index
index
Le guide pour les débutants
Commencer
Cours
Articles
ToutAltcoinsBitcoinBlockchainDeFiEthereumMetaverseNFTTradingTutorielFuturesTrading BotsBRC-20GameFiDAOTendances macroPortefeuillesInscriptionTechnologieMemeIASocialFiDePinStablecoinStaking LiquideFinanceRWABlockchains modulairesZéro-Knowledge Proof RestakingOutils crypto AirdropProduits GateSécuritéAnalyse de projet CryptoPulseRechercheL'écosystème TONLayer 2 SolanaPaiementsMiningSujets d'actualitéP2PL'écosystème SuiAbstraction de chaîneOptionLectures rapidesVidéoRapport Journalier
Glossaire
Rechercher
Mes favoris
Creator Incentive
Les activités en cours
Coin des créateurs
Ambassadeur du campus
Festival des créateurs vidéo
Défi journalier d'étude
Hotspot Check-In
Learn
Le vol d’actifs frappe à nouveau : comment NaviGate.io la forêt sombre ?

Le vol d’actifs frappe à nouveau : comment NaviGate.io la forêt sombre ?

Débutant
Analyse de projet
11/19/2024, 4:02:29 AM
Le fondateur de DEXX, Roy, a déclaré que les pertes des utilisateurs seraient compensées, et plusieurs utilisateurs ont signalé que leurs actifs avaient été isolés à des adresses sécurisées. Cependant, dans des incidents similaires passés, les cas où les fonds ont été récupérés avec succès et où les utilisateurs ont été compensés de manière satisfaisante ont été rares.

Le 16 novembre, les actifs des utilisateurs sur le terminal de trading on-chain DEXX ont été volés, entraînant des ventes importantes à court terme de plusieurs jetons mèmes et diminuant considérablement l'enthousiasme du marché des mèmes. Selon des estimations incomplètes de la communauté, l'incident DEXX a touché plus de 500 victimes indépendantes, les pertes étant estimées à environ 13 millions de dollars.
Le fondateur de DEXX, Roy, a déclaré que les pertes des utilisateurs seraient compensées, et plusieurs utilisateurs ont signalé que leurs actifs avaient été isolés vers des adresses sécurisées. Cependant, dans des incidents similaires passés, les cas de récupération réussie des fonds et de compensation satisfaisante des utilisateurs ont été rares.

Vulnérabilité de sécurité — Clés privées

Suite au vol de DEXX, la communauté a commencé à réexaminer cette plateforme de trading spécifique aux memes.
L'audit de DEXX a été réalisé par Certik, qui a attribué à DEXX la note de 59,31, une note insuffisante mettant en évidence 9 risques. Le risque principal, la "centralisation", est resté irrésolu ; deux des quatre risques de niveau moyen, y compris le "code vulnérable", n'ont toujours pas été traités ; et sur les quatre risques de niveau bas, un seul avait été résolu.

Précédemment, DEXX prétendait utiliser un portefeuille non-custodial pour le stockage des clés privées. Cependant, les observations de la communauté ont révélé que DEXX gérait en réalité les clés privées des utilisateurs à travers des méthodes centralisées.
Le fondateur de SlowMist, Yu Jian, a noté : « Les utilisateurs affectés étaient ceux impliqués dans le trading de jetons mèmes sur DEXX. Les clés privées étaient gérées de manière centralisée par DEXX et ont définitivement fuité, bien que la méthode de la fuite soit encore sous enquête.
De plus, la communauté a découvert que lors de l'exportation de clés privées via des outils de développement, les clés privées de DEXX étaient affichées en clair, ce qui signifie qu'elles étaient réellement stockées sur les serveurs officiels. Si la communication n'était pas chiffrée, les attaquants pouvaient intercepter les clés privées des utilisateurs pendant la transmission. Même avec une transmission HTTPS, le transfert direct des clés privées pourrait entraîner des violations de données en raison de vulnérabilités du navigateur ou d'autres problèmes de sécurité.
Que l'incident soit finalement considéré comme une attaque de pirate informatique ou un acte répréhensible interne, il est évident que DEXX a fonctionné avec la mentalité selon laquelle "les utilisateurs ne comprennent pas, sont facilement trompés et se fichent de savoir si les clés privées sont réellement non dépositaires." Bien que nous ne puissions pas contrôler les attitudes ou actions des équipes de projet, nous pouvons adopter des principes pour minimiser nos pertes dans des incidents similaires. Sans une gestion stricte des risques de ses propres actifs, il n'y a aucune garantie de sécurité des fonds.

