Imaginea populară a hackerului crypto este una seductivă. Un individ anonim, conectat la un laptop într-o cameră întunecată, sparge un sistem financiar descentralizat, dispare cu milioanele și nu mai e găsit niciodată.
Hollywood-ul a contribuit din plin la acest clișeu, iar presa de nișă l-a preluat cu entuziasm. Doar că realitatea arată cu totul altfel. Atacatorul care a compromis platforma japoneză UXLINK în septembrie 2025 deține, la șase luni distanță, fonduri de peste 36 de milioane de dolari. Profitul cumulat din toată activitatea sa de tranzacționare? Exact 83.000 de dolari. Un randament de 0,2%. Orice fond de investiții cu o asemenea performanță ar fi fost dizolvat demult.
Cazul hack-ului UXLINK este probabil cel mai bizar episod de criminalitate cibernetică din spațiul Web3 al ultimelor 12 luni. A fost un atac în două faze, cu emitere neautorizată a miliarde de tokeni, o prăbușire de preț de 99%, un hacker care a căzut el însuși într-o capcană de phishing și, ca punct culminant, o serie de tranzacții speculative atât de proaste, încât ar stârni o urmă de compasiune dacă protagonistul nu ar fi un infractor.
Platforma de analiză blockchain Arkham a urmărit portofelele atacatorului în permanență și a publicat pe 20 martie 2026 un raport cu istoricul complet al mișcărilor on-chain.
Ce reiese din date este un tablou dominat de schimburi repetitive între stablecoin-ul DAI și active volatile ca WETH sau WBTC. Pierderile cumulate au atins la un moment dat minus 4,8 milioane de dolari. Abia săptămânile recente, prin câteva vânzări de ETH, l-au readus pe hacker la un nivel marginal pozitiv.
Cum s-a produs hack-ul UXLINK din septembrie 2025?
UXLINK era o platformă japoneză de infrastructură socială Web3, construită pe rețelele Arbitrum și Ethereum. Până în vara lui 2025, proiectul adunase peste 10 milioane de utilizatori și finanțări de 14 milioane de dolari, atrase de la fonduri precum OKX Ventures, SevenX și HashKey Capital.
Token-ul nativ se tranzacționa stabil în jurul a 0,32 dolari și era listat pe burse majore ca Upbit și Bithumb.
Pe 22 septembrie 2025, firma de securitate Cyvers a detectat tranzacții suspecte legate de portofelul multi-semnătură al UXLINK, un tip de portofel care, prin design, necesită mai multe chei private pentru a autoriza orice transfer. Aproximativ o oră mai târziu, echipa UXLINK a confirmat public breșa de securitate.
Atacatorul exploatase o vulnerabilitate de tip delegateCall, o funcție care, în limbaj simplu, i-a permis să execute propriul cod în interiorul contractului inteligent al proiectului. Cu acest acces, a eliminat administratorii legitimi și a preluat controlul total.
Pagubele imediate au fost de 11,3 milioane de dolari. Hackerul a extras din portofel aproximativ 4 milioane în USDT, jumătate de milion în USDC, 3,7 WBTC și 25 ETH. Stablecoin-urile de pe Ethereum au fost convertite rapid în DAI, iar cele de pe Arbitrum au fost transformate în ETH și mutate pe mainnet.
Emiterea neautorizată de miliarde de tokeni UXLINK
Ceea ce a urmat după furtul inițial a transformat un incident grav într-o catastrofă. La vreo 12 ore de la compromiterea portofelului, atacatorul a folosit accesul obținut asupra contractului de token pentru a emite, pur și simplu, un miliard de tokeni UXLINK noi. Oferta totală existentă era tot de un miliard. Practic, a dublat-o peste noapte. Firma PeckShield a semnalat imediat operațiunea pe rețeaua Arbitrum.
Dar hackerul nu s-a oprit aici. Conform estimărilor firmei de securitate Hacken, volumul total de tokeni emiși neautorizat a ajuns la aproape 10 trilioane de UXLINK, o cifră cu nouă zerouri.
Paradoxul e că marea majoritate nu au valorat aproape nimic: 9,95 trilioane de tokeni au fost convertiți în doar 16 ETH, adică vreo 67.000 de dolari. Explicația ține de mecanica simplă a pieței: cu fiecare lot vândut, prețul se prăbușea mai departe, iar lichiditatea se evapora.
Folosind șase portofele distincte, atacatorul a reușit să transforme tokenii fabricați în aproximativ 6.732 ETH, echivalentul a circa 28,1 milioane de dolari. Prețul UXLINK a coborât de la 0,32 dolari la 0,08 dolari în primele 24 de ore, apoi a continuat să scadă până la fracțiuni de cent. Bursele coreene Upbit și Bithumb au mutat token-ul pe lista de avertizare, iar capitalizarea de piață s-a evaporat practic peste noapte.
