Thời buổi này, ngay cả hacker cũng lỗ tiền

Tác giả: Chloe, ChainCatcher

Tháng 9 năm 2025, ví đa ký (multi-signature wallet) của nền tảng xã hội Web3 UXLink bị cướp phá, hacker trong vài giờ đã cuỗm đi tài sản trị giá hơn mười triệu đô la, thông qua việc đúc một lượng token khổng lồ và bán phá giá ác ý, khiến giá token lao dốc hơn 70% trong chớp mắt. Tuy nhiên, điều phi lý nhất của thảm họa này không phải là cuộc tấn công, mà là màn "nghiệp dư" của hacker sau sự việc.

Khác với thủ đoạn rửa tiền điển hình, hacker này không vội biến mất, mà ngược lại đem số ETH và stablecoin đánh cắp được đầu tư vào DEX, giao dịch liên tục trên CoW Swap. Theo dữ liệu on-chain từ Arkham, trong vòng nửa năm, địa chỉ này đã tích lũy gần 625 giao dịch, thua lỗ trên sổ sách từng lên tới 4.8 triệu đô la.

Phục nguyên con đường kỹ thuật của cuộc tấn công này, có thể thấy mô hình hành vi khác thường của hacker, và thực tế phũ phàng đằng sau nó: Trước chu kỳ thị trường giá xuống này, dù có kỹ thuật cao để đánh cắp tiền trên chain, nhưng một khi quay lại giao dịch trên thị trường, ai cũng như ai.

Lỗ hổng bảo mật ví đa ký UXLink, thiệt hại hơn mười triệu đô la

Công ty bảo mật blockchain Cyvers đã phát hiện đầu tiên các hoạt động bất thường của ví đa chữ ký UXLink vào ngày 22 tháng 9 năm 2025 và đưa ra cảnh báo khẩn cấp. Sau đó, UXLink chính thức xác nhận ví đa ký cốt lõi của họ bị xâm nhập, số tiền thiệt hại vượt quá 11.3 triệu đô la.

Con đường tấn công kỹ thuật khá rõ ràng, hacker nhắm vào lỗ hổng hàm delegateCall của ví đa ký, lợi dụng lỗ hổng này để sửa đổi thành công logic hợp đồng, kẻ tấn công đầu tiên loại bỏ quyền quản trị hợp pháp ban đầu của ví; sau đó gọi hàm addOwnerWithThreshold, ép buộc đưa mình vào thành chủ sở hữu ví mới. Đến đây, cơ chế bảo mật đa ký mà UXLink dựa vào đã bị bỏ qua hoàn toàn, quyền kiểm soát ví hoàn toàn đổi chủ.

Tiếp theo là một cuộc cướp phá điên cuồng tài sản on-chain. Danh sách tài sản bị đánh cắp bao gồm khoảng 4 triệu đô la USDT, 500,000 đô la USDC, 3.7 WBTC, 25 ETH, và token gốc UXLINK trị giá khoảng 3 triệu đô la. Đồng thời, hacker trên chain Arbitrum đúc một lượng token UXLINK khổng lồ và bán phá giá thị trường, giá token trong thời gian ngắn giảm mạnh hơn 70%, từ khoảng 0.30 đô la lao dốc xuống dưới 0.10 đô la, vốn hóa thị trường bốc hơi hơn 70 triệu đô la.

Không đi theo lối mòn: Từ bỏ rửa tiền rút ra, ở lại giao dịch trên chain

Theo kịch bản tiêu chuẩn của tội phạm mã hóa, tình tiết tiếp theo lẽ ra phải như thế này: Hacker chuyển tài sản vào Tornado Cash để ẩn danh hóa, thông qua vô số địa chỉ trung gian để rửa tiền theo đợt, cuối cùng hoàn thành toàn bộ quy trình rửa tiền và rút ra. Nhưng kẻ tấn công này lại không đi theo lối mòn.

Khoảng 48 giờ sau khi cuộc tấn công xảy ra, hacker đã đổi 1,620 ETH lấy khoảng 6.73 triệu DAI, đáng lẽ đây là tín hiệu "xả hàng" đầu tiên mà thị trường kỳ vọng, nhiều nhà phân tích on-chain cũng lập tức theo dõi hành vi chain này, nhưng trong nửa năm tiếp theo, mô hình hành vi của địa chỉ này hoàn toàn trái ngược với sự lạnh lùng và ẩn mình của hacker chuyên nghiệp, mà lại bắt đầu giao dịch điên cuồng trên chain.

Theo dõi dữ liệu on-chain từ Arkham, địa chỉ này trong vòng sáu tháng đã tích lũy tới 625 bản ghi giao dịch, hoạt động tập trung cao độ trên sàn giao dịch phi tập trung CoW Swap. Mục tiêu giao dịch của nó thường xuyên qua lại giữa WETH và DAI, tần suất thao tác vượt xa người nắm giữ dài hạn thông thường. Vì vậy, hơn là một hacker đánh cắp hàng triệu đô la, có thể nói anh ta giống một trader hơn, hoặc một nhà đầu tư nhỏ lẻ có thói quen "đuổi đáy vào lệnh, chịu đựng biến động, chỉ thoát lệnh khi gần đường giá vốn".

