«Когда админ-ключ теряется, это не просто ошибка. Это отказ от самой сути децентрализации.»
— Виталик Бутерин, сооснователь Ethereum
В сентябре 2025 года Web3-социальная платформа UXLINK, насчитывающая более 55 миллионов зарегистрированных пользователей, стала жертвой масштабной кибератаки, в результате которой было похищено около $11,3 миллиона в криптоактивах. Атакующие получили контроль над административным кошельком протокола, перехватили права управления и начали массовый вывод средств через сети Ethereum и Arbitrum.
Сразу после обнаружения аномалий команда UXLINK начала экстренные меры по сдерживанию ущерба: она связалась с централизованными биржами (CEX) для заморозки подозрительных депозитов и инициировала официальное расследование с привлечением правоохранительных органов. Как сообщила компания, инцидент уже был официально задокументирован и передан в полицию для дальнейших действий.
Как отметил Чарльз Гильем из Ledger: «Самый слабый элемент в любой системе — это точка, где один человек может всё изменить.»
UXLINK — это токенизированная социальная платформа, которая объединяет функции Twitter/X, Telegram и Facebook с возможностями Web3. Пользователи могут создавать контент, взаимодействовать друг с другом и зарабатывать токены UXLINK за активность, участие в голосованиях и развитие сообществ.
Платформа, базирующаяся в Токио, за три года своего существования добилась впечатляющего роста:
До инцидента UXLINK демонстрировала уверенное развитие, недавно отметив третью годовщину и заявив о своих планах на глобальную экспансию. Однако хак нанёс серьёзный удар по её репутации как «устойчивого и безопасного» провайдера инфраструктуры.
По данным аналитической компании Cyvers, которая первой обнаружила подозрительные транзакции, злоумышленник использовал сложную технику для получения полного контроля над протоколом.
Ключевой механизм атаки:
Всего было похищено около $11,3 млн, из которых:
Как сказал представитель Cyvers: «Это была не грубая сила, а хирургическая операция. Хакер знал, куда нужно нажать.»
Команда UXLINK отреагировала относительно быстро, но уже после того, как средства были выведены.
Менее чем через час после сигнала от Cyvers, UXLINK опубликовало «срочное уведомление о безопасности», подтвердив факт компрометации и заявив, что «значительная сумма криптовалюты была незаконно переведена».
Команда начала работу с крупными CEX (Binance, Coinbase, Kraken) и DEX для:
Проект сообщил, что уже подал заявление в полицию и соответствующие регуляторные органы. Это важный шаг, поскольку юридическое давление может помочь в заморозке активов и выявлении злоумышленников.
Команда заявила, что работает над полным анализом уязвимости, чтобы предотвратить повторение инцидента. Также рассматриваются вопросы частичного возмещения пострадавшим сторонам.
Как заявила команда UXLINK: «Мы сделаем всё возможное, чтобы защитить интересы наших пользователей и восстановить доверие к платформе.»
Хотя официальный постмортем ещё не опубликован, эксперты уже выделяют несколько вероятных причин.
Несмотря на декларируемую децентрализацию, ключевые функции протокола зависели от одного адреса. Это классический пример «децентрализационного театра» — когда внешние признаки децентрализации скрывают централизованную точку отказа.
Функция `delegateCall` считается одной из самых опасных в Solidity. Она должна использоваться с крайней осторожностью и только в хорошо изолированных модулях. Её наличие в управляемом контракте — большой риск.
Неясно, прошёл ли контракт полноценный аудит у таких компаний, как PeckShield или CertiK. Отсутствие независимого анализа увеличивает вероятность пропуска критических уязвимостей.
Как отмечал Хакан Унал из Cyvers, многие разработчики до сих пор хранят приватные ключи и API-ключи в файлах `.env`, которые могут быть случайно загружены в GitHub.
Как сказал Скотт Дьюк Коминерс из a16z: «Лучший смарт-контракт бесполезен, если его запускает человек с плохими практиками.»
