加密圈从不眠，黑客也一样。最近，UXLINK 项目成为一连串高调被攻破事件中的最新受害者——一名熟练的攻击者在攻破其多签钱包后携走约 2810 万美元的 ETH。该事件在 加密评论员 MartyParty 在 X 上的帖子 中被强调，凸显了以太坊智能合约中长期存在的漏洞——这些问题困扰着整个行业多年。

MartyParty 是圈内知名声音，他指出这又是一起重入攻击，但具体情况更倾向于 delegateCall 被利用。他多年来一直在警示这些 Solidity 的陷阱，这次黑客事件就是一个令人震惊的提醒。下面我们逐步拆解，让接触区块链技术的读者也能看懂要点。

UXLINK 攻击发生了什么？

根据 Lookonchain 的链上分析，攻击者将目标对准了 UXLINK 的多签钱包——这种设置通过要求多重签名来提高安全性。但攻击者完全绕过了这一防护。他们收到了 4.9 亿个 $UXLINK 代币，甚至又铸造了另外 20 亿个代币。随后，这些代币通过六个不同的钱包在去中心化交易所（DEXes）上被抛售，最终换得 6,732 ETH（事发时约值 2810 万美元）。此外，部分代币在中心化交易所（CEXes）上被出售，导致市场被大量流入，代币价格应声下跌。

攻击者的地址包括：

• 0x78786A967ee948Aea1ccD3150f973Cf07d9864F3
• 0x9212f3a4528492622A02aF8bbc59A44c6c3c3539
• 以及原帖中列出的其他若干地址。

这波大规模抛售导致 $UXLINK 在 24 小时内暴跌超过 73%，价格降至约 $0.0877，市值收缩至约 3690 万美元。

漏洞如何被利用：深入解析 delegateCall

这次漏洞的核心？就是巧妙利用以太坊的 delegateCall 函数，MartyParty 在附图中对此有说明。多签钱包本应像“保险库”一样安全，但如果底层智能合约有缺陷，那就完了。

分解如下：

1. delegateCall 被利用​​：攻击者从外部以太坊地址发起了对钱包合约的 delegateCall。简单来说，delegateCall 允许一个合约在调用合约的上下文（比如存储和余额）下执行另一个合约的代码。它常用于可升级合约或代理模式，但如果实现不慎，就可能允许外部方在不拥有合约的情况下劫持逻辑。可以把它想象成借用了别人的车钥匙并在开车时重写了引擎程序。

2. ​管理角色被移除​​：利用被劫持的访问权限，delegateCall 把合约中现有的 admin 角色剥离掉。这基本上把合法拥有者锁在外面，把控制权交给了黑客。

从那之后，虽然附图没有把所有步骤完全细化，但很可能攻击者给自己分配了新的 admin 权限，从而完成大规模铸币和转账。这并不是典型的重入攻击（那类攻击是合约在完成操作前被再次调用回自身，例如 2016 年的 The DAO 攻击），更像是代理/逻辑注入型漏洞。但这仍然凸显出老派的 Solidity 问题在新项目中不断重现。

链上证据：交易与抛售记录

Lookonchain 的截图清楚展现了事后情况。我们可以看到在 Uniswap V4 上重复发生的大额 $UXLINK 换 ETH 的执行——有 1500 万、800 万等批次，每次都换入数百 ETH。随后，这些资金被桥接或存入 Bitget、KuCoin、Gate.io 等 CEX，快速地每家流出约 1000 万代币。

这对 Meme 代币意味着什么

虽然 UXLINK 严格来说不是纯粹的 meme 代币——它关联着一个 Web3 社交平台——但这些利用事件对 meme 币圈来说触动很大。许多 meme 项目在以太坊上匆忙上线，合约审计草率或根本未审计，使其成为首选目标。delegateCall 风险在可升级代币标准中很常见，一次失误就可能导致无限铸币或流动性被抽干。

如果你在打造或投资 meme 代币，请记牢：

• 审计要彻底：找信誉良好的审计机构，并测试 delegateCall、重入、访问控制等漏洞。
• 多签最佳实践：不要在没有防护（比如时间锁）的情况下暴露 admin 功能。
• 保持信息灵通：关注像 MartyParty 或 Lookonchain 这样的分析师以获取实时预警。

这次攻击又加入了以太坊一长串的事故清单，从 Ronin 到 Poly Network。正如 MartyParty 所调侃的，“就把它加到名单里吧”。但通过更好的教育和工具，也许我们能在未来缩短这份名单。

想看完整的讨论和社区反应，请查看 X 上的原帖。你怎么看——又一次警钟，还是老生常谈的加密世界？在下方留言分享你的看法。