Când hoțul devine victimă: atacul de phishing asupra hackerului
Episodul cel mai neașteptat al întregii povești s-a petrecut chiar în ziua atacului. Grăbit să lichideze cât mai repede tokenii proaspăt fabricați, hackerul a epuizat lichiditatea de pe Uniswap și a trecut pe CoW Swap, căutând alte locuri unde să vândă. Acolo, se pare că a accesat un link fraudulos și a semnat, fără să-și dea seama, o aprobare de tip increaseAllowance către un contract controlat de escroci.
A pierdut astfel circa 542 de milioane de tokeni UXLINK, cu o valoare teoretică de vreo 42 de milioane de dolari. Grupul din spatele capcanei a fost identificat ulterior ca fiind legat de Inferno Drainer, unul dintre cele mai cunoscute servicii de phishing din ecosistemul crypto.
Furnizorul de drainer și-a reținut comisionul standard de 20%. Și aici intervine un strat suplimentar de ironie: nici escrocii care au furat de la hoț nu au reușit să transforme tokenii în bani reali, fiindcă lichiditatea pieței UXLINK era deja distrusă.
Hackerul nu a părut deranjat. A continuat să emită tokeni noi și să reia vânzările la câteva minute după ce fusese el însuși victimă. Toată secvența din acea zi de septembrie a avut un aer aproape absurd, cu fiecare participant la lanțul de tranzacții jucând simultan rolul de prădător și de pradă.
Șase luni de trading cu fonduri furate: performanța dezastruoasă a hackerului UXLINK
Cu fondurile stabilizate în portofele pe care le controla, hackerul a început să tranzacționeze activ. Arkham Intelligence a monitorizat fiecare mișcare, publicând periodic actualizări. Activitatea s-a concentrat pe schimburi între DAI, pe de o parte, și WETH sau WBTC, pe de altă parte. Hackerul cumpăra ether sau bitcoin wrapat atunci când prețurile scădeau, apoi vindea când credea că a prins un vârf. Rezultatele au fost, aproape tot timpul, pe minus.
Profitul și pierderea cumulată, ceea ce în jargonul financiar se numește PnL, au fost predominant negative luni de-a rândul. Graficul publicat de Arkham seamănă cu traiectoria unui trader fără experiență care se încăpățânează să tranzacționeze cu leverage pe piețe pe care nu le înțelege.
Au existat scurte momente în care hackerul a revenit aproape la zero, dar de fiecare dată a reluat tranzacțiile și a intrat iar pe pierdere.
În ianuarie 2026, după trei luni de liniște, atacatorul a reapărut cu o achiziție masivă. A convertit DAI în aproximativ 5.493 ETH, în valoare de circa 10,87 milioane de dolari, pe fondul scăderii prețului Ethereum. Tot atunci, a cumpărat 203 WBTC la un preț mediu de 83.225 dolari. Analiștii de pe rețelele sociale au interpretat mișcarea drept o strategie oportunistă, profitând de perioada de scădere a pieței.
Pe 20 martie 2026, Arkham a raportat o vânzare majoră: hackerul a lichidat 5.496 ETH prin CoW Swap, obținând circa 11,8 milioane de DAI. Platforma Lookonchain a precizat că prețul mediu de vânzare a fost de aproximativ 2.150 de dolari per ETH, ceea ce a generat un profit de vreo 935.000 de dolari pe acea tranzacție.
Privită separat, cifra pare decentă. Pusă în contextul a șase luni de trading, câștigul net total rămâne ridicol de mic: 83.000 de dolari, adică 0,2% din cele 36,6 milioane controlate. Între timp, cei 203 WBTC rămași în portofel erau pe minus cu 2,68 milioane de dolari față de prețul la care fuseseră cumpărați.
Întregul grafic PnL al hackerului UXLINK arată ca o pantă descendentă timp de cinci luni, cu un minim de minus 4,8 milioane la sfârșitul lui februarie 2026, urmată de o recuperare bruscă în martie care l-a adus marginal pe plus. E un parcurs pe care niciun investitor rațional nu l-ar dori, dar care, paradoxal, a funcționat mai bine decât piața Ethereum în aceeași perioadă.
De ce e atât de greu să tranzacționezi cu bani furați pe blockchain
Cineva care deține 36 de milioane de dolari ar trebui, teoretic, să poată obține randamente decente chiar și cu o strategie simplă. Piața crypto a avut și perioade de creștere în intervalul septembrie 2025, martie 2026. Dar tranzacționarea cu fonduri furate pe blockchain vine cu un set de handicapuri pe care investitorii legitimi nu le au.
