監守自盜還是駭客作祟,DEXX被盜事件追蹤|時間線
千萬美元等級損失,被盜資產具體金額尚未確定
11 月 16 日,鏈上交易終端 DEXX 的用戶資產被盜,多個 meme 幣今天凌晨短時經歷大額砸盤。目前保全公司還沒有確定具體被竊金額,有社區傳言目前受損失資產已達一千六百餘萬美元。
DEXX 創辦人 Roy 今晨表示將會補償用戶損失。截止目前,多位用戶反應帳戶資產已被隔離至安全地址。
DEXX 安全漏洞
DEXX 被盜事件發生後,社群開始審視這個曾被其返傭連結刷屏的meme 專屬交易平台,而為DEXX 做過推廣的KOL 也被用戶遷怒。
安全機構慢霧創辦人餘弦表示,「被盜人群與用DEXX 做沖土狗/炒MEME 有關,私鑰屬於DEXX 中心化託管,肯定洩露了,至於洩露方式等調查披露。私鑰時,私鑰以明文形式呈現,意味著用戶私鑰實際上在官方伺服器上。如果通訊未進行加密保護,攻擊者可能在傳輸過程中截獲用戶的私鑰,即使採用 HTTPS 傳輸,私鑰直接傳輸也可能因瀏覽器漏洞或其他安全問題導致隱私資料外洩。
因此有用戶戲稱「DEXX 重新定義了非託管錢包」。
另外,錢包應用程式OneKey 表示DEXX 一直重複要求「上傳用戶剪貼簿內容」權限,有可能上傳了用戶的剪貼簿內容,稱「如果你在手機上複製過私鑰助記詞,盡快轉移資產。」
DEXX 的審計由Certik完成,其給出的審計報告中顯示 DEXX 得分為 59.31 分,這一不及格的分數意味著多達 9 項風險。其中「中心化」這個主要風險未解決;四個中度風險兩個已解決兩個未解決,包括「易受攻擊代碼」;還有四個輕度風險,只解決了其中一個。
有使用者表示 DEXX 以及各種交易 bot在安全方面都是裸奔,專案方無一例外都主打一個心態──「反正用戶也不懂、不在乎,反正還有運氣好的同行也這麼做但還沒被盜,反正我要是在乎的話還要付出很多研發成本和使用者體驗的代價,那我就也不用在乎囉。
聯絡到先前 BananaGun、Unibot 都曾出現被盜隱患,針對鏈上交易,還是「Not Your Keys, Not Your Money」。
最新資訊及調查進度
11-16 14:12
根據GoPlus 安全監測,目前已發現專門針對DEXX 被盜用戶的「維權社群」、「DEXX 被盜登記」、「DEXX 賠償」等維權和賠償相關的釣魚詐騙。用戶需小心識別,切勿上傳私鑰/助記詞或連接錢包確認,避免二次傷害。
11-16 14:02
慢霧創辦人餘弦在社群媒體上發布DEXX 事件更新表示,目前慢霧已經收到近500 封與DEXX 被盜的請求信息,事件分析仍在進行中,目前初步判定已是千萬美元級的損失(因為部分Meme幣價格浮動過大),幾乎每個受害者對應的攻擊者地址都不一樣,說明本次事件的攻擊者預謀已久,有關 gas 來源是 3 天前透過 XMR 兌換的。
11-16 13:27
區塊鏈安全審計公司CertiK 發布聲明稱,近期收到大量DEXX 平台用戶的求助,使用者反映其帳戶資產被清空。經 CertiK 核實確認,此安全事件發生在 Solana 鏈上,但該鏈不在 CertiK 的審計覆蓋範圍內。
CertiK 表示,事件的主因是 DEXX 平台私鑰管理不當,導致官方私鑰外洩。
11-16 12:30
慢霧創辦人餘弦在社群媒體上針對網傳「DEXX 用戶累計被盜4.88 億美元」的相關截圖發布回應稱,DEXX 案中每個受害者對應的黑客地址都不一樣,被盜資金是不會在一個地址集中的。
meme 價格更新
11-16 08:56
據GMGN 行情資料顯示,或受DEXX被竊影響,BAN、LUCE、PNUT 等 Meme 出現不同程度下跌,其中:
· BAN 自事件發生後下跌約30%,現報價0.126 美元
· LUCE 自事件發生後下跌約20%,現報價0.211 美元
· PNUT 自事件發生後最多下跌約12.5%,現報價1.72 美元
免責聲明:文章中的所有內容僅代表作者的觀點,與本平台無關。用戶不應以本文作為投資決策的參考。
您也可能喜歡
行業團體起訴以阻止國稅局從去中心化金融前端收集用戶信息
快速摘要 區塊鏈協會和其他兩個團體起訴美國國稅局,挑戰一項最近敲定的規則。該規則要求去中心化金融(DeFi)前端從2027年開始向該機構報告用戶數據,包括個人信息和每筆交易的詳細信息。該倡導團體的首席律師表示,這一要求將“把整個新興技術推向海外”。國稅局在其最終規則中辯稱,追蹤DeFi交易將“有助於縮小信息差距,從而促進稅收合規”
OpenAI 公佈採用公益公司模式的計劃,推動安全 AGI 發展
簡單來說 OpenAI 宣布其董事會正在評估其公司結構,以更好地履行其確保通用人工智慧造福全人類的使命。
iDEGEN 早期預售在三天內結束,募集到 1,000 萬美元的資金
Tether入局加密貨幣風投基金,多角化經營成 USDT 背後核心戰略