資產被盜事件再現,如何在黑暗森林中前行?
11 月 16 日,鏈上交易終端 DEXX 的用戶資產被盜,多個 Meme 幣短時經歷大額砸盤,Meme 市場熱情受到極大打擊。據社區不完全估計,預計 DEXX 事件有超 500 名獨立受害者,損失約爲 1300 萬美元。
DEXX 創始人 Roy 表示將會補償用戶損失,多位用戶反應帳戶資產已被隔離至安全地址。但在以往的類似事件中,成功追回資金並滿意地補償用戶的案例幾乎沒有。
安全漏洞——私鑰
DEXX 被盜事件發生後,社區才開始重新審視這個 Meme 專屬交易平台。
DEXX 的審計由 Certik 完成,其給出的審計報告中顯示 DEXX 得分爲 59.31 分,這一不及格的分數意味着多達 9 項風險。其中「中心化」這個主要風險未解決;四個中度風險兩個已解決兩個未解決,包括「易受攻擊代碼」;還有四項輕度風險,只解決了其中一個。
DEXX 此前宣稱平台的私鑰保存方式爲非托管式錢包,但經社區觀察,DEXX 實際上通過中心化手段掌握了用戶私鑰:
安全機構慢霧創始人餘弦表示,「被盜人羣與用 DEXX 做衝土狗/炒 MEME 有關,私鑰屬於 DEXX 中心化托管,肯定泄露了,至於泄露方式等調查披露。」
此外,社區發現,根據開發者工具中的 export_wallet 請求信息,在導出 DEXX 私鑰時,私鑰以明文形式呈現,意味着用戶私鑰實際上在官方服務器上。如果通信未進行加密保護,攻擊者可能在傳輸過程中截獲用戶的私鑰,即使採用 HTTPS 傳輸,私鑰直接傳輸也可能因瀏覽器漏洞或其他安全問題導致隱私數據泄露。
無論是最後結局調查出來,是黑客攻擊、還是監守自盜,我們都可以看出,DEXX 抱着一個心態——「用戶看不懂,容易輕信,不在意是否真是爲私鑰非托管方式」。項目方的態度和做事我們無法掌控,但我們可以改ton一些準則來減少類似事件發生時受到的損失。沒有對自己資產風險的嚴格把控,就不存在資金的可靠保障。
如何防範
托管與非托管錢包
想要選擇安全的保管資產,首先要依據自己需求選擇可信錢包。主流加密錢包可依據私鑰存儲地點分爲托管型錢包和非托管型錢包。
托管型錢包
托管型加密貨幣錢包是爲用戶托管資產的錢包。這意味着第三方代表用戶持有和保管私鑰。這也意味着,用戶無法全盤掌控自己的資金,也無法對交易籤名。在選擇托管服務供應商時,需要考慮以下方面:是否受到監管、提供的服務類型、私鑰存儲方式以及是否提供保險。
非托管型錢包
非托管型加密貨幣錢包是指只有持有者掌控私鑰。此類錢包適合希望完全掌控資金的用戶。沒有中間機構的幹預,用戶可以直接從錢包中交易加密貨幣。同時這也意味着用戶要對密鑰承擔全部責任,並且面對丟失和攻擊等風險。
資產隔離
不將雞蛋放在同一個籃子中,用戶也應該對自己資產做到有效的風險隔離。以下是一個較爲標準的資產存儲方式。
- 熱錢包:經常用於交互的錢包,不輕易存放大量資產,一般放滿足 Gas 需求的資產即可。該錢包可以用於參與機會項目。即使有可能受到了釣魚攻擊,但做到了損失控制。
- 溫錢包:隔離的熱錢包,存放交互頻率相對較少的資產,諸如質押類的項目。該錢包的資產也可隨時進行交互,但是交互的頻率遠低於熱錢包,以此來達到控制私鑰泄漏風險的目的。
- 冷錢包:大額資產最好放在硬體錢包中冷儲存,不通過聯網方式進行交互。
安全建議
- 不輕信他人推薦,DYOR 研究產品機制,建議使用私鑰不存儲在服務器的交易機器人;
- 選擇運營時間較長、團隊專業的交易機器人;
- TG 羣中切勿點擊陌生連接,不要回復相關私信;
- 無論使用任何工具,大額資金交易後建議轉移至冷錢包;
溫馨提示:目前已發現專門針對 DEXX 被盜用戶的「維權社群」、「DEXX 被盜登記」、「DEXX 賠償」等維權和賠付相關的釣魚詐騙。用戶需小心識別,切勿上傳私鑰/助記詞或連接錢包確認,避免二次傷害。
関連記事
資產被盜事件再現,如何在黑暗森林中前行?
