2024年11月16日,DEXX平台遭遇嚴重安全事件,導致高達4億美元的資產被盜,多個meme幣的價格因拋售壓力而暴跌。攻擊主要因私鑰管理不當,用戶私鑰未加密貨幣儲存在官方伺服器上,揭露用戶資金風險。此事件引發用戶的強烈質疑,認為DEXX有監守自盜的嫌疑。創辦人在社群媒體上表示將補償用戶損失,但社群對此反應冷淡。此事件突顯去中心化平台在功能與安全性之間的矛盾,用戶需謹慎選擇交易平台,確保自身資產安全。
活動概覽
2024年11月16日凌晨,鏈上交易終結DEXX重大安全事件,資產被盜,涉及金額高達4億美元。多個meme幣因此引發拋售壓力,價格大幅下跌。用戶攻擊者採取一對一交易來逃避追踪,目前接受地址已歸集。
這次攻擊波及多鏈,不僅影響DEXX平台用戶資產,也對整個meme社群產生廣泛影響,再次凸顯去中心化平台在功能與安全性之間的矛盾,揭示了用戶資金管理中存在的嚴重問題。
DEXX專注於Memecoin的全鏈交易平台,支援SOL、ETH、TRX、BASE、BSC等多鏈資產交易,並提供鏈上移動停損、熱點活躍、單跟交易等功能。 Banana Gun、Unibot等成熟的全鏈交易平台,DEXX主打的變異化就是絲滑,甚至坐擁鏈上幣安的美稱,但此次事件暴露了DEXX在追求功能創新時,關注了對安全機制的嚴密建置、這種重功能輕安全的做法為此次用戶資金被竊事件埋下了隱患。
安全漏洞分析
根據慢霧創辦人餘弦調查,DEXX 事件的主要原因在於私鑰管理不當。用戶私鑰以明文形式儲存在官方伺服器上,且傳輸過程中缺乏足夠的加密貨幣保護。這意味著攻擊者可能在傳輸過程中截獲使用者私鑰這種,首次取得資產存取權限。私鑰管理方式明顯不符合行業對去中心化安全的基本要求,因此被批評為“形同託管”,大幅增加了用戶資產被盜的風險。
另外,DEXX 平台的App 發現重複增加使用者請求截取板權限。若用戶曾在板中複製私鑰或助記詞,這些資訊極有可能在無意中傳送至平台,發生了敏感資訊外洩風險。對於用戶而言,這些隱私資料的外洩無疑會導致資產安全受到嚴重威脅,這種對用戶資訊保護的關注令人擔憂。
更多者,部分用戶早在幾個月前就反映,平台就出現私自轉移少量代幣的現象。由於金額較小,許多用戶反應在意,直到大規模被盜事件才發現潛在問題另外,事件發生在幾天前,已有用戶發現自己的帳戶在提時受到限制,某些特定幣種無法成功提現,這些現象現在看來可能是預謀犯案的方式。
DEXX的安全審計由CertiK完成,但得分分數59.31分,有9項風險,其中「中心化管理」這一主要風險未解決。次事件因官方私鑰管理不當,導致私鑰洩漏並且最終用戶資金被盜。 CertiK的審計報告雖然警惕了存在的風險,但由於專案方沒有徹底解決這些問題,最終導致了這次事故的發生。用戶私鑰儲存方式的不當和對私鑰保護的不當措施的缺乏,成為本次事故的核心誘因。
根據社群用戶回饋,本次攻擊中,駭客採用了批量創建新錢包的策略來轉移被盜資產,顯然是為了最大限度地避免追蹤。駭客不僅在資金操作上十分精細,還提出了選擇攻擊時間——在中國用戶熟睡的凌晨四點五點發動攻擊。這顯示駭客對平台使用者群體以及目標使用者的生理時鐘非常了解,極有可能是中國人。然而,DEXX官方事後僅發布了一張英文告示,似乎引導用戶認為駭客是國外勢力,這種模糊表態進一步加深了用戶的質疑。
官方回應
事件發生當天早晨,DEXX創辦人Roy在社群媒體上表示將補償用戶損失,並對物質部分用戶的資產進行了隔離處理。然而,Roy顯然公佈了具體被隔離的帳戶,且社區就此未買帳許多用戶質疑DEXX是監守自盜甚至蓄意跑路,謾罵聲此起彼伏。
公開資料顯示dexx.ai的服務由以下主體提供:
