإجراء تدريبات دورية، وإعداد خطط للطوارئ، لأنه في المجال، يمكن أن تتحول التدريبات الوهمية إلى معارك حقيقية في لحظة.

قدم المؤسس لSlow Fog، يوجيان، اقتراحات لمشروع الفريق، حيث يجب أن يتطابق مالكو التوقيع المتعدد مع محافظ الأجهزة التي تدعم فقط التوقيعات المعقدة والشاشات الكبيرة، بما في ذلك العملية الكاملة من توليد الكلمات المساعدة إلى الاستخدام، ويجب أن تتوافق أيضًا مع النسخ الاحتياطي بواسطة Passphrase أو SSS لزيادة الأمان. في الاستخدام اليومي، يجب أن نكون أكثر حذراً، وأن نكون حذرين للغاية بشأن متطلبات التوقيع، لتقليل المخاطر المحتملة.