监守自盗还是黑客作祟,DEXX被盗事件追踪|时间
VX:BNB0091进社区裙无门槛,不收费,不推交易所,不走推荐链接11月16日,链上交易平台DEXX遭遇用户资产被盗事件,多个meme币在今日凌晨短时间内遭受大额抛售。目前,安全机构尚未公布确切的被盗金额,但有社区消息称损失资产或已高达一千六百余万美元。DEXX平台的创始人Roy已表态将为用户损失提供补偿。截至当前,多位用户反馈其账户资产已被转移至安全地址。DEXX 安全漏洞在DEXX被盗事件曝光后,社区开始重新审视这个曾因返佣链接而广受欢迎的meme专属交易平台,同时,那些曾为DEXX进行推广的关键意见领袖(KOL)也遭受了用户的指责和不满。安全机构慢雾的创始人余弦指出,此次被盗事件主要涉及使用DEXX进行短期炒作meme币(俗称“冲土狗”)的用户,而他们的私钥是由DEXX进行中心化托管的,这意味着私钥已经发生了泄露,但具体的泄露方式还需等待进一步调查结果的披露。社区成员在深入调查后发现,通过开发者工具中的export_wallet请求信息,DEXX在导出私钥时竟然以明文形式展示,这意味着用户的私钥实际上存储在了官方服务器上。如果通信过程没有得到适当的加密保护,攻击者很可能在数据传输过程中截获用户的私钥。即使采用了HTTPS传输协议,如果私钥直接传输而未进行额外的安全处理,也可能因为浏览器漏洞或其他安全漏洞而导致隐私数据被泄露。因此,有用户戏谑地称DEXX“重新定义了非托管钱包”的含义。此外,钱包应用OneKey发出警告,指出DEXX频繁请求“访问用户剪贴板内容”的权限,可能存在上传用户剪贴板内容的风险,特别是如果用户曾在手机上复制过私钥或助记词,建议立即转移资产以确保安全。DEXX的审计工作由Certik负责完成,其审计报告给出的分数为59.31分,未达到及格线,揭示了多达9项风险问题。其中,“中心化”这一主要风险点仍未得到解决;四个中度风险中,有两个已解决,两个未解决,包括“易受攻击的代码”问题;另外,还有四项轻度风险,但仅解决了其中一项。有用户指出,DEXX以及众多交易机器人(bots)在安全防护方面均显得极为薄弱,项目方普遍抱持一种心态:“反正用户既不懂也不关心安全问题,总有同行这么干却还没被盗,如果我要重视安全,就得投入大量研发成本并可能影响用户体验,那我干脆也就不那么在乎了。”联想到之前BananaGun、Unibot等也曾暴露出被盗的风险,对于链上交易而言,再次印证了“不是你的钥匙,就不是你的钱”(Not Your Keys, Not Your Money)这一原则的重要性。最新资讯及调查进展11-16 14:12据 GoPlus 安全监测,目前已发现专门针对 DEXX 被盗用户的「维权社群」、「DEXX 被盗登记」、「DEXX 赔偿」等维权和赔付相关的钓鱼诈骗。用户需小心识别,切勿上传私钥/助记词或连接钱包确认,避免二次伤害。11-16 14:02慢雾创始人余弦在社交媒体上发布 DEXX 事件更新表示,目前慢雾已经收到近 500 封与 DEXX 被盗的请求信息,事件分析仍在进行中,目前初步判定已是千万美元级的损失(因为部分 Meme 币价格浮动过大),几乎每个受害者对应的攻击者地址都不一样,说明本次事件的攻击者预谋已久,有关 gas 来源是 3 天前通过 XMR 兑换的。11-16 13:27区块链安全审计公司 CertiK 发布声明称,近期收到大量 DEXX 平台用户的求助,用户反映其账户资产被清空。经 CertiK 核实确认,此次安全事件发生在 Solana 链上,但该链不在 CertiK 的审计覆盖范围内。CertiK 表示,事件的主要原因是 DEXX 平台私钥管理不当,导致官方私钥泄露。11-16 12:30慢雾创始人余弦在社交媒体上针对网传「DEXX 用户累计被盗 4.88 亿美元」的相关截图发布回应称,DEXX 案中每个受害者对应的黑客地址都不一样,被盗资金是不会在一个地址集中的。meme 价格更新11-16 08:56据 GMGN 行情数据显示,或受 DEXX 被盗影响,BAN、LUCE、PNUT 等 Meme 出现不同程度下跌,其中:· BAN 自事件发生后下跌约 30%,现报价 0.126 美元· LUCE 自事件发生后下跌约 20%,现报价 0.211 美元· PNUT 自事件发生后最多下跌约 12.5%,现报价 1.72 美元
页:
[1]