Trình độ giao dịch kém: Từng lỗ hơn 4 triệu đô la, nửa năm hầu như dậm chân tại chỗ

Theo dữ liệu theo dõi lỗ lãi của Arkham, từ tháng 10/2025 đến đầu tháng 2/2026, tài sản trên sổ sách của địa chỉ tấn công đã nhiều lần lỗ trên 3 triệu đô la; bước vào tháng 2, khoản lỗ thậm chí lên mức cao nhất 4.8 triệu đô la. Mô hình giao dịch của nó rất nhất quán: liên tục gia tăng vị thế ở điểm đáy, kiên trì chịu đựng trong biến động, chỉ chọn thoát lệnh khi giá may mắn hồi phục về gần đường giá vốn.

Mãi đến cuối tháng 3, hacker này mới đón nhận chuyển biến. Anh ta trên CoW Swap với giá trung bình 2,150 đô la, đổi 5,496 ETH lấy khoảng 11.86 triệu DAI, thao tác này mang lại cho anh ta khoản lãi trên sổ sách khoảng 935,000 đô la, cũng giúp toàn bộ danh mục đầu tư cuối cùng trở lại đường cân bằng lỗ lãi. Tuy nhiên, vị thế WBTC nắm giữ cùng kỳ đang ăn mòn khoản lợi nhuận này, hacker vào ngày 30 tháng 1 năm 2026 với giá trung bình 83,225 đô la mua 203 WBTC, tính đến gần đây đã lỗ khoảng 2.68 triệu đô la, thời điểm xây dựng vị thế này trùng hợp đúng vào điểm cao của đợt phục hồi ngắn hạn của thị trường, một lần nữa, anh ta lại mua ở mức tương đối cao.

Nhà tù trong suốt và con đường phục hồi dài đằng đẵng

Sự kiện UXLink cung cấp một góc nhìn độc đáo cho lịch sử tội phạm mã hóa: Một kẻ tấn công dưới ánh đèn sân khấu, liên tục để lại dấu vết giao dịch có độ nhìn thấy cao, cho phép các nhà phân tích on-chain toàn cầu ghi lại đầy đủ quá trình hành vi của nó.

Điều này có lẽ không bắt nguồn từ sơ suất của hacker, mà là một nhận thức lỗi thời về "an toàn". Hắn có thể nghĩ rằng, chỉ cần phân tán tài sản vào nhiều địa chỉ, và hoạt động trên DEX để tránh các rào cản xác thực danh tính của CEX, là có thể duy trì ẩn mình. Tuy nhiên, tốc độ tiến hóa của các công cụ phân tích on-chain đã khiến phán đoán này trở nên quá lạc quan. Các tổ chức như Arkham, Lookonchain, PeckShield và Slowmist gần như ngay lập tức theo dõi mọi biến động lớn, mỗi lần vào ra của hacker, đều được trải ra đầy đủ dưới sự chú ý của công chúng. Hacker này dù ngồi trên hàng triệu đô la, nhưng dường như đang ở trong một nhà tù số trong suốt.

Đối với đội ngũ dự án UXLink, hiện trạng này vừa là an ủi, cũng là tình thế khó khăn lớn. Tài sản dù không biến mất, vẫn nằm trên blockchain có thể theo dõi; nhưng trong thế giới on-chain thiếu sự can thiệp quyền tài phán, giữa "nhìn thấy" và "truy đuổi lại" vẫn tồn tại một vực sâu khó vượt qua.

Mặc dù UXLink sau sự kiện đã nhanh chóng hoàn thành kiểm toán hợp đồng mới, hoán đổi token, và kế hoạch bồi thường người dùng, cố gắng xây dựng lại niềm tin thị trường, nhưng giá token đã giảm từ mức cao 3.75 đô la vào tháng 12/2024 xuống khoảng 0.0044 đô la, mức giảm cao tới 99%. Đối với UXLink, sửa chữa lỗ hổng mã có lẽ chỉ mất vài tuần, nhưng để xây dựng lại hệ sinh thái từ đống đổ nát gần như về không, con đường vẫn còn dài và gian nan.

Trước thị trường giá xuống, đối xử công bằng với tất cả mọi người

Câu chuyện của hacker UXLink đã trở thành hình ảnh thu nhỏ của "thực tế thị trường", chứ không chỉ là một sự cố an ninh.

Mặc dù anh ta có kỹ thuật điêu luyện, có thể bắt chính xác lỗ hổng delegateCall và vượt qua phòng thủ đa ký, hoàn thành một vụ thu hoạch chu đáo trong vài giờ; tuy nhiên, sau khi tiền vào tài khoản, anh ta phải đối mặt với khó khăn không khác gì nhà đầu tư nhỏ lẻ thông thường: Thị trường không quan tâm chip đến từ đâu, ETH trong thời gian nắm giữ vẫn giảm, BTC sau khi xây dựng vị thế vẫn bị tao đón.

Kết cục này không cần thiết phải thương hại, nhưng đầy châm biếm. Tài sản mà kẻ tấn công dồn hết tâm trí để đánh cắp, cuối cùng lại hao mòn trong biến động thị trường, giá trị trên sổ sách sau nửa năm rốt cuộc không khác mấy so với lúc vào. Anh ta không phải là người nắm giữ ETH đầu tiên thua lỗ trong thị trường giá xuống, và càng không phải là con bạc cuối cùng bị thị trường phản ứng khi mua đáy WBTC.