Ngày nay, ngay cả các hacker cũng đang thua lỗ

Tác giả: Chloe, ChainCatcher

Vào tháng 9 năm 2025, ví đa chữ ký của nền tảng xã hội Web3 UXLink đã bị đánh cắp một lượng lớn tài sản, với việc các hacker tẩu thoát cùng số tài sản trị giá hơn mười triệu đô la chỉ trong vài giờ. Họ đã cố tình làm sụt giá token bằng cách phát hành một lượng lớn token, khiến giá giảm đột ngột hơn 70%. Tuy nhiên, điều phi lý nhất trong thảm họa này không phải là vụ tấn công, mà là màn trình diễn “nghiệp dư” của hacker sau đó.

Không giống như các chiêu thức rửa tiền thông thường, hacker này không vội vàng biến mất mà thay vào đó thường xuyên giao dịch ETH và các loại stablecoin đã đánh cắp trên một sàn giao dịch phi tập trung (DEX), đặc biệt là trên CoW Swap. Theo dữ liệu trên chuỗi từ Arkham, địa chỉ này đã thực hiện gần 625 giao dịch chỉ trong vòng sáu tháng, với mức lỗ trên giấy tờ đạt đỉnh 4,8 triệu đô la.

Bằng cách tái hiện lại quy trình kỹ thuật của cuộc tấn công này, người ta có thể nhận thấy những hành vi bất thường của hacker và thực tế phũ phàng đằng sau đó: trong chu kỳ thị trường giảm giá này, dù có công nghệ tiên tiến để đánh cắp tiền trên chuỗi khối, một khi quay trở lại giao dịch trên thị trường, tất cả mọi người đều được đối xử như nhau.

Lỗ hổng bảo mật trong ví đa chữ ký UXLink, thiệt hại vượt quá mười triệu đô la

Vào ngày 22 tháng 9 năm 2025, công ty bảo mật blockchain Cyvers là đơn vị đầu tiên phát hiện các hoạt động bất thường trong ví đa chữ ký UXLink và đã phát đi cảnh báo khẩn cấp. Sau đó, đại diện của UXLink đã xác nhận rằng ví đa chữ ký cốt lõi của họ đã bị xâm nhập, gây thiệt hại hơn 11,3 triệu đô la.

Quy trình kỹ thuật của cuộc tấn công này khá rõ ràng. Kẻ tấn công đã nhắm vào lỗ hổng bảo mật trong hàm delegateCall của ví đa chữ ký và đã thành công trong việc thay đổi logic hợp đồng thông qua lỗ hổng này. Kẻ tấn công trước tiên đã tước bỏ quyền quản trị hợp pháp của ví; sau đó, bằng cách gọi hàm addOwnerWithThreshold, chúng đã ép buộc đưa chính mình trở thành chủ sở hữu mới của ví. Lúc này, cơ chế bảo mật đa chữ ký mà UXLink dựa vào đã bị vô hiệu hóa hoàn toàn, và quyền kiểm soát ví đã bị chuyển giao hoàn toàn.

Điều xảy ra sau đó là một vụ cướp tài sản trên chuỗi diễn ra một cách điên cuồng. Danh sách tài sản bị đánh cắp bao gồm khoảng 4 triệu USDT, 500.000 USDC, 3,7 WBTC, 25 ETH và khoảng 3 triệu USD token gốc UXLINK. Trong khi đó, hacker đã tạo ra một lượng lớn token UXLINK trên chuỗi Arbitrum và bán tháo chúng ra thị trường, khiến giá token lao dốc hơn 70% chỉ trong thời gian ngắn, từ khoảng 0,30 đô la xuống dưới 0,10 đô la, đồng thời vốn hóa thị trường sụt giảm hơn 70 triệu đô la.