DEXX LTD 是一家註冊於美國科羅拉多州的公司,以DEXX 品牌運營,適用於美國境內獲得批准的運營地點的居民; DEXX Bahamas Limited,一家註冊在巴哈馬的公司,適用於墨西哥居民用戶,及於2023年8月29日後註冊的機構用戶; DEXX SG Ltd.,一家在新加坡註冊的公司,適用於註冊的新加坡居民用戶; DEXX Ltd.,一家註冊於馬紹爾群島的公司,適用於有資格訪問並使用DEXX所有其他服務的使用者;株式會社DEXX,一家註冊於日本東京的公司,適用於註冊的日本居民用戶; DEXX Ltd, 註冊於香港特別行政區的公司,適用於註冊的香港居民用戶。
4億的損失,DEXX面臨團隊的償債能力令人質疑。官方最新消息稱已經取得一定進展,希望用戶留言錢包地址並@SOL官方,以此施壓,獲得更多幫助。
社區罵街,KOL快速切割
在被盜的第一時間,社區團結起來開始自救,在各個維權群體中形成了一份“Dexx被盜客戶損失統計表”,同時在鏈上分析師與安全團隊分析了黑客作案手法,初步結論為涉案金額達4.6億美元,且大量創建了接受地址,使用一趟增加了追蹤難度。自此社群媒體和Telegram群內部罵聲一片,目前主流觀點認為此事件屬於大眾監守自盜。
此外,多個Meme幣因大額拋售導致價格大幅下跌,其中LUCE、PNUT等幣種週末最大跌幅分別達41%和34%。被盜資產類似懸於市場上方的達摩克利斯之劍,特別是對MEME 來說,這些資金隨時可能被拋售,帶來進一步的價格暴跌。
DEXX在快速崛起的過程中,關注KOL的大力推廣。為了用戶獲取,DEXX提供高達手續費50%-60%的返傭,吸引眾多KOL紛紛月台背書。知情人士爆料頭部KOL月返傭收益高達4萬刀,在利益的驅使下,甚至很多KOL在私域社群會發表言論活躍的按頭式推薦大家使用DEXX:「難用也用,好用也用,沒條件創造條件用”,某種程度上講,這種病毒式的營銷實際上會帶來後續的悲劇。
但是,一件事一爆發,這些KOL立刻就撇清關係,甚至把之前的推廣內容都刪了個乾淨。有用戶統計稱:大大小小約30多位KOL參與了DEXX的宣傳,而能直面錯誤沒有刪掉推文的只剩下不到5位,剩下的KOL不是在裝死就是在賣慘抑鬱。
這次事件再次證明,只要有高收益的誘惑,平台和推廣者就很容易昏了頭,重視風險,最後倒楣的還是普通用戶。現在監管不到位,KOL和平台更應該負起責任來。注重推廣產品賺錢,也要確保用戶的錢袋安全,平台營運穩定才行。
安全建議
DEXX被盜事件為鏈上操作和資產管理敲響了警鐘。在Meme領域尤甚,用戶常為了短期高收益而重視平台安全性。為避免“一夜回到解放前”,以下是一些安全建議:
嚴肅對待推薦:深入研究產品的安全機制,優先不在伺服器儲存私鑰的工具。對高收益承諾保持清醒,避免用藥膏陷阱。 選擇經驗豐富的平台:使用操作時間長、團隊實力強、無安全事故記錄的工具和BOT。 更新平台的過往表現和使用者回饋,以降低風險。 防禦釣魚攻擊:在Telegram群組中點擊陌生連結或回覆私訊。許多釣魚攻擊透過社群媒體實施,保持警報並質疑資訊來源是保護資產的關鍵。 資產自託管:大額交易後,及時將資產轉至自架錢包。這能有效規避第三方平台帶來的安全隱患,是保障資金安全的最佳選擇。
另外,選擇交易平台時,重點關注其安全審計結果和私鑰管理方式。所有涉及資金管理的項目都需要嚴格的安全保障,以確保用戶的數位資產不會因平台管理流失而損失。
寫在最後
這次DEXX再次事件揭示了鏈上交易的高風險性,也對去中心化託管提出了深刻質疑。使用者必須認識到「不是你的鑰匙,不是你的錢」的重要性,謹慎選擇交易平台和資產管理方式,才能更好地保護自己的數位資產。隨著安全機構的深入調查,希望能夠盡快找到問題根源,並為受害者提供相應的賠償。
雖然加密貨幣世界充滿了機遇,但也同樣存在巨大的風險。每個交易者都需要更加清醒,不能因為短期利益而忽略潛在的危險。對於平台和KOL來說,也應該在追求利益的同時承擔起相應的保障,畢竟用戶的信任是最寶貴的資產。如果沒有安全,所謂的繁榮也不過是泡沫而已。希望未來的加密貨幣世界裡,平台、KOL、使用者共同建立一個更安全、更安全透明的環境,真正實現去中心化的理想。
資訊來源:0x資訊編譯自網際網路。版權歸作者Luke所有,未經許可,不得轉載