Comment vous protéger

Portefeuilles avec garde vs Portefeuilles sans garde

Choisir un moyen sécurisé de stocker des actifs commence par sélectionner un portefeuille fiable en fonction de vos besoins. Les portefeuilles de crypto-monnaie grand public peuvent être classés en portefeuilles garde et non-garde en fonction de l'endroit où les clés privées sont stockées.

Portefeuilles de garde

Les portefeuilles de crypto-monnaie sous garde stockent des actifs au nom des utilisateurs. Cela signifie qu'un tiers détient et gère les clés privées. Par conséquent, les utilisateurs ne peuvent pas avoir un contrôle complet sur leurs fonds ou signer des transactions. Lors du choix d'un fournisseur de services de garde, tenez compte de facteurs tels que le statut réglementaire, les types de services, les méthodes de stockage des clés privées et la fourniture d'une assurance.

Portefeuilles Non-Custodial

Les portefeuilles de cryptomonnaie non-custodiaux donnent aux utilisateurs un contrôle total sur leurs clés privées. Ce type de portefeuille convient à ceux qui souhaitent avoir un contrôle complet sur leurs fonds. Sans intervention d'intermédiaire, les utilisateurs peuvent échanger directement des cryptomonnaies depuis leurs portefeuilles. Cependant, cela signifie également que les utilisateurs assument l'entière responsabilité de leurs clés, faisant face à des risques tels que la perte et les attaques.

Ségrégation des actifs

Tout comme vous ne mettriez pas tous vos œufs dans le même panier, il est important de ségréGate.io efficacement vos actifs. Voici une approche standard de stockage d'actifs :

  1. Portefeuille chaud : Utilisé pour des interactions fréquentes, ce portefeuille ne devrait pas stocker de grandes quantités d'actifs, juste assez pour couvrir les frais de gaz. Ce portefeuille est adapté pour saisir des opportunités mais devrait être configuré pour contrôler les pertes potentielles lors d'attaques de hameçonnage.
  2. Portefeuille Chaud: Un portefeuille isolé pour les actifs avec des interactions moins fréquentes, tels que ceux utilisés pour le staking. Il permet des transactions mais à une fréquence moindre que le portefeuille chaud, réduisant ainsi le risque de fuites de clés.
  3. Portefeuille froid : Les gros actifs doivent être stockés dans un portefeuille matériel (stockage à froid) qui n'interagit pas en ligne.

Recommandations de sécurité

  1. Soyez sceptique à l'égard des recommandations non sollicitées; faites toujours vos propres recherches sur les mécanismes du produit. Utilisez des robots de trading qui ne stockent pas les clés privées sur des serveurs.
  2. Optez pour des robots de trading avec des opérations de longue date et des équipes professionnelles.
  3. Évitez de cliquer sur des liens inconnus ou de répondre à des messages dans les groupes Telegram.
  4. Transférez de grosses sommes vers un portefeuille distant après les transactions, quel que soit l'outil utilisé.

Rappel : Il y a eu des signalements de tentatives d'hameçonnage ciblant les victimes de DEXX, telles que des "groupes de soutien aux victimes", des "enregistrements de vol de DEXX" ou des offres de "compensation DEXX". Les utilisateurs doivent être prudents, éviter de télécharger des clés privées ou des phrases de récupération, et ne pas connecter leurs portefeuilles pour des confirmations afin d'éviter tout préjudice supplémentaire.

