Heutzutage verlieren sogar Hacker Geld.

Autor: Chloe, Kettenfängerin

Im September 2025 wurde die Multi-Signatur-Wallet der Web3-Social-Plattform UXLink schwer gehackt; Hacker entwendeten innerhalb weniger Stunden Vermögenswerte im Wert von über zehn Millionen Dollar. Sie haben den Tokenpreis durch die Prägung einer riesigen Menge an Token absichtlich zum Einsturz gebracht, was zu einem plötzlichen Rückgang von über 70 % führte. Das Absurdeste an diesem Desaster war jedoch nicht der Angriff selbst, sondern das anschließende „amateurhafte“ Auftreten des Hackers.

Im Gegensatz zu typischen Geldwäschefällen beeilte sich dieser Hacker nicht, unterzutauchen, sondern handelte stattdessen häufig mit den gestohlenen ETH und Stablecoins auf einer DEX, insbesondere auf CoW Swap. Laut On-Chain-Daten von Arkham wurden auf dieser Adresse in nur sechs Monaten fast 625 Transaktionen abgewickelt, wobei die Buchverluste einen Höchststand von 4,8 Millionen Dollar erreichten.

Durch die Rekonstruktion des technischen Ablaufs dieses Angriffs lassen sich die ungewöhnlichen Verhaltensmuster des Hackers und die dahinterliegende harte Realität erkennen: In diesem Bärenmarktzyklus werden, selbst mit fortschrittlicher Technologie zum Diebstahl von Geld in der Blockchain, nach der Rückkehr zum Markthandel alle gleich behandelt.

Sicherheitslücke in UXLink Multi-Signature Wallet, Schaden übersteigt zehn Millionen Dollar

Am 22. September 2025 entdeckte das Blockchain-Sicherheitsunternehmen Cyvers als erstes ungewöhnliche Bewegungen in der UXLink Multi-Signatur-Wallet und gab eine Notfallwarnung heraus. Anschließend bestätigten Verantwortliche von UXLink, dass ihre zentrale Multi-Signatur-Wallet kompromittiert worden war, wobei der Schaden 11,3 Millionen Dollar überstieg.

Der technische Ablauf dieses Angriffs ist ziemlich klar. Der Hacker nutzte die Schwachstelle der delegateCall-Funktion in der Multi-Signatur-Wallet aus und veränderte mithilfe dieser Schwachstelle erfolgreich die Vertragslogik. Der Angreifer entfernte zunächst die legitimen Administratorrechte der Wallet; anschließend rief er die Funktion addOwnerWithThreshold auf und etablierte sich so gewaltsam als neuer Wallet-Besitzer. An diesem Punkt wurde der Multi-Signatur-Sicherheitsmechanismus, auf den UXLink angewiesen war, vollständig umgangen, und die Kontrolle über die Wallet wurde vollständig übertragen.

Was folgte, war ein rasender Diebstahl von Vermögenswerten in der Blockchain. Die Liste der gestohlenen Vermögenswerte umfasste USDT im Wert von etwa 4 Millionen Dollar, USDC im Wert von 500.000 Dollar, 3,7 WBTC, 25 ETH und UXLINK-eigene Token im Wert von etwa 3 Millionen Dollar. In der Zwischenzeit prägte der Hacker eine riesige Menge an UXLINK-Token auf der Arbitrum-Blockchain und warf sie auf den Markt, was dazu führte, dass der Tokenpreis innerhalb kurzer Zeit um über 70 % einbrach, von etwa 0,30 Dollar auf unter 0,10 Dollar, und die Marktkapitalisierung um über 70 Millionen Dollar schwand.

Nicht den üblichen Weg gehen: Verzicht auf Mixing und Cash-Out, Verbleib im On-Chain-Handel

Nach dem üblichen Schema von Kryptokriminalität hätte sich die nächste Szene folgendermaßen abspielen sollen: Der Hacker würde die Vermögenswerte zur Anonymisierung in Tornado Cash einschleusen, sie dann in Tranchen über unzählige Zwischenadressen waschen und schließlich den gesamten Geldwäsche- und Auszahlungsprozess abschließen. Dieser Angreifer wählte jedoch nicht den üblichen Weg.

Etwa 48 Stunden nach dem Angriff tauschte der Hacker 1.620 ETH gegen ungefähr 6,73 Millionen DAI, was die erste Welle der vom Markt erwarteten Verkaufssignale hätte sein sollen. Mehrere On-Chain-Analysten haben dieses On-Chain-Verhalten schnell erkannt, aber in den folgenden sechs Monaten wich das Verhaltensmuster dieser Adresse völlig von der für professionelle Hacker typischen Ruhe und Verschwiegenheit ab und beteiligte sich stattdessen an einem hektischen On-Chain-Handel.

Laut On-Chain-Datenverfolgung von Arkham wurden unter dieser Adresse in nur sechs Monaten sage und schreibe 625 Transaktionsdatensätze angesammelt, wobei sich die Aktivitäten stark auf die dezentrale Handelsplattform CoW Swap konzentrierten. Die Handelsziele schwankten häufig zwischen WETH und DAI, wobei die Handelsfrequenz weit über derjenigen typischer Langzeitinvestoren lag. Daher wäre es treffender, ihn als Händler zu bezeichnen, anstatt als Hacker, der zig Millionen Dollar gestohlen hat, oder vielleicht als Privatanleger, der es gewohnt ist, „bei Kursrückgängen zu kaufen, die Volatilität auszusitzen und erst in der Nähe des Einstands auszusteigen“.

