内部者またはハッカーによる盗難ですか? DEXX 盗難を追跡 |タイムライン

11月16日、オンチェーン取引端末DEXXのユーザー資産が盗まれ、今朝早く、複数のミームコインが短期間で大規模な暴落を経験した。警備会社は盗まれた金銭の正確な金額をまだ確定していないが、コミュニティ内では、現在失われた資産の額は1600万ドル以上に達しているという噂がある。

DEXXの創設者ロイ氏は今朝、ユーザーの損失は補償されるだろうと語った。これまでのところ、多くのユーザーから、アカウント資産が安全なアドレスに隔離されたとの報告があります。

DEXX セキュリティ脆弱性

DEXXの盗難後、コミュニティは、リベートリンクで溢れかえっていたこのミーム限定の取引プラットフォームを精査し始め、DEXXを宣伝していたKOLもユーザーから怒りを買った。

セキュリティ会社スローミスト創設者の于賢氏は「金を盗まれた人々は、DEXXを使って金儲けやMEMEの投機をしていた人たちと関係がある。秘密鍵はDEXXが集中管理していたため、流出したに違いない。流出の経緯については調査し、公表する」と述べた。

コミュニティは、開発者ツールの export_wallet リクエスト情報によると、DEXX 秘密鍵をエクスポートすると、秘密鍵がプレーンテキストで表示されることを発見しました。これは、ユーザーの秘密鍵が実際には公式サーバー上にあることを意味します。通信が暗号化されていない場合、攻撃者は送信中にユーザーの秘密鍵を傍受する可能性があります。送信に HTTPS が使用されている場合でも、秘密鍵を直接送信すると、ブラウザの脆弱性やその他のセキュリティ上の問題によりプライバシーデータが漏洩する可能性があります。

そのため、一部のユーザーは「DEXX は非管理型ウォレットを再定義する」と冗談めかして言っていました。

さらに、ウォレットアプリOneKeyは、DEXXが繰り返し「ユーザーのクリップボードの内容をアップロードする」許可を求めており、ユーザーのクリップボードの内容をアップロードした可能性があるとして、「秘密鍵のニーモニックを携帯電話にコピーしている場合は、できるだけ早く資産を転送してください」と警告した。

DEXX の監査は Certik によって完了し、その監査レポートでは DEXX のスコアが 59.31 ポイントであることが示されました。この不合格スコアは、最大 9 つのリスクを意味します。その中で、「中央集権化」という大きなリスクは解決されていません。中程度のリスク 4 件のうち、2 件は解決済み、2 件は未解決であり、「脆弱なコード」もその 1 つです。軽微なリスクが 4 つありますが、そのうち解決されているのは 1 つだけです。

一部のユーザーは、DEXX やさまざまな取引ボットはセキュリティの面でまったく無防備だと述べています。プロジェクトオーナーは例外なく、同じ考え方を持っています。「ユーザーはとにかく理解しないし、気にも留めない。同じことをしているのに盗まれていない幸運な仲間もいる。気にするなら、研究開発費やユーザーエクスペリエンス費を多く支払わなければならないので、気にする必要はない。」

BananaGun と Unibot が以前に盗難リスクを経験したことを考慮すると、オンチェーン取引のルールは依然として「鍵がなければお金もない」です。