این روزها حتی هکرها هم پول از دست می‌دهند

نویسنده: کلوئی، زنجیرگیر

در سپتامبر ۲۰۲۵، کیف پول چند امضایی پلتفرم اجتماعی Web3 UXLink به شدت مورد سرقت قرار گرفت و هکرها تنها در عرض چند ساعت با بیش از ده میلیون دلار دارایی متواری شدند. آنها با ضرب مقدار زیادی توکن، قیمت توکن را به طرز مخربی کاهش دادند و باعث افت ناگهانی بیش از ۷۰ درصدی شدند. با این حال، پوچ‌ترین جنبه‌ی این فاجعه خود حمله نبود، بلکه عملکرد «آماتور» هکر پس از آن بود.

برخلاف طرح‌های پولشویی معمول، این هکر عجله‌ای برای ناپدید شدن نداشت، بلکه مرتباً اتریوم و استیبل کوین‌های دزدیده شده را در یک صرافی غیرمتمرکز، به ویژه در CoW Swap، معامله می‌کرد. طبق داده‌های درون زنجیره‌ای آرکهام، این آدرس تنها در شش ماه نزدیک به ۶۲۵ تراکنش انجام داده است که ضررهای کاغذی آن به ۴.۸ میلیون دلار رسیده است.

با بازیابی مسیر فنی این حمله، می‌توان الگوهای رفتاری غیرمعمول هکر و واقعیت تلخ پشت آن را مشاهده کرد: در این چرخه بازار نزولی، حتی با وجود فناوری پیشرفته برای سرقت پول روی زنجیره، پس از بازگشت به معاملات بازار، با همه به طور یکسان رفتار می‌شود.

آسیب‌پذیری امنیتی کیف پول چند امضایی UXLink، ضرری بیش از ده میلیون دلار

در ۲۲ سپتامبر ۲۰۲۵، شرکت امنیت بلاکچین سایورز اولین شرکتی بود که حرکات غیرطبیعی را در کیف پول چند امضایی UXLink تشخیص داد و هشدار اضطراری صادر کرد. متعاقباً، مقامات UXLink تأیید کردند که کیف پول چند امضایی اصلی آنها مورد نفوذ قرار گرفته و ضرری بالغ بر ۱۱.۳ میلیون دلار به بار آمده است.

مسیر فنی این حمله کاملاً مشخص است. هکر آسیب‌پذیری تابع delegateCall را در کیف پول چندامضایی هدف قرار داد و با موفقیت منطق قرارداد را با استفاده از این آسیب‌پذیری تغییر داد. مهاجم ابتدا حقوق مدیریتی مشروع کیف پول را حذف کرد؛ سپس با فراخوانی تابع addOwnerWithThreshold، خود را به عنوان مالک جدید کیف پول جا زد. در این مرحله، مکانیسم امنیتی چند امضایی که UXLink به آن متکی بود، کاملاً دور زده شد و کنترل کیف پول به طور کامل منتقل شد.

آنچه در پی آن رخ داد، یک سرقت دیوانه‌وار از دارایی‌های درون زنجیره‌ای بود. فهرست دارایی‌های سرقت‌شده شامل تقریباً ۴ میلیون دلار USDT، ۵۰۰۰۰۰ دلار USDC، ۳.۷ WBTC، ۲۵ ETH و حدود ۳ میلیون دلار توکن بومی UXLINK بود. در همین حال، هکر مقدار زیادی توکن UXLINK را در زنجیره Arbitrum ضرب و آنها را وارد بازار کرد و باعث شد قیمت این توکن در مدت کوتاهی بیش از 70 درصد کاهش یابد و از حدود 0.30 دلار به زیر 0.10 دلار برسد و ارزش بازار آن بیش از 70 میلیون دلار کاهش یابد.