* Les informations ne sont pas destinées à être et ne constituent pas des conseils financiers ou toute autre recommandation de toute sorte offerte ou approuvée par Gate.io.
* Cet article ne peut être reproduit, transmis ou copié sans faire référence à Gate.io. Toute contravention constitue une violation de la loi sur le droit d'auteur et peut faire l'objet d'une action en justice.

Partager

Contenu

Vulnérabilité de sécurité — Clés privées

Comment vous protéger

Le vol d’actifs frappe à nouveau : comment NaviGate.io la forêt sombre ?

Débutant11/19/2024, 4:02:29 AM
Le fondateur de DEXX, Roy, a déclaré que les pertes des utilisateurs seraient compensées, et plusieurs utilisateurs ont signalé que leurs actifs avaient été isolés à des adresses sécurisées. Cependant, dans des incidents similaires passés, les cas où les fonds ont été récupérés avec succès et où les utilisateurs ont été compensés de manière satisfaisante ont été rares.
Analyse de projet

Vulnérabilité de sécurité — Clés privées

Comment vous protéger

Le 16 novembre, les actifs des utilisateurs sur le terminal de trading on-chain DEXX ont été volés, entraînant des ventes importantes à court terme de plusieurs jetons mèmes et diminuant considérablement l'enthousiasme du marché des mèmes. Selon des estimations incomplètes de la communauté, l'incident DEXX a touché plus de 500 victimes indépendantes, les pertes étant estimées à environ 13 millions de dollars.
Le fondateur de DEXX, Roy, a déclaré que les pertes des utilisateurs seraient compensées, et plusieurs utilisateurs ont signalé que leurs actifs avaient été isolés vers des adresses sécurisées. Cependant, dans des incidents similaires passés, les cas de récupération réussie des fonds et de compensation satisfaisante des utilisateurs ont été rares.

Vulnérabilité de sécurité — Clés privées

Suite au vol de DEXX, la communauté a commencé à réexaminer cette plateforme de trading spécifique aux memes.
L'audit de DEXX a été réalisé par Certik, qui a attribué à DEXX la note de 59,31, une note insuffisante mettant en évidence 9 risques. Le risque principal, la "centralisation", est resté irrésolu ; deux des quatre risques de niveau moyen, y compris le "code vulnérable", n'ont toujours pas été traités ; et sur les quatre risques de niveau bas, un seul avait été résolu.

Précédemment, DEXX prétendait utiliser un portefeuille non-custodial pour le stockage des clés privées. Cependant, les observations de la communauté ont révélé que DEXX gérait en réalité les clés privées des utilisateurs à travers des méthodes centralisées.
Le fondateur de SlowMist, Yu Jian, a noté : « Les utilisateurs affectés étaient ceux impliqués dans le trading de jetons mèmes sur DEXX. Les clés privées étaient gérées de manière centralisée par DEXX et ont définitivement fuité, bien que la méthode de la fuite soit encore sous enquête.
De plus, la communauté a découvert que lors de l'exportation de clés privées via des outils de développement, les clés privées de DEXX étaient affichées en clair, ce qui signifie qu'elles étaient réellement stockées sur les serveurs officiels. Si la communication n'était pas chiffrée, les attaquants pouvaient intercepter les clés privées des utilisateurs pendant la transmission. Même avec une transmission HTTPS, le transfert direct des clés privées pourrait entraîner des violations de données en raison de vulnérabilités du navigateur ou d'autres problèmes de sécurité.
Que l'incident soit finalement considéré comme une attaque de pirate informatique ou un acte répréhensible interne, il est évident que DEXX a fonctionné avec la mentalité selon laquelle "les utilisateurs ne comprennent pas, sont facilement trompés et se fichent de savoir si les clés privées sont réellement non dépositaires." Bien que nous ne puissions pas contrôler les attitudes ou actions des équipes de projet, nous pouvons adopter des principes pour minimiser nos pertes dans des incidents similaires. Sans une gestion stricte des risques de ses propres actifs, il n'y a aucune garantie de sécurité des fonds.