11 月 16 日,鏈上交易終端 DEXX 的用戶資產被盜,多個 Meme 幣短時經歷大額砸盤,Meme 市場熱情受到極大打擊。據社區不完全估計,預計 DEXX 事件有超 500 名獨立受害者,損失約爲 1300 萬美元。
DEXX 創始人 Roy 表示將會補償用戶損失,多位用戶反應帳戶資產已被隔離至安全地址。但在以往的類似事件中,成功追回資金並滿意地補償用戶的案例幾乎沒有。
安全漏洞——私鑰
DEXX 被盜事件發生後,社區才開始重新審視這個 Meme 專屬交易平台。
DEXX 的審計由 Certik 完成,其給出的審計報告中顯示 DEXX 得分爲 59.31 分,這一不及格的分數意味着多達 9 項風險。其中「中心化」這個主要風險未解決;四個中度風險兩個已解決兩個未解決,包括「易受攻擊代碼」;還有四項輕度風險,只解決了其中一個。
DEXX 此前宣稱平台的私鑰保存方式爲非托管式錢包,但經社區觀察,DEXX 實際上通過中心化手段掌握了用戶私鑰:
安全機構慢霧創始人餘弦表示,「被盜人羣與用 DEXX 做衝土狗/炒 MEME 有關,私鑰屬於 DEXX 中心化托管,肯定泄露了,至於泄露方式等調查披露。」
此外,社區發現,根據開發者工具中的 export_wallet 請求信息,在導出 DEXX 私鑰時,私鑰以明文形式呈現,意味着用戶私鑰實際上在官方服務器上。如果通信未進行加密保護,攻擊者可能在傳輸過程中截獲用戶的私鑰,即使採用 HTTPS 傳輸,私鑰直接傳輸也可能因瀏覽器漏洞或其他安全問題導致隱私數據泄露。
無論是最後結局調查出來,是黑客攻擊、還是監守自盜,我們都可以看出,DEXX 抱着一個心態——「用戶看不懂,容易輕信,不在意是否真是爲私鑰非托管方式」。項目方的態度和做事我們無法掌控,但我們可以改ton一些準則來減少類似事件發生時受到的損失。沒有對自己資產風險的嚴格把控,就不存在資金的可靠保障。
如何防範
托管與非托管錢包
想要選擇安全的保管資產,首先要依據自己需求選擇可信錢包。主流加密錢包可依據私鑰存儲地點分爲托管型錢包和非托管型錢包。
托管型錢包
托管型加密貨幣錢包是爲用戶托管資產的錢包。這意味着第三方代表用戶持有和保管私鑰。這也意味着,用戶無法全盤掌控自己的資金,也無法對交易籤名。在選擇托管服務供應商時,需要考慮以下方面:是否受到監管、提供的服務類型、私鑰存儲方式以及是否提供保險。
非托管型錢包
非托管型加密貨幣錢包是指只有持有者掌控私鑰。此類錢包適合希望完全掌控資金的用戶。沒有中間機構的幹預,用戶可以直接從錢包中交易加密貨幣。同時這也意味着用戶要對密鑰承擔全部責任,並且面對丟失和攻擊等風險。
資產隔離
不將雞蛋放在同一個籃子中,用戶也應該對自己資產做到有效的風險隔離。以下是一個較爲標準的資產存儲方式。
- 熱錢包:經常用於交互的錢包,不輕易存放大量資產,一般放滿足 Gas 需求的資產即可。該錢包可以用於參與機會項目。即使有可能受到了釣魚攻擊,但做到了損失控制。
- 溫錢包:隔離的熱錢包,存放交互頻率相對較少的資產,諸如質押類的項目。該錢包的資產也可隨時進行交互,但是交互的頻率遠低於熱錢包,以此來達到控制私鑰泄漏風險的目的。
- 冷錢包:大額資產最好放在硬體錢包中冷儲存,不通過聯網方式進行交互。
安全建議
- 不輕信他人推薦,DYOR 研究產品機制,建議使用私鑰不存儲在服務器的交易機器人;
- 選擇運營時間較長、團隊專業的交易機器人;
- TG 羣中切勿點擊陌生連接,不要回復相關私信;
- 無論使用任何工具,大額資金交易後建議轉移至冷錢包;
溫馨提示:目前已發現專門針對 DEXX 被盜用戶的「維權社群」、「DEXX 被盜登記」、「DEXX 賠償」等維權和賠付相關的釣魚詐騙。用戶需小心識別,切勿上傳私鑰/助記詞或連接錢包確認,避免二次傷害。
関連記事