Im September 2025 verlor das AI-aromatisierte Web3-Social-Protokoll UXLINK rund 41 Millionen Dollar, nachdem Angreifer die Multi-Signature-Wallet des Projekts kompromittierten und einen delegatecall in einem privilegierten Vertrag nutzten, um Treasury-Mittel zu extrahieren.
Was geschah
UXLINKs Treasury und Admin-Funktionen wurden von einer Multi-Signature-Wallet kontrolliert. Die Angreifer erlangten die Private Keys für diese Wallet — der spezifische Vektor wurde nicht öffentlich offengelegt, aber das On-Chain-Muster (signiert von den legitimen Signers, keine UI-Täuschungs-Artefakte) ist mit direkter Key-Kompromittierung statt einem Frontend-basierten Angriff konsistent.
Sobald sie die Keys hatten, nutzten sie einen uneingeschränkten delegatecall in einem privilegierten Vertrag aus. Da delegatecall den Code des Zielvertrags im Storage-Kontext des Aufrufers ausführt, konnte der Angreifer einen von ihm kontrollierten Vertrag aufrufen und ihn mit den Berechtigungen der vertrauten Multi-Sig laufen lassen — beliebiges Asset bewegen, beliebige Rolle erteilen, beliebige externe Funktion aufrufen.
Nachwirkungen
- UXLINK pausierte die Multi-Sig und löste eine Notfall-Token-Migration aus.
- Das Team veröffentlichte eine Post-Mortem und rotierte alle administrativen Keys.
- Mittel wurden über Cross-Chain-Bridges gewaschen.
Warum es zählt
delegatecall bleibt eine der gefährlichsten Primitive im EVM-Design — es verwandelt routinemäßig einen Vertrag, der inert sein sollte, in eine vollständig programmierbare Ausführungs-Shell für den Aufrufer. Best Practice ist, niemals einen privilegierten delegatecall mit vom Angreifer kontrollierbarem Ziel/Calldata zu exponieren. UXLINK ist einer von mehreren 2025er Vorfällen, die die Regel bekräftigten.
Quellen & On-Chain-Belege
- [01]protos.comhttps://protos.com/2025s-biggest-crypto-hacks-from-exchange-breaches-to-defi-exploits/
- [02]halborn.comhttps://www.halborn.com/blog/post/year-in-review-the-biggest-defi-hacks-of-2025