监守自盗还是黑客作祟,DEXX被盗事件追踪|时间线
11 月 16 日,链上交易终端 DEXX 的用户资产被盗,多个 meme 币今日凌晨短时经历大额砸盘。目前安全公司还没有确定具体被盗金额,有社区传言目前受损失资产已达一千六百余万美元。
DEXX 创始人 Roy 今晨表示将会补偿用户损失。截止目前,多位用户反应账户资产已被隔离至安全地址。
DEXX 安全漏洞
DEXX 被盗事件发生后,社区开始审视这个曾被其返佣链接刷屏的 meme 专属交易平台,而为 DEXX 做过推广的 KOL 也被用户迁怒。
安全机构慢雾创始人余弦表示,「被盗人群与用 DEXX 做冲土狗/炒 MEME 有关,私钥属于 DEXX 中心化托管,肯定泄露了,至于泄露方式等调查披露。」
社区发现,根据开发者工具中的 export_wallet 请求信息,在导出 DEXX 私钥时,私钥以明文形式呈现,意味着用户私钥实际上在官方服务器上。如果通信未进行加密保护,攻击者可能在传输过程中截获用户的私钥,即使采用 HTTPS 传输,私钥直接传输也可能因浏览器漏洞或其他安全问题导致隐私数据泄露。
因此有用户戏称「DEXX 重新定义了非托管钱包」。
另外,钱包应用 OneKey 表示 DEXX 一直反复请求「上传用户剪贴板内容」权限,有可能上传了用户的剪贴板内容,称「如果你在手机上复制过私钥助记词,尽快转移资产。」
DEXX 的审计由 Certik 完成,其给出的审计报告中显示 DEXX 得分为 59.31 分,这一不及格的分数意味着多达 9 项风险。其中「中心化」这个主要风险未解决;四个中度风险两个已解决两个未解决,包括「易受攻击代码」;还有四项轻度风险,只解决了其中一个。
有用户表示 DEXX 以及各种交易 bot 在安全方面都是裸奔,项目方无一例外都主打一个心态——「反正用户也不懂、不在乎,反正还有运气好的同行也这么干但还没被盗,反正我要是在乎的话还要付出很多研发成本和用户体验的代价,那我就也不用在乎啰。」
联系到此前 BananaGun、Unibot 都曾出现过被盗隐患,针对链上交易,还是「Not Your Keys, Not Your Money」。
最新资讯及调查进展
据 GoPlus 安全监测,目前已发现专门针对 DEXX 被盗用户的「维权社群」、「DEXX 被盗登记」、「DEXX 赔偿」等维权和赔付相关的钓鱼诈骗。用户需小心识别,切勿上传私钥/助记词或连接钱包确认,避免二次伤害。
慢雾创始人余弦在社交媒体上发布 DEXX 事件更新表示,目前慢雾已经收到近 500 封与 DEXX 被盗的请求信息,事件分析仍在进行中,目前初步判定已是千万美元级的损失(因为部分 Meme 币价格浮动过大),几乎每个受害者对应的攻击者地址都不一样,说明本次事件的攻击者预谋已久,有关 gas 来源是 3 天前通过 XMR 兑换的。
11-16 13:27
区块链安全审计公司 CertiK 发布声明称,近期收到大量 DEXX 平台用户的求助,用户反映其账户资产被清空。经 CertiK 核实确认,此次安全事件发生在 Solana 链上,但该链不在 CertiK 的审计覆盖范围内。
CertiK 表示,事件的主要原因是 DEXX 平台私钥管理不当,导致官方私钥泄露。
11-16 12:30
慢雾创始人余弦在社交媒体上针对网传「DEXX 用户累计被盗 4.88 亿美元」的相关截图发布回应称,DEXX 案中每个受害者对应的黑客地址都不一样,被盗资金是不会在一个地址集中的。
meme 价格更新
据 GMGN 行情数据显示,或受 DEXX 被盗影响,BAN、LUCE、PNUT 等 Meme 出现不同程度下跌,其中:
· BAN 自事件发生后下跌约 30%,现报价 0.126 美元
· LUCE 自事件发生后下跌约 20%,现报价 0.211 美元
· PNUT 自事件发生后最多下跌约 12.5%,现报价 1.72 美元