Problema lichidității e prima și cea mai dură. Când vinzi cantități mari de ETH sau WBTC pe piețe descentralizate, fiecare ordin mare mută prețul în defavoarea ta. Cu cât vinzi mai mult, cu atât primești mai puțin pe unitate. E un cerc vicios din care nu poți ieși decât vânzând treptat, în loturi mici, pe o perioadă lungă, ceea ce presupune răbdare. Iar răbdarea nu pare să fie punctul forte al acestui hacker.
La asta se adaugă monitorizarea permanentă. Firme precum Arkham, Chainalysis și PeckShield urmăresc în timp real orice portofel etichetat drept suspect. Fiecare transfer e consemnat și raportat public, uneori la câteva minute de la executare. Accesul pe burse centralizate, unde lichiditatea e mai bună și costurile de tranzacționare mai mici, e blocat de procedurile de verificare KYC. Hackerul rămâne captiv pe platforme descentralizate, cu slippage mare și comisioane pe măsură.
Mai există și o componentă psihologică de care se vorbește mai rar. Tranzacționarea cu sume uriașe de bani care nu îți aparțin legal alterează procesul decizional. Presiunea de a converti fondurile rapid, combinată cu lipsa unei pierderi personale tangibile, împinge spre decizii impulsive și timing prost. Hackerul UXLINK pare să fi vândut de mai multe ori exact la minime locale și să fi cumpărat aproape de vârfuri, un tipar clasic de trader emoțional.
Alți hackeri crypto care au tranzacționat dezastruos cu fonduri furate
Hackerul UXLINK nu e singurul atacator care a reușit partea grea, furtul, și a eșuat la partea care părea simplă, gestionarea banilor. Chiar în săptămâna precedentă raportului Arkham, Protos a relatat despre un hacker al protocolului Venus care, după nouă luni de planificare meticuloasă a atacului, a pierdut 4,7 milioane de dolari tranzacționând pe piață cu fondurile sustrase. Nouă luni de pregătire, anulate de câteva decizii proaste de trading.
Un alt caz grăitor e cel al unui hacker care sustrase 400 de Bitcoin de la un utilizator Coinbase. În octombrie 2025, în timpul a două prăbușiri consecutive ale pieței la interval de o săptămână, atacatorul a intrat în panică. Convertise o parte din Bitcoin în Ether, iar când prețul ETH a scăzut brusc, a vândut tot, realizând pierderi totale de 10 milioane de dolari. E comportamentul clasic de panic selling, doar că amplificat de faptul că banii nu erau ai lui și presiunea de a-i converti era enormă.
Platforma Hyperliquid a fost și ea scenă a unor episoade memorabile. La finalul anului 2024, adrese asociate cu grupul nord-coreean Lazarus au suferit lichidări de 500.000 de dolari. Unii au savurat ironia infractorilor pierduți cu propriul lor joc, dar alți analiști de securitate au fost mai degrabă îngrijorați, suspectând că activitatea era un test pentru un viitor atac asupra platformei.
Separat, un portofel legat de schema zKasino, un rug pull estimat la 30 de milioane de dolari din aprilie 2024, a pierdut 27 de milioane printr-o lichidare pe Hyperliquid, la un an de la furtul inițial.
Grupul Lazarus rămâne excepția care confirmă regula. Membrii acestei rețele nord-coreene, responsabili pentru atacul de 50 de milioane de dolari asupra Radiant Capital din 2024, au demonstrat abilități de tranzacționare pe care hackerii individuali pur și simplu nu le au.
Conform rapoartelor, Lazarus a transformat fondurile furate într-un profit de 40 de milioane de dolari până în vara lui 2025. Diferența pare să fie una de structură: Lazarus funcționează ca o entitate cu resurse statale, cu disciplină și coordonare instituțională, nu ca un singur om care improvizează în fața unui ecran.
Vulnerabilitățile de securitate expuse de hack-ul UXLINK
Dincolo de povestea tranzacțiilor post-atac, compromiterea UXLINK a scos la iveală deficiențe grave în modul în care sunt construite și administrate proiectele Web3 care pretind că sunt descentralizate. Marwan Hachem, CEO al firmei de securitate FearsOff, a explicat pentru Cointelegraph că problema fundamentală a fost menținerea unui control administrativ excesiv într-un proiect care se prezenta drept descentralizat.
Portofelul multi-semnătură nu avea protecție împotriva apelurilor delegateCall, funcția de emitere de tokeni nu avea plafon maxim, iar contractul inteligent nu conținea un supply cap codificat în cod.
Din perspectivă tehnică, atacul ar fi putut fi prevenit. Implementarea unor timelock-uri de 24 până la 48 de ore pentru operațiuni sensibile ar fi oferit comunității timp să observe activitatea suspectă înainte ca aceasta să devină ireversibilă. Renunțarea la privilegiile de mintare după lansarea token-ului ar fi eliminat complet vectorul de atac principal. Auditurile regulate, extinse nu doar la contractul de token ci și la configurația portofelului multi-semnătură, ar fi identificat probabil vulnerabilitatea delegateCall.
