作者:律動BlockBeats
11 月 16 日,鏈上交易終端 DEXX 的用戶資產被盜,多個 meme 幣今日凌晨短時經(jīng)歷大額砸盤。目前安全公司還沒有確定具體被盜金額,有社區(qū)傳言目前受損失資產已達一千六百余萬美元。
DEXX 創(chuàng)始人 Roy 今晨表示將會補償用戶損失。截止目前,多位用戶反應賬戶資產已被隔離至安全地址。
DEXX 被盜事件發(fā)生后,社區(qū)開始審視這個曾被其返傭鏈接刷屏的 meme 專屬交易平臺,而為 DEXX 做過推廣的 KOL 也被用戶遷怒。
安全機構慢霧創(chuàng)始人余弦表示,「被盜人群與用 DEXX 做沖土狗/炒 MEME 有關,私鑰屬于 DEXX 中心化托管,肯定泄露了,至于泄露方式等調查披露。」
社區(qū)發(fā)現(xiàn),根據(jù)開發(fā)者工具中的 export_wallet 請求信息,在導出 DEXX 私鑰時,私鑰以明文形式呈現(xiàn),意味著用戶私鑰實際上在官方服務器上。如果通信未進行加密保護,攻擊者可能在傳輸過程中截獲用戶的私鑰,即使采用 HTTPS 傳輸,私鑰直接傳輸也可能因瀏覽器漏洞或其他安全問題導致隱私數(shù)據(jù)泄露。
因此有用戶戲稱「DEXX 重新定義了非托管錢包」。
另外,錢包應用 OneKey 表示 DEXX 一直反復請求「上傳用戶剪貼板內容」權限,有可能上傳了用戶的剪貼板內容,稱「如果你在手機上復制過私鑰助記詞,盡快轉移資產。」
DEXX 的審計由 Certik 完成,其給出的審計報告中顯示 DEXX 得分為 59.31 分,這一不及格的分數(shù)意味著多達 9 項風險。其中「中心化」這個主要風險未解決;四個中度風險兩個已解決兩個未解決,包括「易受攻擊代碼」;還有四項輕度風險,只解決了其中一個。
有用戶表示 DEXX 以及各種交易 bot 在安全方面都是裸奔,項目方無一例外都主打一個心態(tài)——「反正用戶也不懂、不在乎,反正還有運氣好的同行也這么干但還沒被盜,反正我要是在乎的話還要付出很多研發(fā)成本和用戶體驗的代價,那我就也不用在乎啰。」
聯(lián)系到此前 BananaGun、Unibot 都曾出現(xiàn)過被盜隱患,針對鏈上交易,還是「Not Your Keys, Not Your Money」。
據(jù) GoPlus 安全監(jiān)測,目前已發(fā)現(xiàn)專門針對 DEXX 被盜用戶的「維權社群」、「DEXX 被盜登記」、「DEXX 賠償」等維權和賠付相關的釣魚詐騙。用戶需小心識別,切勿上傳私鑰/助記詞或連接錢包確認,避免二次傷害。
11-16 14:02慢霧創(chuàng)始人余弦在社交媒體上發(fā)布 DEXX 事件更新表示,目前慢霧已經(jīng)收到近 500 封與 DEXX 被盜的請求信息,事件分析仍在進行中,目前初步判定已是千萬美元級的損失(因為部分 Meme 幣價格浮動過大),幾乎每個受害者對應的攻擊者地址都不一樣,說明本次事件的攻擊者預謀已久,有關 gas 來源是 3 天前通過 XMR 兌換的。
11-16 13:27區(qū)塊鏈安全審計公司 CertiK 發(fā)布聲明稱,近期收到大量 DEXX 平臺用戶的求助,用戶反映其賬戶資產被清空。經(jīng) CertiK 核實確認,此次安全事件發(fā)生在 Solana 鏈上,但該鏈不在 CertiK 的審計覆蓋范圍內。
CertiK 表示,事件的主要原因是 DEXX 平臺私鑰管理不當,導致官方私鑰泄露。
11-16 12:30慢霧創(chuàng)始人余弦在社交媒體上針對網(wǎng)傳「DEXX 用戶累計被盜 4.88 億美元」的相關截圖發(fā)布回應稱,DEXX 案中每個受害者對應的黑客地址都不一樣,被盜資金是不會在一個地址集中的。
據(jù)?GMGN?行情數(shù)據(jù)顯示,或受 DEXX 被盜影響,BAN、LUCE、PNUT 等 Meme 出現(xiàn)不同程度下跌,其中:
· BAN 自事件發(fā)生后下跌約 30%,現(xiàn)報價 0.126 美元
· LUCE 自事件發(fā)生后下跌約 20%,現(xiàn)報價 0.211 美元
· PNUT 自事件發(fā)生后最多下跌約 12.5%,現(xiàn)報價 1.72 美元
喜來順財經(jīng)
<strike id="ykeqq"></strike>
<fieldset id="ykeqq"></fieldset>