O explorador da UXLINK foi vítima de phishing poucas horas depois da carteira multi-assinatura da plataforma social Web 3, impulsionada por IA, ter sido invadida. A Lookonchain havia relatado na segunda-feira que a carteira multi-assinatura da UXLINK havia sido comprometida, com fundos sendo drenados em exchanges centralizadas e descentralizadas.
Segundo a plataforma de análise de blockchain, o atacante foi vítima de phishing e perdeu 542 milhões de tokens UXLINK, avaliados em aproximadamente US$ 48 milhões.
Curiosamente, o hacker que atacou a $UXLINK foi alvo de um ataque de phishing e perdeu 542 milhões de $UXLINK(US$ 48 milhões).https://t.co/Cp9QNHPE8Xhttps://t.co/M8tbPYAdiq pic.twitter.com/PxadIIfkDi
— Lookonchain (@lookonchain) 23 de setembro de 2025
A UXLINK admitiu anteriormente que sua carteira multi-assinatura havia sido invadida e afirmou que "uma quantia significativa de criptomoedas" foi transferida ilicitamente, mas a maior parte delas foi congelada.
“Nossa equipe está trabalhando em medidas legais e de conformidade para garantir que o fornecimento de tokens UXLINK esteja totalmente alinhado com as regras estabelecidas no white paper. O white paper continua sendo o único consenso e padrão da comunidade para a economia de tokens da UXLINK”, escreveu a equipe do projeto no X.
A violação de segurança da UXLINK envolveu seis carteiras digitais
A empresa de monitoramento de segurança Cyvers Alerts sinalizou atividade incomum na manhã de segunda-feira em um endereço Ethereum vinculado ao UXLINK. A conta executou uma chamada de delegado (delegateCall), removeu a função de administrador existente e adicionou um novo proprietário de assinatura multisig. Após a alteração, o hacker movimentou pelo menos US$ 4 milhões em USDT, US$ 500 mil em USDC, 3,7 Bitcoin (WBTC) e 25 ETH.
As evidências on-chain também mostraram que o atacante vendeu tokens UXLINK em exchanges descentralizadas usando seis carteiras diferentes. Essas transações renderam pelo menos 6.732 ETH, avaliados em aproximadamente US$ 28,1 milhões.
Horas depois de explorar a vulnerabilidade UXLINK, o próprio atacante foi vítima de um golpe de phishing. Os registros on-chain da Arbiscan mostram que a perda ocorreu na terça-feira, por volta das 02h15 UTC, sob o hash de transação 0xa70674ccc9caa17d6efaf3f6fcbd5dec40011744c18a1057f391a822f11986ee.
Duas grandes transferências de tokens UXLINK foram direcionadas da carteira do explorador para novos endereços. Uma transação enviou 108.395.883 tokens UXLINK, no valor de US$ 9,23 milhões, para o endereço 0xA7Ad03f8…c254dd15a.
Uma segunda transação, de maior valor, movimentou 433.583.532 tokens UXLINK, avaliados em US$ 36,93 milhões, para o endereço 0xeBBA8F57…4aD479dbD. Ambas as transferências se originaram do endereço do explorador 0xAfb2423F447D3e16931164C9907B9741aAb1723E, apelidado de conta Fake Phishing 1309277 pelo HashDit.
A plataforma Web 3 foidente impedida de emitir tokens falsos
Como se a situação já não fosse suficientemente complicada, a UXLINK também revelou que o atacante continuou a emitir tokens após a exploração inicial. Dados compartilhados por investigadores da blockchain mostraram que cerca de 10 trilhões de tokens UXLINK foram criados na noite de segunda-feira sem autorização.
O aumento da oferta provocou um colapso severo nos preços, com o UXLINK despencando mais de 70%, para US$ 0,08912, de acordo com o CoinGecko.
Em um comunicado publicado na terça-feira na plataforma X, o projeto social afirmou: “dentuma emissão não autorizada de tokens UXLINK hoje por um agente malicioso. Recomendamostrona todos os membros da comunidade que não negociem UXLINK em DEXs neste momento, a fim de evitar possíveis perdas causadas por esses tokens não autorizados.”
A equipe acrescentou que estava em contato com as corretoras centralizadas para suspender temporariamente as negociações e confirmou que já havia planos para uma futura troca de tokens a fim de mitigar as perdas dos usuários.
Streamer letão é alvo de ataque hacker de criptomoedas
Em umdentseparado, o criador de conteúdo cripto letão Raivo “Rastaland” Plavnieks perdeu mais de US$ 31.000 após baixar um malware disfarçado de jogo no Steam. O streamer de 26 anos, que luta contra um sarcoma em estágio quatro, estava arrecadando fundos por meio de um token de meme baseado em Solanachamado Help Me Beat Cancer (CANCER) na plataforma Pump.fun.
Durante uma transmissão ao vivo, um espectador sugeriu que ele experimentasse um jogo chamado Block Blasters, disponível na plataforma Steam da Valve. Após iniciar o jogo, sua carteira de criptomoedas foi esvaziada, com perdas estimadas entre US$ 31.189 e US$ 32.000, ou cerca de AU$ 48.515.
O especialista em blockchain ZachXBT e outros pesquisadores online traca atividade dos atacantes e encaminharam as evidências às autoridades. A Valve, que opera o Steam, foi duramente criticada por manter o jogo disponível em sua plataforma, mesmo após a empresa de cibersegurança G Data CyberDefense ter alertado sobre o jogo semanas antes.
