De nos jours, même les hackers perdent de l'argent

Auteur : Chloé, ChainCatcher

En septembre 2025, le portefeuille multi-signature de la plateforme sociale Web3 UXLink a été sévèrement volé, les hackers s'enfuyant avec plus de dix millions de dollars d'actifs en seulement quelques heures. Ils ont malicieusement fait chuter le prix du jeton en frappant une quantité massive de jetons, provoquant une chute soudaine de plus de 70 %. Cependant, l'aspect le plus absurde de ce désastre n'était pas l'attaque elle-même, mais la performance "amateur" du hacker par la suite.

Contrairement aux schémas typiques de blanchiment d'argent, ce hacker ne s'est pas précipité pour disparaître mais a plutôt échangé fréquemment l'ETH volé et les stablecoins sur un DEX, en particulier sur CoW Swap. Selon les données on-chain d'Arkham, cette adresse a accumulé près de 625 transactions en seulement six mois, avec des pertes papier atteignant un pic de 4,8 millions de dollars.

En restaurant le chemin technique de cette attaque, on peut observer les comportements inhabituels du hacker et la dure réalité qui en découle : dans ce cycle de marché baissier, même avec une technologie avancée pour voler de l'argent on-chain, une fois de retour dans le trading de marché, tout le monde est traité de la même manière.

Vulnérabilité de sécurité du portefeuille multi-signature UXLink, pertes dépassant dix millions de dollars

Le 22 septembre 2025, la société de sécurité blockchain Cyvers a été la première à détecter des mouvements anormaux dans le portefeuille multi-signature d'UXLink et a émis une alerte d'urgence. Par la suite, les responsables d'UXLink ont confirmé que leur portefeuille multi-signature principal avait été compromis, avec des pertes dépassant 11,3 millions de dollars.

Le chemin technique de cette attaque est assez clair. Le hacker a ciblé la vulnérabilité de la fonction delegateCall dans le portefeuille multi-signature, réussissant à modifier la logique du contrat en utilisant cette vulnérabilité. L'attaquant a d'abord supprimé les droits d'administrateur légitimes du portefeuille ; ensuite, en appelant la fonction addOwnerWithThreshold, il s'est imposé comme un nouveau propriétaire du portefeuille. À ce stade, le mécanisme de sécurité multi-signature sur lequel UXLink comptait a été complètement contourné, et le contrôle du portefeuille a été entièrement transféré.

Ce qui a suivi a été un vol d'actifs on-chain frénétique. La liste des actifs volés comprenait environ 4 millions de dollars en USDT, 500 000 dollars en USDC, 3,7 WBTC, 25 ETH et environ 3 millions de dollars en jetons natifs UXLINK. Pendant ce temps, le hacker a frappé une quantité massive de jetons UXLINK sur la chaîne Arbitrum et les a déversés sur le marché, provoquant une chute du prix du jeton de plus de 70 % en peu de temps, passant d'environ 0,30 dollars à moins de 0,10 dollars, avec une capitalisation boursière s'évaporant de plus de 70 millions de dollars.

Ne pas suivre le chemin habituel : Abandonner le mélange et le retrait, rester dans le trading on-chain

Selon le scénario standard du crime crypto, la scène suivante aurait dû se dérouler ainsi : le hacker aurait transféré les actifs dans Tornado Cash pour anonymisation, les blanchissant par lots à travers d'innombrables adresses de saut, complétant finalement l'ensemble du processus de blanchiment d'argent et de retrait. Cependant, cet attaquant a choisi de ne pas suivre le chemin habituel.

Environ 48 heures après l'attaque, le hacker a échangé 1 620 ETH contre environ 6,73 millions de DAI, ce qui aurait dû être le premier signal de "vente" attendu par le marché. Plusieurs analystes on-chain ont rapidement repéré ce comportement on-chain, mais au cours des six mois suivants, le modèle de comportement de cette adresse a complètement dévié du calme et de la dissimulation typiques des hackers professionnels, s'engageant plutôt dans un trading frénétique on-chain.

Selon les données de suivi on-chain d'Arkham, cette adresse a accumulé jusqu'à 625 enregistrements de transactions en seulement six mois, avec des activités fortement concentrées sur la plateforme de trading décentralisée CoW Swap. Les cibles de trading oscillaient fréquemment entre WETH et DAI, avec une fréquence de trading dépassant de loin celle des détenteurs à long terme typiques. Par conséquent, plutôt que d'être un hacker ayant volé des dizaines de millions de dollars, il serait plus précis de le décrire comme un trader, ou peut-être un investisseur de détail habitué à "acheter à bas prix, à tenir à travers la volatilité, et à ne sortir qu'à proximité de la ligne de coût."