Mangelhafte Handelsfähigkeiten: Zeitweise beliefen sich die Buchverluste auf über 4 Millionen Dollar und stagnierten nahezu sechs Monate lang.

Laut den Gewinn- und Verlustrechnungsdaten von Arkham erlitt die Adresse des Hackers von Oktober 2025 bis Anfang Februar 2026 mehrfach Buchverluste von über 3 Millionen Dollar; im Februar erreichten die Verluste einen Höchststand von 4,8 Millionen Dollar. Ihr Handelsmuster war äußerst beständig: Sie kauften kontinuierlich Positionen bei Tiefstständen hinzu, hielten hartnäckig an der Volatilität fest und entschieden sich erst dann zum Ausstieg, wenn der Preis schließlich in die Nähe der Einstandslinie stieg.

Erst Ende März erlebte dieser Hacker schließlich eine Wendung zum Besseren. Auf CoW Swap tauschte er zu einem Durchschnittspreis von 2.150 Dollar 5.496 ETH gegen etwa 11,86 Millionen DAI, was ihm einen Buchgewinn von rund 935.000 Dollar einbrachte und es ihm ermöglichte, mit seinem gesamten Anlageportfolio endlich wieder die Gewinnschwelle zu erreichen. Allerdings wurde dieser Gewinn im gleichen Zeitraum durch seine WBTC-Position geschmälert; am 30. Januar 2026 kaufte er 203 WBTC zu einem Durchschnittspreis von 83.225 Dollar und hatte zuletzt einen Buchverlust von etwa 2,68 Millionen Dollar hinnehmen müssen. Dieser Einstiegszeitpunkt fiel zufällig mit einer kurzen Markterholung zusammen, und wieder einmal kaufte er zu einem relativ hohen Kurs.

Ein transparentes Gefängnis und ein langer Weg zur Genesung

Der UXLink-Vorfall bietet eine einzigartige Perspektive auf die Geschichte der Kryptokriminalität: ein Angreifer im Rampenlicht, der kontinuierlich eine gut sichtbare Handelsspur hinterlässt und es globalen On-Chain-Analysten ermöglicht, sein Verhalten vollständig zu dokumentieren.

Dies ist möglicherweise nicht auf Fahrlässigkeit des Hackers zurückzuführen, sondern eher auf ein überholtes Verständnis von „Sicherheit“. Möglicherweise glaubte er, dass er seine Anonymität wahren könne, solange er seine Vermögenswerte auf mehrere Adressen verteile und auf DEXs operiere, um die Hürden der Klarnamenverifizierung der CEXs zu umgehen. Die rasante Entwicklung von On-Chain-Analysewerkzeugen hat diese Einschätzung jedoch als übermäßig optimistisch erscheinen lassen. Institutionen wie Arkham, Lookonchain, PeckShield und SlowMist haben nahezu sofort jede signifikante ungewöhnliche Bewegung erfasst, und jeder Ein- und Ausgang des Hackers wurde unter öffentlicher Beobachtung vollständig offengelegt. Obwohl dieser Hacker über zig Millionen Dollar verfügte, war es, als wäre er in einem transparenten digitalen Gefängnis gefangen.

Für das UXLink-Projektteam ist diese Situation sowohl ein kleiner Trost als auch ein erhebliches Dilemma. Obwohl die Vermögenswerte nicht verschwunden sind und auf der Blockchain weiterhin nachverfolgbar bleiben, stellt die Kluft zwischen „sichtbar“ und „wiedererlangbar“ in der On-Chain-Welt ohne gerichtliche Eingriffe eine schwer zu überbrückende Untiefe dar.

Obwohl UXLink nach dem Vorfall schnell neue Vertragsprüfungen, Token-Tauschgeschäfte und Entschädigungspläne für Nutzer durchführte, um das Marktvertrauen wiederherzustellen, ist der Tokenpreis von einem Höchststand von 3,75 Dollar im Dezember 2024 auf etwa 0,0044 Dollar gefallen, ein Rückgang von 99 %. Für UXLink mag die Behebung von Code-Schwachstellen nur wenige Wochen dauern, doch der Wiederaufbau des Ökosystems aus den nahezu vollständigen Trümmern bleibt ein langer und mühsamer Weg.

Im Angesicht eines Bärenmarktes werden alle gleich behandelt.

Die Geschichte des UXLink-Hackers ist zu einem Mikrokosmos der „Marktrealität“ geworden und nicht nur zu einem Sicherheitsvorfall.

Obwohl er über ausgezeichnete Fähigkeiten verfügte, die DelegateCall-Schwachstelle präzise auszunutzen und die Multi-Signatur-Abwehr zu umgehen, wodurch er in nur wenigen Stunden eine sorgfältige Beschaffung durchführen konnte, sah er sich, sobald die Gelder eingegangen waren, mit denselben Dilemmata konfrontiert wie gewöhnliche Privatanleger: Dem Markt ist es egal, woher die Chips stammen, ETH fiel während der Halteperiode trotzdem, und BTC blieb nach der Eröffnung der Position stagnierend.

Dieses Ergebnis gibt keinerlei Anlass zum Mitleid, ist aber dennoch voller Ironie. Die Vermögenswerte, die der Angreifer mühsam gestohlen hatte, verloren im Laufe der Zeit aufgrund von Marktschwankungen an Wert, und sechs Monate später war ihr Buchwert fast derselbe wie zu Beginn seiner Tätigkeit. Er ist nicht der erste ETH-Inhaber, der in einem Bärenmarkt Verluste erleidet, und er wird auch nicht der letzte Spekulant sein, der beim Versuch, WBTC zu Schnäppchenpreisen zu ergattern, vom Markt eingeholt wird.