資産盗難が再び襲撃:ダークフォレストをどのように航行しますか?
11月16日、オンチェーントレーディングターミナルDEXX上のユーザーアセットが盗まれ、複数のミームコインが大幅な短期ダンプを引き起こし、ミーム市場の熱意を著しく冷やしました。コミュニティからの不完全な推定によると、DEXXの事件は500人以上の独立した被害者に影響を与え、損失額は約1300万ドルに上ると推定されています。
DEXXの創設者であるロイ氏は、ユーザーの損失は補償されると述べ、複数のユーザーが彼らの資産が安全なアドレスに隔離されたと報告しています。しかし、過去の類似した事件では、資金が成功裏に回収され、ユーザーが満足のいく補償を受けた事例は稀でした。
セキュリティ脆弱性—プライベートキー
DEXXの盗難事件の後、コミュニティはこのミーム専用取引プラットフォームを再評価し始めました。
DEXXの監査はCertikによって実施され、DEXXは59.31のスコアを獲得し、9つのリスクが強調された不合格の評価となりました。主なリスクである「中央集権化」は未解決のままであり、そのうち4つの中程度のリスクのうち2つ、つまり「脆弱なコード」を含むものがまだ対処されていません。4つの低レベルのリスクのうち、解決されたのは1つだけでした。
以前、DEXXは非管理型ウォレットを秘密鍵の保存に使用すると主張していました。しかし、コミュニティの観察により、DEXXは実際には中央集権的な方法でユーザーの秘密鍵を管理していることが明らかになりました。
SlowMist創設者のYu Jianは、「影響を受けたユーザーは、DEXXでミームコイン取引に関与していた人々です。秘密鍵はDEXXによって中央集権的に管理されており、間違いなく漏洩しましたが、漏洩の方法はまだ調査中です。」と述べています。
さらに、コミュニティは、開発者ツールを介してプライベートキーをエクスポートする際、DEXXのプライベートキーが平文で表示されていることを発見しました。つまり、実際には公式サーバーに保存されていました。通信が暗号化されていない場合、攻撃者はユーザーのプライベートキーを送信中に傍受する可能性があります。HTTPS転送であっても、直接プライベートキーを転送することは、ブラウザの脆弱性やその他のセキュリティの問題によるデータ漏洩を引き起こす可能性があります。
事件が最終的にハッカー攻撃と見なされるか、内部者の不正行為と見なされるかはともかく、DEXXは「ユーザーは理解しておらず、簡単に騙されることができ、プライベートキーが本当にノンカストディアルであるかどうかを気にしない」という考え方のもとで運営されていたことは明らかです。プロジェクトチームの態度や行動を制御することはできませんが、同様の事件での損失を最小限に抑えるための原則を採用することはできます。自分自身の資産の厳格なリスク管理がなければ、安全な資金の保証はありません。
自衛する方法
カストディアル対非カストディアルウォレット
資産を安全に保管する方法を選択することは、ニーズに基づいた信頼性のあるウォレットを選択することから始まります。主要な暗号通貨ウォレットは、プライベートキーがどこに保存されているかに基づいて、カストディアルウォレットと非カストディアルウォレットに分類されます。
保管ウォレット
カストディアル暗号通貨ウォレットは、ユーザーの代わりに資産を保管します。これは、第三者が秘密鍵を保持し管理することを意味します。したがって、ユーザーは資金を完全に制御したり取引に署名したりすることはできません。カストディアルサービスプロバイダーを選ぶ際には、規制状況、サービスタイプ、秘密鍵の保管方法、保険の提供の有無などを考慮してください。
非保管ウォレット
非保管型の暗号通貨ウォレットは、ユーザーに完全なプライベートキーの制御を提供します。このタイプのウォレットは、資金の完全な制御を希望するユーザーに適しています。中間者の介入なしで、ユーザーはウォレットから直接暗号通貨を取引することができます。ただし、これはユーザーがキーに完全な責任を負うことを意味し、損失や攻撃のようなリスクに直面することも意味します。
資産分離
すべての卵を1つのかごに入れないようにするように、資産を効果的に区分けすることが重要です。資産保管の標準的なアプローチを以下に示します:
- ホットウォレット:頻繁なやり取りに使用され、大量の資産を保存すべきではありません。ガス手数料をカバーするだけの資産が適しています。このウォレットは機会に参加するために適していますが、潜在的なフィッシング攻撃の損失を制御するために設定する必要があります。
- ウォームウォレット:ステーキングなどの取引頻度が低い資産用の隔離されたウォレット。ホットウォレットよりも取引は可能ですが、頻度は低く、鍵の漏洩のリスクを軽減します。
- コールドウォレット: 大きな資産は、オンラインでやり取りをしないハードウェアウォレット(冷蔵庫)に保存すべきです。
セキュリティの推奨事項
- 未要請の勧告には懐疑的になり、常に製品のメカニズムについて独自の調査を行ってください。サーバーに秘密鍵を保存しない取引ボットを使用してください。
- 長年の運営とプロフェッショナルなチームを持つトレーディングボットを選択してください。
- 未知のリンクをクリックしたり、Telegramグループのメッセージに返信したりしないでください。
- 取引後、どのツールを使用しているかにかかわらず、大口の資金をコールドウォレットに移動してください。
リマインダー:DEXXの被害者を狙ったフィッシング詐欺の報告がありました。「被害者支援団体」、「DEXX盗難登録」、「DEXX補償」などです。ユーザーは注意深く行動し、秘密鍵やシードフレーズをアップロードせず、ウォレットを接続して確認を行わないようにし、さらなる被害を防ぐよう努めるべきです。
関連記事
カスパ(KAS)調査レポート
Uniswap (UNI) 調査レポート
資産盗難が再び襲撃:ダークフォレストをどのように航行しますか?
