作者:律動(dòng)BlockBeats
11 月 16 日�,鏈上交易終端 DEXX 的用戶資產(chǎn)被盜,多個(gè) meme 幣今日凌晨短時(shí)經(jīng)歷大額砸盤���。目前安全公司還沒有確定具體被盜金額,有社區(qū)傳言目前受損失資產(chǎn)已達(dá)一千六百余萬美元����。
DEXX 創(chuàng)始人 Roy 今晨表示將會(huì)補(bǔ)償用戶損失���。截止目前����,多位用戶反應(yīng)賬戶資產(chǎn)已被隔離至安全地址��。
DEXX 安全漏洞
DEXX 被盜事件發(fā)生后,社區(qū)開始審視這個(gè)曾被其返傭鏈接刷屏的 meme 專屬交易平臺(tái)�,而為 DEXX 做過推廣的 KOL 也被用戶遷怒��。
安全機(jī)構(gòu)慢霧創(chuàng)始人余弦表示,「被盜人群與用 DEXX 做沖土狗/炒 MEME 有關(guān)����,私鑰屬于 DEXX 中心化托管�,肯定泄露了���,至于泄露方式等調(diào)查披露�����?!?/p>
社區(qū)發(fā)現(xiàn)��,根據(jù)開發(fā)者工具中的 export_wallet 請(qǐng)求信息����,在導(dǎo)出 DEXX 私鑰時(shí)�,私鑰以明文形式呈現(xiàn),意味著用戶私鑰實(shí)際上在官方服務(wù)器上��。如果通信未進(jìn)行加密保護(hù)��,攻擊者可能在傳輸過程中截獲用戶的私鑰�����,即使采用 HTTPS 傳輸,私鑰直接傳輸也可能因?yàn)g覽器漏洞或其他安全問題導(dǎo)致隱私數(shù)據(jù)泄露����。
因此有用戶戲稱「DEXX 重新定義了非托管錢包」。
另外,錢包應(yīng)用 OneKey 表示 DEXX 一直反復(fù)請(qǐng)求「上傳用戶剪貼板內(nèi)容」權(quán)限���,有可能上傳了用戶的剪貼板內(nèi)容,稱「如果你在手機(jī)上復(fù)制過私鑰助記詞,盡快轉(zhuǎn)移資產(chǎn)���。」
DEXX 的審計(jì)由 Certik 完成,其給出的審計(jì)報(bào)告中顯示 DEXX 得分為 59.31 分,這一不及格的分?jǐn)?shù)意味著多達(dá) 9 項(xiàng)風(fēng)險(xiǎn)�。其中「中心化」這個(gè)主要風(fēng)險(xiǎn)未解決��;四個(gè)中度風(fēng)險(xiǎn)兩個(gè)已解決兩個(gè)未解決,包括「易受攻擊代碼」;還有四項(xiàng)輕度風(fēng)險(xiǎn)���,只解決了其中一個(gè)。
有用戶表示 DEXX 以及各種交易 bot 在安全方面都是裸奔,項(xiàng)目方無一例外都主打一個(gè)心態(tài)——「反正用戶也不懂�����、不在乎�,反正還有運(yùn)氣好的同行也這么干但還沒被盜,反正我要是在乎的話還要付出很多研發(fā)成本和用戶體驗(yàn)的代價(jià),那我就也不用在乎啰?���!?/p>
聯(lián)系到此前 BananaGun���、Unibot 都曾出現(xiàn)過被盜隱患���,針對(duì)鏈上交易�����,還是「Not Your Keys, Not Your Money」�。
最新資訊及調(diào)查進(jìn)展
11-16 14:12
據(jù) GoPlus 安全監(jiān)測(cè)�����,目前已發(fā)現(xiàn)專門針對(duì) DEXX 被盜用戶的「維權(quán)社群」、「DEXX 被盜登記」、「DEXX 賠償」等維權(quán)和賠付相關(guān)的釣魚詐騙。用戶需小心識(shí)別,切勿上傳私鑰/助記詞或連接錢包確認(rèn)�,避免二次傷害�����。
11-16 14:02
慢霧創(chuàng)始人余弦在社交媒體上發(fā)布 DEXX 事件更新表示,目前慢霧已經(jīng)收到近 500 封與 DEXX 被盜的請(qǐng)求信息,事件分析仍在進(jìn)行中,目前初步判定已是千萬美元級(jí)的損失(因?yàn)椴糠?Meme 幣價(jià)格浮動(dòng)過大)����,幾乎每個(gè)受害者對(duì)應(yīng)的攻擊者地址都不一樣��,說明本次事件的攻擊者預(yù)謀已久,有關(guān) gas 來源是 3 天前通過 XMR 兌換的����。
11-16 13:27
區(qū)塊鏈安全審計(jì)公司 CertiK 發(fā)布聲明稱��,近期收到大量 DEXX 平臺(tái)用戶的求助,用戶反映其賬戶資產(chǎn)被清空���。經(jīng) CertiK 核實(shí)確認(rèn),此次安全事件發(fā)生在 Solana 鏈上���,但該鏈不在 CertiK 的審計(jì)覆蓋范圍內(nèi)。
CertiK 表示,事件的主要原因是 DEXX 平臺(tái)私鑰管理不當(dāng)���,導(dǎo)致官方私鑰泄露。
11-16 12:30
慢霧創(chuàng)始人余弦在社交媒體上針對(duì)網(wǎng)傳「DEXX 用戶累計(jì)被盜 4.88 億美元」的相關(guān)截圖發(fā)布回應(yīng)稱,DEXX 案中每個(gè)受害者對(duì)應(yīng)的黑客地址都不一樣�����,被盜資金是不會(huì)在一個(gè)地址集中的���。
meme 價(jià)格更新
11-16 08:56
據(jù)?GMGN?行情數(shù)據(jù)顯示����,或受 DEXX 被盜影響��,BAN����、LUCE����、PNUT 等 Meme 出現(xiàn)不同程度下跌,其中:
· BAN 自事件發(fā)生后下跌約 30%��,現(xiàn)報(bào)價(jià) 0.126 美元
· LUCE 自事件發(fā)生后下跌約 20%�����,現(xiàn)報(bào)價(jià) 0.211 美元
· PNUT 自事件發(fā)生后最多下跌約 12.5%�,現(xiàn)報(bào)價(jià) 1.72 美元
喜來順財(cái)經(jīng)
