自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

加密黑客也在赔钱:UXLink交易者与ZKLend网络钓鱼受害者

2026-03-25 14:16:59
收藏

2025年UXLink事件:黑客盗取1130万美元后,却成最差日内交易者

2025年9月,某Web3社交平台因其多签钱包中的委托调用函数漏洞遭到攻击。攻击者盗取了约1130万美元资产,其中包括约400万USDT、50万USDC、3.7枚WBTC、25枚ETH以及价值约300万美元的平台原生代币。

随后发生的事情并不寻常。该黑客并未通过混币协议转移资金,而是在48小时内将1620枚ETH兑换成约673万枚DAI,并开始在去中心化交易所CoW Swap上频繁交易。所有交易均在链上清晰可查。

在接下来的六个月里,攻击者共执行了625笔交易,主要在WETH与DAI之间进行兑换。这种模式更接近散户的日内交易行为,而非典型的洗钱策略。

糟糕的交易决策

该黑客影响最大的持仓是以平均83225美元的价格买入的203枚WBTC。到2026年2月,仅此头寸的未实现亏损就达到约268万美元。

在最糟糕的时刻,其投资组合总未实现亏损高达480万美元。对1130万美元赃款进行六个月的主动交易,反而造成了净亏损。

至2026年3月,攻击者以每枚约2150美元的价格卖出5496枚ETH,总计获得约1180万美元。经过半年交易,净收益仅约为93.5万美元,不足原始盗取金额的10%。

与此同时,占初始盗取金额约300万美元的平台原生代币价格独立崩盘。该代币从2024年12月的3.75美元暴跌99%至0.0044美元,市值损失超7000万美元。无论黑客采取何种操作,这部分资产价值已完全蒸发。

2025年ZKLend事件:黑客盗取960万美元后,反被钓鱼损失540万

如果说UXLink事件是关于糟糕交易的故事,那么ZKLend事件则更为阴暗:攻击者成为了同类攻击手法的受害者。

2025年2月,攻击者利用StarkNet上借贷协议的贷款累加器闪贷舍入漏洞,盗取了960万美元资产。当其试图清洗赃款时,将价值约540万美元的2930枚ETH发送至伪造成混币器的钓鱼网站。

黑客随后在链上留言表示:“一切因一个错误网站而荡然无存。”这段留言后来成为DeFi安全领域广为流传的语句。

项目方提出以96万美元赏金及免于起诉的条件,要求黑客在指定期限前归还剩余资金。此类白帽赏金谈判已成为DeFi漏洞事件处理的标准实践。

需要说明的是,该钓鱼损失尚未得到区块链取证公司的独立核实。部分社区分析认为,链上留言可能是为掩盖资金实际流向而编造的托词。若钓鱼事件属实,盗取960万美元的攻击者最终仅剩下不足420万美元,且仍面临法律风险。

为何熊市对被盗加密货币同样无情

这两起事件都发生在加密货币市场近年最严峻的时期。推动投资者转向避险资产的广泛避险情绪同样波及数字货币领域。

UXLink黑客以平均83225美元购入WBTC,而ETH在2026年3月交易价格约为2150美元,远低于2025年9月漏洞发生时的水平。惩罚普通持有者的价格环境,对黑客产生了同等效应。

根据相关数据,2025年加密货币黑客攻击总损失达34亿美元。尽管行业失窃规模巨大,但在下跌市场中,被盗资金能保持价值的假设并不成立。

结构性问题显而易见。被盗加密资产以波动性代币计价,而非稳定法币。大规模盗取需要更长时间进行转移、兑换和清算以避免触发警报,这种延迟恰恰增加了资产面临贬值的风险。在牛市中盗取价值1100万美元ETH的小偷,在能安全转移时其价值可能仅剩700万美元。

正是这种吸引黑客的价格波动性,使得单次攻击能获利数百万,也恰恰在长期下跌中侵蚀着被盗资金的价值。这种动态并非这两起案例独有,而是盗取波动性资产的结构性特征。

链上透明度正在压缩黑客的操作空间

UXLink事件展示了被盗资金追踪方式的转变。黑客的625笔CoW Swap交易创造了为期六个月的行为记录,这些完全公开且任何能访问区块浏览器的人均可验证。每笔交易、每次WETH与DAI的兑换、每次WBTC购买都被永久记录。

选择使用CoW Swap而非混币器的决定本身具有启示意义。无论是出于过度自信还是操作安全意识薄弱,该决定创造了区块链分析师可详细重建的可追溯路径。

对抗性的洗钱基础设施

ZKLend事件揭示了另一维度。黑客赖以混淆被盗资金的工具——混币器和隐私协议,本身也成为钓鱼和欺骗的目标。卷走540万美元ETH的伪造混币器域名表明,洗钱环境充满对抗性。黑客面临与任何其他加密货币用户相同的钓鱼风险,甚至可能更高,因为他们无法报告损失或寻求帮助。

以ZKLend提出的10%赏金加豁免权为代表的白帽赏金模式,已成为DeFi漏洞事件事实上的应对机制。对于去中心化协议盗窃案,尚无可依赖的执法途径。赏金谈判往往是受影响协议唯一可行的追回选择。

需要认识到一个重要限制:链上数据揭示行为而非身份。UXLink黑客的625笔交易能向分析者展示其交易内容、时间和损失金额,但无法揭露黑客真实身份。两起案件均未导致逮捕。现实世界的身份识别仍需链下调查、交易所实名认证记录、IP日志以及将钱包与个人关联的操作失误。

但操作窗口正在收窄。每笔可追溯交易都是一个数据点,每次链上兑换都是证据。随着现货ETF等机构产品为加密货币市场带来更规范的基础设施,匿名链上活动与现实世界身份之间的差距正在持续缩小。

展开阅读全文
更多新闻