11月16日、オンチェーントレーディングターミナルDEXX上のユーザーアセットが盗まれ、複数のミームコインが大幅な短期ダンプを引き起こし、ミーム市場の熱意を著しく冷やしました。コミュニティからの不完全な推定によると、DEXXの事件は500人以上の独立した被害者に影響を与え、損失額は約1300万ドルに上ると推定されています。
DEXXの創設者であるロイ氏は、ユーザーの損失は補償されると述べ、複数のユーザーが彼らの資産が安全なアドレスに隔離されたと報告しています。しかし、過去の類似した事件では、資金が成功裏に回収され、ユーザーが満足のいく補償を受けた事例は稀でした。
セキュリティ脆弱性—プライベートキー
DEXXの盗難事件の後、コミュニティはこのミーム専用取引プラットフォームを再評価し始めました。
DEXXの監査はCertikによって実施され、DEXXは59.31のスコアを獲得し、9つのリスクが強調された不合格の評価となりました。主なリスクである「中央集権化」は未解決のままであり、そのうち4つの中程度のリスクのうち2つ、つまり「脆弱なコード」を含むものがまだ対処されていません。4つの低レベルのリスクのうち、解決されたのは1つだけでした。
以前、DEXXは非管理型ウォレットを秘密鍵の保存に使用すると主張していました。しかし、コミュニティの観察により、DEXXは実際には中央集権的な方法でユーザーの秘密鍵を管理していることが明らかになりました。
SlowMist創設者のYu Jianは、「影響を受けたユーザーは、DEXXでミームコイン取引に関与していた人々です。秘密鍵はDEXXによって中央集権的に管理されており、間違いなく漏洩しましたが、漏洩の方法はまだ調査中です。」と述べています。
さらに、コミュニティは、開発者ツールを介してプライベートキーをエクスポートする際、DEXXのプライベートキーが平文で表示されていることを発見しました。つまり、実際には公式サーバーに保存されていました。通信が暗号化されていない場合、攻撃者はユーザーのプライベートキーを送信中に傍受する可能性があります。HTTPS転送であっても、直接プライベートキーを転送することは、ブラウザの脆弱性やその他のセキュリティの問題によるデータ漏洩を引き起こす可能性があります。
事件が最終的にハッカー攻撃と見なされるか、内部者の不正行為と見なされるかはともかく、DEXXは「ユーザーは理解しておらず、簡単に騙されることができ、プライベートキーが本当にノンカストディアルであるかどうかを気にしない」という考え方のもとで運営されていたことは明らかです。プロジェクトチームの態度や行動を制御することはできませんが、同様の事件での損失を最小限に抑えるための原則を採用することはできます。自分自身の資産の厳格なリスク管理がなければ、安全な資金の保証はありません。
自衛する方法
カストディアル対非カストディアルウォレット
資産を安全に保管する方法を選択することは、ニーズに基づいた信頼性のあるウォレットを選択することから始まります。主要な暗号通貨ウォレットは、プライベートキーがどこに保存されているかに基づいて、カストディアルウォレットと非カストディアルウォレットに分類されます。
保管ウォレット
カストディアル暗号通貨ウォレットは、ユーザーの代わりに資産を保管します。これは、第三者が秘密鍵を保持し管理することを意味します。したがって、ユーザーは資金を完全に制御したり取引に署名したりすることはできません。カストディアルサービスプロバイダーを選ぶ際には、規制状況、サービスタイプ、秘密鍵の保管方法、保険の提供の有無などを考慮してください。
非保管ウォレット
非保管型の暗号通貨ウォレットは、ユーザーに完全なプライベートキーの制御を提供します。このタイプのウォレットは、資金の完全な制御を希望するユーザーに適しています。中間者の介入なしで、ユーザーはウォレットから直接暗号通貨を取引することができます。ただし、これはユーザーがキーに完全な責任を負うことを意味し、損失や攻撃のようなリスクに直面することも意味します。
資産分離
すべての卵を1つのかごに入れないようにするように、資産を効果的に区分けすることが重要です。資産保管の標準的なアプローチを以下に示します:
- ホットウォレット:頻繁なやり取りに使用され、大量の資産を保存すべきではありません。ガス手数料をカバーするだけの資産が適しています。このウォレットは機会に参加するために適していますが、潜在的なフィッシング攻撃の損失を制御するために設定する必要があります。
- ウォームウォレット:ステーキングなどの取引頻度が低い資産用の隔離されたウォレット。ホットウォレットよりも取引は可能ですが、頻度は低く、鍵の漏洩のリスクを軽減します。
- コールドウォレット: 大きな資産は、オンラインでやり取りをしないハードウェアウォレット(冷蔵庫)に保存すべきです。
セキュリティの推奨事項
- 未要請の勧告には懐疑的になり、常に製品のメカニズムについて独自の調査を行ってください。サーバーに秘密鍵を保存しない取引ボットを使用してください。
- 長年の運営とプロフェッショナルなチームを持つトレーディングボットを選択してください。
- 未知のリンクをクリックしたり、Telegramグループのメッセージに返信したりしないでください。
- 取引後、どのツールを使用しているかにかかわらず、大口の資金をコールドウォレットに移動してください。
リマインダー:DEXXの被害者を狙ったフィッシング詐欺の報告がありました。「被害者支援団体」、「DEXX盗難登録」、「DEXX補償」などです。ユーザーは注意深く行動し、秘密鍵やシードフレーズをアップロードせず、ウォレットを接続して確認を行わないようにし、さらなる被害を防ぐよう努めるべきです。
関連記事
カスパ(KAS)調査レポート