Không đi theo lối mòn: Từ bỏ việc trộn tiền và rút tiền, tập trung vào giao dịch trên chuỗi

Theo kịch bản tiêu chuẩn của tội phạm tiền điện tử, diễn biến tiếp theo lẽ ra phải diễn ra như sau: hacker sẽ chuyển các tài sản vào Tornado Cash để ẩn danh, rửa tiền theo từng đợt qua vô số địa chỉ trung gian, và cuối cùng hoàn tất toàn bộ quá trình rửa tiền và rút tiền. Tuy nhiên, kẻ tấn công này đã quyết định không đi theo con đường thông thường.

Khoảng 48 giờ sau vụ tấn công, hacker đã đổi 1.620 ETH lấy khoảng 6,73 triệu DAI, đây lẽ ra phải là đợt tín hiệu "bán tháo" đầu tiên mà thị trường dự đoán. Nhiều nhà phân tích chuỗi khối đã nhanh chóng chú ý đến hành vi này trên chuỗi khối, nhưng trong sáu tháng tiếp theo, mô hình hành vi của địa chỉ này lại hoàn toàn trái ngược với sự điềm tĩnh và kín đáo thường thấy ở các hacker chuyên nghiệp, thay vào đó lại tham gia vào các giao dịch điên cuồng trên chuỗi khối.

Theo dữ liệu theo dõi trên chuỗi từ Arkham, địa chỉ này đã tích lũy tới 625 giao dịch chỉ trong vòng sáu tháng, với các hoạt động tập trung chủ yếu trên nền tảng giao dịch phi tập trung CoW Swap. Các mục tiêu giao dịch thường xuyên dao động giữa WETH và DAI, với tần suất giao dịch cao hơn nhiều so với các nhà đầu tư nắm giữ dài hạn thông thường. Do đó, thay vì gọi anh ta là một hacker đã đánh cắp hàng chục triệu đô la, sẽ chính xác hơn nếu mô tả anh ta là một nhà giao dịch, hoặc có lẽ là một nhà đầu tư cá nhân quen với việc "mua vào khi giá giảm, giữ cổ phiếu qua các đợt biến động và chỉ chốt lời khi giá gần mức giá mua ban đầu."

Kỹ năng giao dịch kém: Có thời điểm, khoản lỗ trên giấy tờ đã vượt quá 4 triệu đô la, và gần như không thay đổi trong sáu tháng

Theo dữ liệu theo dõi lãi lỗ của Arkham, từ tháng 10 năm 2025 đến đầu tháng 2 năm 2026, địa chỉ của hacker này đã nhiều lần ghi nhận mức lỗ trên giấy vượt quá 3 triệu đô la; đến tháng 2, mức lỗ đã lên tới đỉnh điểm là 4,8 triệu đô la. Mô hình giao dịch của họ rất nhất quán: liên tục mở thêm vị thế khi giá xuống thấp, kiên quyết giữ vị thế bất chấp sự biến động của thị trường, và chỉ quyết định chốt lời khi giá cuối cùng tăng lên gần mức giá mua.

Phải đến cuối tháng 3, tên hacker này mới cuối cùng cũng thấy tình hình có chuyển biến. Trên sàn CoW Swap, với mức giá trung bình 2.150 đô la, anh ta đã đổi 5.496 ETH lấy khoảng 11,86 triệu DAI, mang lại cho anh ta khoản lợi nhuận trên giấy tờ khoảng 935.000 đô la và giúp danh mục đầu tư tổng thể của anh ta cuối cùng cũng quay trở lại mức hòa vốn. Tuy nhiên, trong cùng khoảng thời gian đó, vị thế WBTC mà anh ta nắm giữ đã làm giảm dần khoản lợi nhuận này; vào ngày 30 tháng 1 năm 2026, anh ta đã mua 203 WBTC với giá trung bình 83.225 đô la, và tính đến gần đây, anh ta đã phải chịu lỗ trên sổ sách khoảng 2,68 triệu đô la. Điểm vào lệnh này lại trùng hợp với một đợt phục hồi ngắn ngủi của thị trường, và một lần nữa, anh ta đã mua vào ở mức giá tương đối cao.