Compétences de trading médiocres : À un moment donné, les pertes papier ont dépassé 4 millions de dollars, presque stagnantes pendant six mois

Selon les données de suivi des profits et pertes d'Arkham, d'octobre 2025 au début de février 2026, l'adresse du hacker a connu des pertes papier dépassant 3 millions de dollars à plusieurs reprises ; en février, les pertes ont atteint un pic de 4,8 millions de dollars. Leur modèle de trading était très cohérent : ajout continu de positions à des bas, maintien obstiné à travers la volatilité, et choix de sortir uniquement lorsque le prix a finalement augmenté près de la ligne de coût.

Ce n'est qu'à la fin mars que ce hacker a enfin vu un retournement. Sur CoW Swap, à un prix moyen de 2 150 dollars, il a échangé 5 496 ETH contre environ 11,86 millions de DAI, lui apportant environ 935 000 dollars de profit papier et permettant à son portefeuille d'investissement global de revenir enfin à la ligne de rentabilité. Cependant, pendant la même période, la position WBTC qu'il détenait érodait ce profit ; le 30 janvier 2026, il a acheté 203 WBTC à un prix moyen de 83 225 dollars, et récemment, il avait subi une perte papier d'environ 2,68 millions de dollars. Ce point d'entrée coïncidait avec un bref rebond du marché, et encore une fois, il a acheté à un niveau relativement élevé.

Une prison transparente et un long chemin vers la récupération

L'incident UXLink offre une perspective unique sur l'histoire du crime crypto : un attaquant sous les projecteurs, laissant continuellement une trace de trading hautement visible, permettant aux analystes on-chain du monde entier de documenter pleinement son comportement.

Cela ne découle peut-être pas de la négligence du hacker mais plutôt d'une perception obsolète de la "sécurité." Il pourrait avoir cru que tant qu'il dispersait des actifs à travers plusieurs adresses et opérait sur des DEX pour éviter les obstacles de vérification d'identité des CEX, il pourrait maintenir son anonymat. Cependant, l'évolution rapide des outils d'analyse on-chain a rendu ce jugement trop optimiste. Des institutions comme Arkham, Lookonchain, PeckShield et SlowMist ont presque instantanément détecté chaque mouvement anormal significatif, et chaque entrée et sortie du hacker a été entièrement exposée sous le regard du public. Bien que ce hacker possédât des dizaines de millions de dollars, c'était comme s'il était piégé dans une prison numérique transparente.

Pour l'équipe du projet UXLink, cette situation est à la fois un léger réconfort et un dilemme significatif. Bien que les actifs n'aient pas disparu et restent traçables sur la blockchain, dans le monde on-chain manquant d'intervention de la juridiction judiciaire, l'écart entre "visible" et "récupérable" demeure un gouffre difficile à franchir.

Malgré le fait qu'UXLink ait rapidement complété de nouveaux audits de contrats, des échanges de tokens et des plans de compensation pour les utilisateurs après l'incident dans une tentative de reconstruire la confiance du marché, le prix du token a chuté d'un sommet de 3,75 dollars en décembre 2024 à environ 0,0044 dollars, une baisse de 99%. Pour UXLink, corriger les vulnérabilités du code peut ne prendre que quelques semaines, mais reconstruire l'écosystème à partir des ruines presque nulles reste un long et ardu parcours.

Face à un marché baissier, tout le monde est traité de manière égale.

L'histoire du hacker d'UXLink est devenue un microcosme de la "réalité du marché", plutôt qu'un simple incident de sécurité.

Bien qu'il possédât d'excellentes compétences, capable de capturer précisément la vulnérabilité delegateCall et de contourner les défenses multi-signatures, réalisant une récolte méticuleuse en seulement quelques heures ; cependant, une fois les fonds en place, il faisait face aux mêmes dilemmes que les investisseurs de détail ordinaires : le marché ne se soucie pas d'où proviennent les jetons, l'ETH a tout de même chuté pendant la période de détention, et le BTC est resté bloqué après l'établissement de la position.

Ce résultat est dépourvu de toute nécessité de pitié, pourtant il est plein d'ironie. Les actifs que l'attaquant a laborieusement volés se sont finalement érodés au milieu des fluctuations du marché, et six mois plus tard, leur valeur papier était presque la même que lorsqu'il est entré. Il n'est pas le premier détenteur d'ETH à subir des pertes dans un marché baissier, ni ne sera-t-il le dernier spéculateur à être mordu par le marché en essayant de pêcher le fond avec le WBTC.