资产被盗事件再现,如何在黑暗森林中前行?
11 月 16 日,链上交易终端 DEXX 的用户资产被盗,多个 Meme 币短时经历大额砸盘,Meme 市场热情受到极大打击。据社区不完全估计,预计 DEXX 事件有超 500 名独立受害者,损失约为 1300 万美元。
DEXX 创始人 Roy 表示将会补偿用户损失,多位用户反应账户资产已被隔离至安全地址。但在以往的类似事件中,成功追回资金并满意地补偿用户的案例几乎没有。
安全漏洞——私钥
DEXX 被盗事件发生后,社区才开始重新审视这个 Meme 专属交易平台。
DEXX 的审计由 Certik 完成,其给出的审计报告中显示 DEXX 得分为 59.31 分,这一不及格的分数意味着多达 9 项风险。其中「中心化」这个主要风险未解决;四个中度风险两个已解决两个未解决,包括「易受攻击代码」;还有四项轻度风险,只解决了其中一个。
DEXX 此前宣称平台的私钥保存方式为非托管式钱包,但经社区观察,DEXX 实际上通过中心化手段掌握了用户私钥:
安全机构慢雾创始人余弦表示,「被盗人群与用 DEXX 做冲土狗/炒 MEME 有关,私钥属于 DEXX 中心化托管,肯定泄露了,至于泄露方式等调查披露。」
此外,社区发现,根据开发者工具中的 export_wallet 请求信息,在导出 DEXX 私钥时,私钥以明文形式呈现,意味着用户私钥实际上在官方服务器上。如果通信未进行加密保护,攻击者可能在传输过程中截获用户的私钥,即使采用 HTTPS 传输,私钥直接传输也可能因浏览器漏洞或其他安全问题导致隐私数据泄露。
无论是最后结局调查出来,是黑客攻击、还是监守自盗,我们都可以看出,DEXX 抱着一个心态——「用户看不懂,容易轻信,不在意是否真是为私钥非托管方式」。项目方的态度和做事我们无法掌控,但我们可以改ton一些准则来减少类似事件发生时受到的损失。没有对自己资产风险的严格把控,就不存在资金的可靠保障。
如何防范
托管与非托管钱包
想要选择安全的保管资产,首先要依据自己需求选择可信钱包。主流加密钱包可依据私钥存储地点分为托管型钱包和非托管型钱包。
托管型钱包
托管型加密货币钱包是为用户托管资产的钱包。这意味着第三方代表用户持有和保管私钥。这也意味着,用户无法全盘掌控自己的资金,也无法对交易签名。在选择托管服务供应商时,需要考虑以下方面:是否受到监管、提供的服务类型、私钥存储方式以及是否提供保险。
非托管型钱包
非托管型加密货币钱包是指只有持有者掌控私钥。此类钱包适合希望完全掌控资金的用户。没有中间机构的干预,用户可以直接从钱包中交易加密货币。同时这也意味着用户要对密钥承担全部责任,并且面对丢失和攻击等风险。
资产隔离
不将鸡蛋放在同一个篮子中,用户也应该对自己资产做到有效的风险隔离。以下是一个较为标准的资产存储方式。
- 热钱包:经常用于交互的钱包,不轻易存放大量资产,一般放满足 Gas 需求的资产即可。该钱包可以用于参与机会项目。即使有可能受到了钓鱼攻击,但做到了损失控制。
- 温钱包:隔离的热钱包,存放交互频率相对较少的资产,诸如质押类的项目。该钱包的资产也可随时进行交互,但是交互的频率远低于热钱包,以此来达到控制私钥泄漏风险的目的。
- 冷钱包:大额资产最好放在硬件钱包中冷储存,不通过联网方式进行交互。
安全建议
- 不轻信他人推荐,DYOR 研究产品机制,建议使用私钥不存储在服务器的交易机器人;
- 选择运营时间较长、团队专业的交易机器人;
- TG 群中切勿点击陌生连接,不要回复相关私信;
- 无论使用任何工具,大额资金交易后建议转移至冷钱包;
温馨提示:目前已发现专门针对 DEXX 被盗用户的「维权社群」、「DEXX 被盗登记」、「DEXX 赔偿」等维权和赔付相关的钓鱼诈骗。用户需小心识别,切勿上传私钥/助记词或连接钱包确认,避免二次伤害。
Related articles
AI 概念代币分类及盘点
关于比特币八大常见误解
Gate.io 推出 PreMint —— 盘前市场的变革
资产被盗事件再现,如何在黑暗森林中前行?