Comment vous protéger

Portefeuilles avec garde vs Portefeuilles sans garde

Choisir un moyen sécurisé de stocker des actifs commence par sélectionner un portefeuille fiable en fonction de vos besoins. Les portefeuilles de crypto-monnaie grand public peuvent être classés en portefeuilles garde et non-garde en fonction de l'endroit où les clés privées sont stockées.

Portefeuilles de garde

Les portefeuilles de crypto-monnaie sous garde stockent des actifs au nom des utilisateurs. Cela signifie qu'un tiers détient et gère les clés privées. Par conséquent, les utilisateurs ne peuvent pas avoir un contrôle complet sur leurs fonds ou signer des transactions. Lors du choix d'un fournisseur de services de garde, tenez compte de facteurs tels que le statut réglementaire, les types de services, les méthodes de stockage des clés privées et la fourniture d'une assurance.

Portefeuilles Non-Custodial

Les portefeuilles de cryptomonnaie non-custodiaux donnent aux utilisateurs un contrôle total sur leurs clés privées. Ce type de portefeuille convient à ceux qui souhaitent avoir un contrôle complet sur leurs fonds. Sans intervention d'intermédiaire, les utilisateurs peuvent échanger directement des cryptomonnaies depuis leurs portefeuilles. Cependant, cela signifie également que les utilisateurs assument l'entière responsabilité de leurs clés, faisant face à des risques tels que la perte et les attaques.

Ségrégation des actifs

Tout comme vous ne mettriez pas tous vos œufs dans le même panier, il est important de ségréGate.io efficacement vos actifs. Voici une approche standard de stockage d'actifs :

  1. Portefeuille chaud : Utilisé pour des interactions fréquentes, ce portefeuille ne devrait pas stocker de grandes quantités d'actifs, juste assez pour couvrir les frais de gaz. Ce portefeuille est adapté pour saisir des opportunités mais devrait être configuré pour contrôler les pertes potentielles lors d'attaques de hameçonnage.
  2. Portefeuille Chaud: Un portefeuille isolé pour les actifs avec des interactions moins fréquentes, tels que ceux utilisés pour le staking. Il permet des transactions mais à une fréquence moindre que le portefeuille chaud, réduisant ainsi le risque de fuites de clés.
  3. Portefeuille froid : Les gros actifs doivent être stockés dans un portefeuille matériel (stockage à froid) qui n'interagit pas en ligne.

Recommandations de sécurité

  1. Soyez sceptique à l'égard des recommandations non sollicitées; faites toujours vos propres recherches sur les mécanismes du produit. Utilisez des robots de trading qui ne stockent pas les clés privées sur des serveurs.
  2. Optez pour des robots de trading avec des opérations de longue date et des équipes professionnelles.
  3. Évitez de cliquer sur des liens inconnus ou de répondre à des messages dans les groupes Telegram.
  4. Transférez de grosses sommes vers un portefeuille distant après les transactions, quel que soit l'outil utilisé.

Rappel : Il y a eu des signalements de tentatives d'hameçonnage ciblant les victimes de DEXX, telles que des "groupes de soutien aux victimes", des "enregistrements de vol de DEXX" ou des offres de "compensation DEXX". Les utilisateurs doivent être prudents, éviter de télécharger des clés privées ou des phrases de récupération, et ne pas connecter leurs portefeuilles pour des confirmations afin d'éviter tout préjudice supplémentaire.

* Les informations ne sont pas destinées à être et ne constituent pas des conseils financiers ou toute autre recommandation de toute sorte offerte ou approuvée par Gate.io.
* Cet article ne peut être reproduit, transmis ou copié sans faire référence à Gate.io. Toute contravention constitue une violation de la loi sur le droit d'auteur et peut faire l'objet d'une action en justice.
Lancez-vous
Inscrivez-vous et obtenez un bon de
100$
!