作者:律動BlockBeats
11 月 16 日��,鏈上交易終端 DEXX 的用戶資產(chǎn)被盜����,多個(gè) meme 幣今日凌晨短時(shí)經(jīng)歷大額砸盤����。目前安全公司還沒有確定具體被盜金額��,有社區(qū)傳言目前受損失資產(chǎn)已達(dá)一千六百余萬美元���。
DEXX 創(chuàng)始人 Roy 今晨表示將會補(bǔ)償用戶損失�����。截止目前,多位用戶反應(yīng)賬戶資產(chǎn)已被隔離至安全地址��。
DEXX 安全漏洞
DEXX 被盜事件發(fā)生后����,社區(qū)開始審視這個(gè)曾被其返傭鏈接刷屏的 meme 專屬交易平臺,而為 DEXX 做過推廣的 KOL 也被用戶遷怒���。
安全機(jī)構(gòu)慢霧創(chuàng)始人余弦表示,「被盜人群與用 DEXX 做沖土狗/炒 MEME 有關(guān)���,私鑰屬于 DEXX 中心化托管���,肯定泄露了�,至于泄露方式等調(diào)查披露�����?����!?/p>
社區(qū)發(fā)現(xiàn)����,根據(jù)開發(fā)者工具中的 export_wallet 請求信息,在導(dǎo)出 DEXX 私鑰時(shí)��,私鑰以明文形式呈現(xiàn)�����,意味著用戶私鑰實(shí)際上在官方服務(wù)器上���。如果通信未進(jìn)行加密保護(hù)�,攻擊者可能在傳輸過程中截獲用戶的私鑰���,即使采用 HTTPS 傳輸����,私鑰直接傳輸也可能因?yàn)g覽器漏洞或其他安全問題導(dǎo)致隱私數(shù)據(jù)泄露。
因此有用戶戲稱「DEXX 重新定義了非托管錢包」��。
另外�,錢包應(yīng)用 OneKey 表示 DEXX 一直反復(fù)請求「上傳用戶剪貼板內(nèi)容」權(quán)限,有可能上傳了用戶的剪貼板內(nèi)容���,稱「如果你在手機(jī)上復(fù)制過私鑰助記詞,盡快轉(zhuǎn)移資產(chǎn)�?���!?/p>
DEXX 的審計(jì)由 Certik 完成�����,其給出的審計(jì)報(bào)告中顯示 DEXX 得分為 59.31 分�,這一不及格的分?jǐn)?shù)意味著多達(dá) 9 項(xiàng)風(fēng)險(xiǎn)��。其中「中心化」這個(gè)主要風(fēng)險(xiǎn)未解決;四個(gè)中度風(fēng)險(xiǎn)兩個(gè)已解決兩個(gè)未解決,包括「易受攻擊代碼」�;還有四項(xiàng)輕度風(fēng)險(xiǎn)�,只解決了其中一個(gè)。
有用戶表示 DEXX 以及各種交易 bot 在安全方面都是裸奔,項(xiàng)目方無一例外都主打一個(gè)心態(tài)——「反正用戶也不懂、不在乎�����,反正還有運(yùn)氣好的同行也這么干但還沒被盜�,反正我要是在乎的話還要付出很多研發(fā)成本和用戶體驗(yàn)的代價(jià),那我就也不用在乎啰?����!?/p>
聯(lián)系到此前 BananaGun��、Unibot 都曾出現(xiàn)過被盜隱患����,針對鏈上交易���,還是「Not Your Keys, Not Your Money」���。
最新資訊及調(diào)查進(jìn)展
11-16 14:12
據(jù) GoPlus 安全監(jiān)測�,目前已發(fā)現(xiàn)專門針對 DEXX 被盜用戶的「維權(quán)社群」、「DEXX 被盜登記」、「DEXX 賠償」等維權(quán)和賠付相關(guān)的釣魚詐騙��。用戶需小心識別��,切勿上傳私鑰/助記詞或連接錢包確認(rèn)�,避免二次傷害。
11-16 14:02
慢霧創(chuàng)始人余弦在社交媒體上發(fā)布 DEXX 事件更新表示�����,目前慢霧已經(jīng)收到近 500 封與 DEXX 被盜的請求信息�����,事件分析仍在進(jìn)行中,目前初步判定已是千萬美元級的損失(因?yàn)椴糠?Meme 幣價(jià)格浮動過大),幾乎每個(gè)受害者對應(yīng)的攻擊者地址都不一樣,說明本次事件的攻擊者預(yù)謀已久��,有關(guān) gas 來源是 3 天前通過 XMR 兌換的�。
11-16 13:27
區(qū)塊鏈安全審計(jì)公司 CertiK 發(fā)布聲明稱,近期收到大量 DEXX 平臺用戶的求助,用戶反映其賬戶資產(chǎn)被清空�����。經(jīng) CertiK 核實(shí)確認(rèn)����,此次安全事件發(fā)生在 Solana 鏈上,但該鏈不在 CertiK 的審計(jì)覆蓋范圍內(nèi)。
CertiK 表示�����,事件的主要原因是 DEXX 平臺私鑰管理不當(dāng)��,導(dǎo)致官方私鑰泄露�。
11-16 12:30
慢霧創(chuàng)始人余弦在社交媒體上針對網(wǎng)傳「DEXX 用戶累計(jì)被盜 4.88 億美元」的相關(guān)截圖發(fā)布回應(yīng)稱��,DEXX 案中每個(gè)受害者對應(yīng)的黑客地址都不一樣�����,被盜資金是不會在一個(gè)地址集中的。
meme 價(jià)格更新
11-16 08:56
據(jù)?GMGN?行情數(shù)據(jù)顯示,或受 DEXX 被盜影響,BAN���、LUCE、PNUT 等 Meme 出現(xiàn)不同程度下跌,其中:
· BAN 自事件發(fā)生后下跌約 30%�,現(xiàn)報(bào)價(jià) 0.126 美元
· LUCE 自事件發(fā)生后下跌約 20%�,現(xiàn)報(bào)價(jià) 0.211 美元
· PNUT 自事件發(fā)生后最多下跌約 12.5%����,現(xiàn)報(bào)價(jià) 1.72 美元
喜來順財(cái)經(jīng)