11 月 16 日,链上交易终端 DEXX 的用户资产被盗,多个 Meme 币短时经历大额砸盘,Meme 市场热情受到极大打击。据社区不完全估计,预计 DEXX 事件有超 500 名独立受害者,损失约为 1300 万美元。
DEXX 创始人 Roy 表示将会补偿用户损失,多位用户反应账户资产已被隔离至安全地址。但在以往的类似事件中,成功追回资金并满意地补偿用户的案例几乎没有。
安全漏洞——私钥
DEXX 被盗事件发生后,社区才开始重新审视这个 Meme 专属交易平台。
DEXX 的审计由 Certik 完成,其给出的审计报告中显示 DEXX 得分为 59.31 分,这一不及格的分数意味着多达 9 项风险。其中「中心化」这个主要风险未解决;四个中度风险两个已解决两个未解决,包括「易受攻击代码」;还有四项轻度风险,只解决了其中一个。
DEXX 此前宣称平台的私钥保存方式为非托管式钱包,但经社区观察,DEXX 实际上通过中心化手段掌握了用户私钥:
安全机构慢雾创始人余弦表示,「被盗人群与用 DEXX 做冲土狗/炒 MEME 有关,私钥属于 DEXX 中心化托管,肯定泄露了,至于泄露方式等调查披露。」
此外,社区发现,根据开发者工具中的 export_wallet 请求信息,在导出 DEXX 私钥时,私钥以明文形式呈现,意味着用户私钥实际上在官方服务器上。如果通信未进行加密保护,攻击者可能在传输过程中截获用户的私钥,即使采用 HTTPS 传输,私钥直接传输也可能因浏览器漏洞或其他安全问题导致隐私数据泄露。
无论是最后结局调查出来,是黑客攻击、还是监守自盗,我们都可以看出,DEXX 抱着一个心态——「用户看不懂,容易轻信,不在意是否真是为私钥非托管方式」。项目方的态度和做事我们无法掌控,但我们可以改ton一些准则来减少类似事件发生时受到的损失。没有对自己资产风险的严格把控,就不存在资金的可靠保障。
如何防范
托管与非托管钱包
想要选择安全的保管资产,首先要依据自己需求选择可信钱包。主流加密钱包可依据私钥存储地点分为托管型钱包和非托管型钱包。
托管型钱包
托管型加密货币钱包是为用户托管资产的钱包。这意味着第三方代表用户持有和保管私钥。这也意味着,用户无法全盘掌控自己的资金,也无法对交易签名。在选择托管服务供应商时,需要考虑以下方面:是否受到监管、提供的服务类型、私钥存储方式以及是否提供保险。
非托管型钱包
非托管型加密货币钱包是指只有持有者掌控私钥。此类钱包适合希望完全掌控资金的用户。没有中间机构的干预,用户可以直接从钱包中交易加密货币。同时这也意味着用户要对密钥承担全部责任,并且面对丢失和攻击等风险。
资产隔离
不将鸡蛋放在同一个篮子中,用户也应该对自己资产做到有效的风险隔离。以下是一个较为标准的资产存储方式。
- 热钱包:经常用于交互的钱包,不轻易存放大量资产,一般放满足 Gas 需求的资产即可。该钱包可以用于参与机会项目。即使有可能受到了钓鱼攻击,但做到了损失控制。
- 温钱包:隔离的热钱包,存放交互频率相对较少的资产,诸如质押类的项目。该钱包的资产也可随时进行交互,但是交互的频率远低于热钱包,以此来达到控制私钥泄漏风险的目的。
- 冷钱包:大额资产最好放在硬件钱包中冷储存,不通过联网方式进行交互。
安全建议
- 不轻信他人推荐,DYOR 研究产品机制,建议使用私钥不存储在服务器的交易机器人;
- 选择运营时间较长、团队专业的交易机器人;
- TG 群中切勿点击陌生连接,不要回复相关私信;
- 无论使用任何工具,大额资金交易后建议转移至冷钱包;
温馨提示:目前已发现专门针对 DEXX 被盗用户的「维权社群」、「DEXX 被盗登记」、「DEXX 赔偿」等维权和赔付相关的钓鱼诈骗。用户需小心识别,切勿上传私钥/助记词或连接钱包确认,避免二次伤害。
Related articles
AI 概念代币分类及盘点
关于比特币八大常见误解