У наші дні навіть хакери втрачають гроші

Автор: Хлоя, Ланцюговий Ловець

У вересні 2025 року багатопідписний гаманець соціальної платформи Web3 UXLink був серйозно пограбований, і хакери викрали активи на понад десять мільйонів доларів лише за кілька годин. Вони злісно обвалили ціну токена, випустивши величезну кількість токенів, що спричинило раптове падіння понад 70%. Однак найабсурднішим аспектом цієї катастрофи була не сама атака, а «аматорська» діяльність хакера після неї.

На відміну від типових схем відмивання грошей, цей хакер не поспішав зникати, а натомість часто торгував викраденими ETH та стейблкоїнами на децентралізованій біржі (DEX), зокрема на CoW Swap. Згідно з даними Arkham, отриманими в мережі, ця адреса накопичила майже 625 транзакцій лише за шість місяців, а паперові втрати досягли піку в 4,8 мільйона доларів.

Відновивши технічний шлях цієї атаки, можна спостерігати незвичайні моделі поведінки хакера та сувору реальність, що стоїть за ними: у цьому циклі ведмежого ринку, навіть за наявності передових технологій для крадіжки грошей у блокчейні, після повернення до ринкової торгівлі до всіх ставляться однаково.

Вразливість безпеки багатопідписного гаманця UXLink, збитки перевищують десять мільйонів доларів

22 вересня 2025 року компанія з безпеки блокчейну Cyvers першою виявила аномальні рухи в мультипідписному гаманці UXLink та видала екстрене сповіщення. Згодом представники UXLink підтвердили, що їхній основний багатопідписний гаманець був скомпрометований, а втрати перевищили 11,3 мільйона доларів.

Технічний шлях цієї атаки цілком зрозумілий. Хакер зламав уразливість функції delegateCall у гаманці з кількома підписами та успішно змінив логіку контракту за допомогою цієї вразливості. Зловмисник спочатку позбавив законних прав адміністратора гаманця; потім, викликавши функцію addOwnerWithThreshold, він насильно імплантував себе як нового власника гаманця. На цьому етапі механізм безпеки з кількома підписами, на який покладався UXLink, був повністю обійдений, а контроль над гаманцем повністю переданий.

Далі відбулося шалене пограбування активів у мережі. Список викрадених активів включав приблизно 4 мільйони доларів у USDT, 500 000 доларів у USDC, 3,7 WBTC, 25 ETH та нативні токени UXLINK на суму близько 3 мільйонів доларів. Тим часом хакер випустив величезну кількість токенів UXLINK у ланцюжку Arbitrum та випустив їх на ринок, що призвело до падіння ціни токена на понад 70% за короткий час, з приблизно 0,30 долара до менш ніж 0,10 долара, а ринкова капіталізація зменшилась на понад 70 мільйонів доларів.

Не слідуючи звичним шляхом: Відмова від змішування та виведення готівки, залишаючись у торгівлі в мережі

Згідно зі стандартним сценарієм криптозлочину, наступна сцена мала б розгортатися так: хакер спрямував би активи в Tornado Cash для анонімізації, відмиваючи їх партіями через незліченну кількість адрес переходу, зрештою завершуючи весь процес відмивання грошей та виведення готівки. Однак цей зловмисник вирішив не піти звичним шляхом.

Приблизно через 48 годин після атаки хакер обміняв 1620 ETH приблизно на 6,73 мільйона DAI, що мало бути першою хвилею сигналів «продажу», яких очікував ринок. Кілька аналітиків у мережі швидко помітили таку поведінку в мережі, але протягом наступних шести місяців модель поведінки цієї адреси повністю відхилилася від спокою та прихованості, типових для професійних хакерів, натомість займаючись шаленою торгівлею в мережі.

Згідно з даними відстеження Arkham у мережі, ця адреса накопичила аж 625 записів про транзакції лише за шість місяців, причому діяльність була зосереджена переважно на децентралізованій торговій платформі CoW Swap. Торгові цілі часто коливалися між WETH та DAI, причому частота торгів значно перевищувала частоту типових довгострокових власників акцій. Тому, замість того, щоб бути хакером, який вкрав десятки мільйонів доларів, було б точніше описати його як трейдера або, можливо, роздрібного інвестора, який звик «купувати на спаді, утримуватися під час волатильності та виходити лише поблизу лінії собівартості».