Инцидент имел немедленные и серьёзные последствия для платформы.
Пользователи и инвесторы столкнулись с противоречием: UXLINK позиционировала себя как безопасная и зрелая платформа, но хак показал обратное. Особенно болезненно это для проекта, который делал акцент на регулируемость.
На момент атаки значительная часть похищенных токенов UXLINK оставалась непроданной. Если хакер решит их сбросить, это может вызвать резкое падение цены.
Подобные инциденты часто заканчиваются коллективными исками от пострадавших инвесторов. Пример — ситуация с платформой Lykke, которая была вынуждена закрыться после кражи $22,8 млн, приписанной группе Lazarus.
Новые пользователи будут думать дважды, прежде чем присоединиться к платформе, чья безопасность уже была скомпрометирована.
Как отметил Эллисон Пирсон из Europol: «Один инцидент может стоить вам десятилетнего доверия.»
Случай с UXLINK должен стать обязательным учебным материалом для всех, кто строит в Web3.
Ключевые решения должны приниматься сообществом, а не одним лицом. Мультиподпись (multisig) с участием нескольких доверенных сторон снижает риски.
Используйте проверенные паттерны вроде OpenZeppelin’s AccessControl. Избегайте использования `delegateCall` в критических контрактах.
Привлекайте независимые фирмы для проверки кода. Предлагайте награды за обнаружение уязвимостей.
Команды должны понимать риски хранения секретов, использования опасных функций и работы с внешними контрактами.
Установите системы оповещения (например, от Chainabuse, Tenderly), которые сразу сигнализируют о подозрительных действиях.
Как сказал Паоло Ардоино из Tether: «Безопасность — это не продукт. Это культура, которую нужно внедрять каждый день.»
Хак на $11,3 млн — серьёзный, но не уникальный случай. Вот как он соотносится с другими:
| Проект | Сумма убытков | Причина | Результат |
|---|---|---|---|
| UXLINK | $11,3 млн | Захват admin-роли через delegateCall | Работа с полицией, заморозка активов |
| Kinto | $1,9 млн | Неаудированный код | Закрытие проекта |
| Nemo Protocol | $2,6 млн | Проигнорированная уязвимость | Патч, план компенсации |
| Lykke | $22,8 млн | Атака Lazarus Group | Закрытие, судебные иски |
Как видно, даже успешные проекты с хорошей репутацией остаются уязвимыми к базовым ошибкам управления.
Успех восстановления будет зависеть от нескольких факторов.
Команда должна опубликовать детальный постмортем, включая корневую причину, ответственных лиц и шаги по исправлению.
Частичное или полное возмещение потерянных средств (через казначейство, страхование или выпуск новых токенов) может вернуть доверие.
Переход на multisig, децентрализацию управления, внедрение автономных систем.
Регулярные обновления, открытые AMA, честность — ключ к восстановлению лояльности.
Выпуск новых функций, улучшение UX, расширение экосистемы — чтобы напомнить пользователям, зачем они пришли.
Как сказал Андреас Антонопулос: «Потерять деньги — это трагедия. Но потерять доверие — это конец.»
Атака на UXLINK — это не просто технический сбой. Это системный сбой культуры безопасности. Он показывает, что никакой рост, маркетинг или регулируемость не спасут проект, если он игнорирует фундаментальные принципы децентрализации.
Ключевые выводы:
Как сказал Майкл Сэйлор: «Истинная сила Web3 — не в технологиях, а в отказе от необходимости доверять одному человеку.»
Судьба UXLINK сейчас находится на перепутье. Она может стать ещё одной жертвой, погребённой под собственным успехом, или же — примером того, как можно восстать из пепла. Для этого ей придётся сделать то, что сложно для любого лидера: признать свою уязвимость и отказаться от власти ради большего блага. Потому что в мире, где каждый кошелёк — это закон, настоящая сила — в том, чтобы не иметь возможности его украсть.