Atacul cu deepfake: o metodă nouă în criminalitatea crypto
Un element care a ieșit la lumină abia în decembrie 2025 a adăugat o dimensiune și mai tulburătoare incidentului. CEO-ul UXLINK, RollandSaf, a publicat un raport detaliat în care a explicat că breșa nu a fost un exploit pur tehnic.
Atacatorul s-a dat drept un partener de afaceri al proiectului și a folosit tehnologie deepfake în apeluri video pentru a câștiga încrederea unui membru al echipei. Prin această manipulare, a obținut acces la contul de Telegram și la dispozitivul personal al victimei, ceea ce i-a deschis calea către infrastructura tehnică a platformei.
Dacă versiunea aceasta e corectă, hack-ul UXLINK e unul dintre primele cazuri documentate în care deepfake-ul a servit drept vector principal de atac asupra unui protocol DeFi. Și ridică o întrebare incomodă pentru întreaga industrie: cum te protejezi împotriva unui atacator care poate imita convingător vocea și chipul cuiva în care ai încredere? Soluțiile tehnice, verificare multi-factor, timelock-uri, audituri, rămân esențiale. Dar componenta umană a securității devine, vizibil, tot mai greu de apărat.
Cum a răspuns echipa UXLINK după atac
Echipa UXLINK a reacționat relativ rapid. A notificat autoritățile, a contactat bursele pentru înghețarea depozitelor suspecte și a angajat firma PeckShield pentru urmărirea fondurilor și investigarea breșei.
Pe 24 septembrie, la doar două zile de la atac, proiectul a anunțat implementarea unui nou contract inteligent pe mainnet-ul Ethereum. Noul contract a eliminat complet funcția mint-burn, tocmai pentru a face imposibilă repetarea scenariului de emitere neautorizată.
O săptămână mai târziu, pe 1 octombrie 2025, a fost lansat un portal de migrare a tokenilor. Deținătorii de UXLINK vechi au putut face schimbul pe tokeni noi, în cadrul contractului actualizat. Un vot comunitar a fost organizat pentru a stabili condițiile de compensare a celor afectați direct de prăbușirea prețului.
Conform rapoartelor publicate la acel moment, procesul de migrare a decurs fără incidente tehnice, iar mii de utilizatori au finalizat schimbul în primele zile. Impactul asupra încrederii investitorilor a fost însă greu de reparat, iar proiectul nu și-a mai recăpătat tracțiunea anterioară.
Ce arată cazul UXLINK despre securitatea crypto în 2026
Povestea hackerului UXLINK spune câte ceva despre starea actuală a pieței crypto, și nu neapărat lucruri încurajatoare. Pe de o parte, demonstrează că furtul de fonduri pe blockchain nu înseamnă automat îmbogățire. Un hacker incompetent rămâne incompetent și cu 36 de milioane de dolari în portofel. Pe de altă parte, arată cât de fragile sunt chiar și proiectele care au atras finanțări serioase și au trecut prin audituri de securitate.
Blockchain-ul funcționează, în cazul acesta, exact așa cum a fost proiectat: ca un registru public, transparent și imutabil. Fiecare tranzacție a hackerului a fost vizibilă, raportată și analizată în timp real de platforme ca Arkham, Lookonchain și PeckShield.
Transparența asta nu a dus la recuperarea banilor, dar a transformat întreaga operațiune post-atac într-un spectacol public. Performanța financiară a unui infractor, difuzată aproape live, pentru oricine dorește să urmărească.
Spre deosebire de un jaf bancar clasic, unde banii pot dispară fizic, fondurile furate pe blockchain rămân vizibile pentru totdeauna. Problema nu e lipsa de vizibilitate, ci lipsa de mecanisme eficiente de recuperare. Hackerii pot fi urmăriți pas cu pas, dar rareori prinși, mai ales când operează din jurisdicții care nu cooperează cu autoritățile altor state.
Pentru utilizatorii și investitorii obișnuiți, lecția practică e următoarea: securitatea unui protocol DeFi nu se evaluează doar prin auditurile de smart contract sau prin lista investitorilor din spatele proiectului. Modul în care e configurat portofelul multi-semnătură, practicile de securitate operațională ale echipei, rezistența la atacuri de inginerie socială, toate contează la fel de mult, dacă nu mai mult, decât codul în sine.
Între timp, hackerul UXLINK continuă să dețină fonduri considerabile și să tranzacționeze activ.
Cu un profit de 0,2% după șase luni de trading cu 36 de milioane de dolari, performanța lui rămâne, spus pe limba piețelor de capital, sub orice benchmark relevant. Poate că e cea mai bună lecție pe care o poate oferi acest caz: a fura banii e o treabă. A ști ce să faci cu ei, cu totul alta.