دنبال نکردن مسیر همیشگی: کنار گذاشتن ترکیب و نقد کردن، ماندن در معاملات درون زنجیره‌ای

طبق سناریوی استاندارد جرایم کریپتو، صحنه بعدی باید به این شکل پیش می‌رفت: هکر دارایی‌ها را برای ناشناس ماندن به Tornado Cash منتقل می‌کرد، آنها را به صورت دسته‌ای از طریق آدرس‌های پرش بی‌شماری پولشویی می‌کرد و در نهایت کل فرآیند پولشویی و برداشت پول را انجام می‌داد. با این حال، این مهاجم ترجیح داد مسیر معمول را دنبال نکند.

حدود ۴۸ ساعت پس از حمله، هکر ۱۶۲۰ اتریوم را با تقریباً ۶.۷۳ میلیون دای (DAI) مبادله کرد که باید اولین موج سیگنال‌های «فروش» مورد انتظار بازار می‌بود. چندین تحلیلگر درون زنجیره‌ای به سرعت متوجه این رفتار درون زنجیره‌ای شدند، اما در شش ماه بعد، الگوی رفتاری این آدرس کاملاً از آرامش و پنهان‌کاری معمول هکرهای حرفه‌ای منحرف شد و در عوض به تجارت دیوانه‌وار درون زنجیره‌ای پرداخت.

طبق ردیابی داده‌های درون زنجیره‌ای از Arkham، این آدرس تنها در شش ماه، ۶۲۵ رکورد تراکنش جمع‌آوری کرده است که فعالیت‌های آن عمدتاً بر روی پلتفرم معاملاتی غیرمتمرکز CoW Swap متمرکز بوده است. اهداف معاملاتی اغلب بین WETH و DAI در نوسان بودند، و فرکانس معاملاتی آنها بسیار بیشتر از دارندگان بلندمدت معمولی بود. بنابراین، به جای اینکه او را هکری بدانیم که ده‌ها میلیون دلار دزدیده، دقیق‌تر این است که او را یک معامله‌گر یا شاید یک سرمایه‌گذار خرد بدانیم که به «خرید در افت، نگه‌داشتن در نوسانات و خروج فقط در نزدیکی خط هزینه» عادت دارد.

مهارت‌های ضعیف در معامله‌گری: در یک مقطع، ضررهای کاغذ از ۴ میلیون دلار فراتر رفت و تقریباً به مدت شش ماه راکد ماند.

طبق داده‌های ردیابی سود و زیان آرکهام، از اکتبر ۲۰۲۵ تا اوایل فوریه ۲۰۲۶، آدرس هکر چندین بار ضررهای کاغذی بیش از ۳ میلیون دلار را تجربه کرده است؛ تا فوریه، ضررها به ۴.۸ میلیون دلار رسید. الگوی معاملاتی آنها بسیار منسجم بود: اضافه کردن مداوم موقعیت‌ها در پایین‌ترین قیمت‌ها، حفظ سرسختانه‌ی نوسان و تنها زمانی که قیمت بالاخره به نزدیکی خط هزینه رسید، تصمیم به خروج گرفتند.

تا اواخر ماه مارس طول کشید تا این هکر بالاخره شاهد تغییر رویه باشد. در CoW Swap، با قیمت متوسط ​​۲۱۵۰ دلار، او ۵۴۹۶ اتریوم را با تقریباً ۱۱.۸۶ میلیون DAI مبادله کرد که حدود ۹۳۵۰۰۰ دلار سود کاغذی برای او به ارمغان آورد و به کل سبد سرمایه‌گذاری او اجازه داد تا سرانجام به خط سربه‌سر بازگردد. با این حال، در همان دوره، موقعیت WBTC که او داشت، این سود را از بین می‌برد؛ در 30 ژانویه 2026، او 203 WBTC را با قیمت متوسط ​​83225 دلار خریداری کرد و تا همین اواخر، حدود 2.68 میلیون دلار ضرر روی کاغذ متحمل شده بود. این نقطه ورود با یک بازگشت کوتاه مدت بازار همزمان شد و او بار دیگر در سطح نسبتاً بالایی خرید کرد.