Погані торговельні навички: В якийсь момент втрати від паперової продукції перевищили 4 мільйони доларів і майже не змінювалися протягом шести місяців.

Згідно з даними відстеження прибутків і збитків Arkham, з жовтня 2025 року до початку лютого 2026 року адреса хакера неодноразово зазнавала паперових збитків, що перевищували 3 мільйони доларів; до лютого збитки досягли піку в 4,8 мільйона доларів. Їхня торгова схема була дуже послідовною: постійне додавання позицій на мінімумах, наполегливе утримання в умовах волатильності та вихід лише тоді, коли ціна нарешті піднялася поблизу лінії собівартості.

Лише наприкінці березня цей хакер нарешті побачив зміну ситуації. На CoW Swap, за середньою ціною 2150 доларів, він обміняв 5496 ETH приблизно на 11,86 мільйона DAI, що принесло йому близько 935 000 доларів паперового прибутку та дозволило його загальному інвестиційному портфелю нарешті повернутися до межі беззбитковості. Однак, протягом того ж періоду, посада в WBTC, яку він обіймав, зменшувала цей прибуток; 30 січня 2026 року він придбав 203 WBTC за середньою ціною 83 225 доларів, і станом на нещодавно він зазнав паперових збитків у розмірі близько 2,68 мільйона доларів. Ця точка входу випадково збіглася з коротким відновленням ринку, і він знову купив на відносно високому рівні.

Прозора в'язниця та довгий шлях до одужання

Інцидент з UXLink пропонує унікальний погляд на історію криптозлочинності: зловмисник перебуває в центрі уваги, постійно залишаючи помітний торговий слід, що дозволяє світовим аналітикам блокчейну повністю задокументувати їхню поведінку.

Це може бути пов'язано не з недбалістю хакера, а радше із застарілим сприйняттям «безпеки». Він міг вважати, що доки він розподіляє активи між кількома адресами та працює на децентралізованих біржах обміну (DEX), щоб уникнути перешкод для перевірки справжнього імені на CEX, він може зберігати анонімність. Однак швидка еволюція аналітичних інструментів у блокчейні зробила це судження надто оптимістичним. Такі установи, як Arkham, Lookonchain, PeckShield та SlowMist, майже миттєво відстежували кожен значний аномальний рух, а кожен вхід і вихід хакера був повністю викритий під пильною увагою громадськості. Хоча цей хакер володів десятками мільйонів доларів, він ніби опинився у прозорій цифровій в'язниці.

Для команди проєкту UXLink ця ситуація є одночасно і невеликою втіхою, і значною дилемою. Хоча активи не зникли та залишаються відстежуваними в блокчейні, у світі он-чейн, де бракує втручання судової юрисдикції, розрив між «видимим» та «відновлюваним» залишається прірвою, яку важко подолати.

Незважаючи на те, що UXLink швидко завершила аудит нових контрактів, обмін токенами та плани компенсації користувачам після інциденту, намагаючись відновити довіру ринку, ціна токена різко впала з максимуму в 3,75 долара у грудні 2024 року до приблизно 0,0044 долара, що становить падіння на 99%. Для UXLink виправлення вразливостей коду може зайняти лише кілька тижнів, але відновлення екосистеми з майже нульових руїн залишається довгим і важким шляхом.

В умовах ведмежого ринку до всіх ставляться однаково

Історія хакера UXLink стала мікрокосмом «ринкової реальності», а не просто інцидентом безпеки.

Хоча він мав чудові навички, здатний точно виявляти вразливість delegateCall та обходити захист від кількох підписів, виконавши ретельний збір коштів лише за кілька годин; однак, як тільки кошти надійшли, він зіткнувся з тими ж дилемами, що й звичайні роздрібні інвестори: ринку байдуже, звідки беруться фішки, ETH все одно падав протягом періоду утримання, а BTC залишався застряглим після встановлення позиції.

Такий результат позбавлений будь-якої потреби в жалі, проте він сповнений іронії. Активи, які зловмисник ретельно вкрав, зрештою знецінилися через коливання ринку, і через шість місяців їхня паперова вартість була майже такою ж, як і на момент його входу. Він не перший власник ETH, який зазнав збитків на ведмежому ринку, і не останній спекулянт, якого вкусив ринок, намагаючись обійти WBTC на дно.