Một nhà tù trong suốt và con đường dài hướng tới sự hồi phục

Vụ việc UXLink mang đến một góc nhìn độc đáo về lịch sử tội phạm tiền điện tử: một kẻ tấn công bị đặt dưới sự chú ý, liên tục để lại dấu vết giao dịch rất rõ ràng, cho phép các nhà phân tích chuỗi khối trên toàn cầu ghi chép đầy đủ hành vi của hắn.

Điều này có thể không phải do sự sơ suất của hacker, mà là do quan niệm lỗi thời về "an ninh". Anh ta có thể đã tin rằng miễn là phân tán tài sản ra nhiều địa chỉ khác nhau và giao dịch trên các sàn giao dịch phi tập trung (DEX) để tránh các rào cản xác minh danh tính thực của các sàn giao dịch tập trung (CEX), anh ta có thể duy trì tính ẩn danh. Tuy nhiên, sự phát triển nhanh chóng của các công cụ phân tích trên chuỗi đã khiến đánh giá này trở nên quá lạc quan. Các tổ chức như Arkham, Lookonchain, PeckShield và SlowMist đã gần như ngay lập tức phát hiện ra mọi biến động bất thường đáng chú ý, và mọi hoạt động vào ra của hacker đều bị phơi bày hoàn toàn trước sự giám sát của công chúng. Mặc dù tên hacker này sở hữu hàng chục triệu đô la, nhưng dường như anh ta đang bị giam cầm trong một nhà tù kỹ thuật số trong suốt.

Đối với nhóm dự án UXLink, tình huống này vừa mang lại chút an ủi, vừa là một vấn đề nan giải lớn. Mặc dù các tài sản này vẫn chưa biến mất và vẫn có thể được theo dõi trên blockchain, nhưng trong thế giới trên chuỗi không có sự can thiệp của cơ quan tư pháp, khoảng cách giữa "có thể nhìn thấy" và "có thể thu hồi" vẫn là một vực thẳm khó có thể vượt qua.

Mặc dù UXLink đã nhanh chóng hoàn tất việc kiểm toán các hợp đồng mới, giao dịch token và các kế hoạch bồi thường cho người dùng sau sự cố nhằm khôi phục niềm tin của thị trường, giá token vẫn lao dốc từ mức cao nhất 3,75 đô la vào tháng 12 năm 2024 xuống còn khoảng 0,0044 đô la, tương đương mức giảm 99%. Đối với UXLink, việc khắc phục các lỗ hổng bảo mật trong mã nguồn có thể chỉ mất vài tuần, nhưng việc tái thiết hệ sinh thái từ đống tro tàn gần như trống rỗng vẫn là một hành trình dài và gian nan.

Trước tình hình thị trường suy thoái, mọi người đều được đối xử công bằng

Câu chuyện về hacker UXLink đã trở thành một hình ảnh thu nhỏ của "thực tế thị trường", chứ không chỉ đơn thuần là một sự cố an ninh.

Mặc dù sở hữu kỹ năng xuất sắc, có thể phát hiện chính xác lỗ hổng delegateCall và vượt qua các biện pháp bảo vệ đa chữ ký, hoàn tất một đợt khai thác tỉ mỉ chỉ trong vài giờ; tuy nhiên, một khi tiền đã vào tài khoản, anh ta phải đối mặt với những khó khăn tương tự như các nhà đầu tư cá nhân thông thường: thị trường không quan tâm nguồn gốc của số tiền đó, giá ETH vẫn giảm trong thời gian nắm giữ, và BTC vẫn dậm chân tại chỗ sau khi đã mở vị thế.

Kết cục này không hề đáng thương, nhưng lại chứa đựng đầy sự trớ trêu. Số tài sản mà kẻ tấn công đã tốn công cướp được cuối cùng cũng bị hao mòn do những biến động của thị trường, và sáu tháng sau, giá trị trên giấy tờ của chúng gần như không thay đổi so với lúc hắn mới tham gia. Anh ta không phải là người nắm giữ ETH đầu tiên phải chịu lỗ trong thị trường giảm giá, và cũng sẽ không phải là nhà đầu cơ cuối cùng bị thị trường “cắn” khi cố gắng mua vào ở mức giá thấp nhất của WBTC.