زندان شفاف و راهی طولانی برای بهبودی

حادثه UXLink دیدگاهی منحصر به فرد در مورد تاریخ جرایم کریپتو ارائه می‌دهد: مهاجمی که زیر ذره‌بین قرار دارد و به طور مداوم ردپای معاملاتی بسیار قابل توجهی از خود به جا می‌گذارد و به تحلیلگران جهانی درون زنجیره‌ای اجازه می‌دهد تا رفتار او را به طور کامل مستند کنند.

این ممکن است ناشی از سهل‌انگاری هکر نباشد، بلکه ناشی از برداشت منسوخ‌شده از «امنیت» باشد. او ممکن است معتقد بوده باشد که تا زمانی که دارایی‌ها را در چندین آدرس پراکنده کند و برای جلوگیری از موانع تأیید نام واقعی در CEXها، روی DEXها فعالیت کند، می‌تواند ناشناس بماند. با این حال، تکامل سریع ابزارهای تحلیلی درون زنجیره‌ای، این قضاوت را بیش از حد خوش‌بینانه کرده است. مؤسساتی مانند Arkham، Lookonchain، PeckShield و SlowMist تقریباً فوراً هر حرکت غیرعادی قابل توجهی را ثبت کردند و هر ورود و خروج هکر کاملاً در معرض دید عموم قرار گرفت. اگرچه این هکر ده‌ها میلیون دلار پول داشت، اما انگار در یک زندان دیجیتال شفاف گرفتار شده بود.

برای تیم پروژه UXLink، این وضعیت هم مایه آسودگی خاطر جزئی و هم یک معضل مهم است. اگرچه دارایی‌ها ناپدید نشده‌اند و در بلاکچین قابل ردیابی هستند، اما در دنیای درون زنجیره‌ای که فاقد مداخله قضایی است، شکاف بین «قابل مشاهده» و «قابل بازیابی» همچنان شکافی است که عبور از آن دشوار است.

با وجود اینکه UXLink پس از این حادثه به سرعت حسابرسی قراردادهای جدید، تبادل توکن و طرح‌های جبران خسارت کاربران را به منظور بازسازی اعتماد بازار تکمیل کرد، قیمت توکن از بالاترین سطح خود یعنی ۳.۷۵ دلار در دسامبر ۲۰۲۴ به حدود ۰.۰۰۴۴ دلار کاهش یافته است که نشان‌دهنده افت ۹۹ درصدی است. برای UXLink، رفع آسیب‌پذیری‌های کد ممکن است تنها چند هفته طول بکشد، اما بازسازی اکوسیستم از ویرانه‌های تقریباً صفر همچنان یک سفر طولانی و دشوار است.

در مواجهه با بازار نزولی، با همه به طور یکسان رفتار می‌شود

داستان هکر UXLink به جای اینکه صرفاً یک حادثه امنیتی باشد، به نمونه کوچکی از «واقعیت بازار» تبدیل شده است.

اگرچه او مهارت‌های بسیار خوبی داشت، می‌توانست آسیب‌پذیری delegateCall را به دقت ثبت کند و از سد دفاعی چندامضایی عبور کند و برداشت دقیقی را تنها در عرض چند ساعت انجام دهد؛ با این حال، هنگامی که وجوه وارد شد، او با همان معضلات سرمایه‌گذاران خرد معمولی روبرو شد: بازار اهمیتی نمی‌دهد که چیپ‌ها از کجا می‌آیند، اتریوم همچنان در طول دوره نگهداری سقوط کرد و بیت‌کوین پس از تثبیت موقعیت، ثابت ماند.

این نتیجه عاری از هرگونه ترحم است، با این حال پر از طعنه و کنایه است. دارایی‌هایی که مهاجم با زحمت فراوان دزدیده بود، در نهایت در بحبوحه نوسانات بازار از بین رفتند و شش ماه بعد، ارزش کاغذی آنها تقریباً به همان اندازه زمان ورود او بود. او اولین دارنده اتریوم نیست که در بازار نزولی ضرر می‌کند، و آخرین سفته‌باز هم نخواهد بود که هنگام تلاش برای پایین آوردن قیمت WBTC، توسط بازار گزیده می‌شود.