ログイン/ 登録

盗難かハッキングか DEXX盗難の追跡｜タイムライン

2024/11/16 18:22

従う

著者：Rhythmic BlockBeats

11月16日、オンチェーン取引端末であるDEXXのユーザーの資産が盗まれ、いくつかのミームコインが今朝未明に大規模なクラッシュを経験した。セキュリティ会社はまだ盗まれた正確な金額を確定していませんが、コミュニティでは、失われた資産は現在1600万ドル以上に達しているという噂があります。

DEXXの創設者であるロイ氏は今朝、ユーザーの損失を補償すると述べた。

DEXXの創設者であるRoy氏は今朝、ユーザーに対して損失補償を行うと発表しました。

DEXXの創設者であるRoy氏は今朝、ユーザーの損失を補償すると述べました。align: left;">DEXXのセキュリティ侵害

DEXXが盗まれた後、コミュニティはリベートリンクに振り回されていたミームのみの取引プラットフォームを精査し始め、DEXXを宣伝していたKOLもユーザーから怒りを買った。

セキュリティエージェンシーSlow Mistの創設者であるYu Yin氏は、「盗まれたクラウドは、DEXXを使用してパンチ・ザ・ジ・アース・ドッグ/フライMEMEを行うことに関連しており、秘密鍵はDEXXの集中ホスティングに属しているため、調査の公開など流出経路については確実である」と述べた。

コミュニティが発見したところによると、開発者ツールのexport_walletリクエストメッセージによると、DEXX秘密鍵をエクスポートする際、秘密鍵は平文で表示され、ユーザーの秘密鍵が実際には公式サーバーにあることを意味します。通信が暗号化されていない場合、攻撃者は送信中にユーザーの秘密鍵を傍受する可能性があります。また、送信にHTTPSが使用されている場合でも、ブラウザの脆弱性やその他のセキュリティ上の問題により、秘密鍵が直接送信されることで個人情報が漏えいする可能性があります。

「DEXXはアンマネージド・ウォレットを再定義した」と冗談めかして言うユーザーがいるのはこのためです。

また、ウォレットアプリのOneKeyによると、DEXXは "ユーザーのクリップボードの内容をアップロードする "許可を何度も要求しており、ユーザーのクリップボードの内容をアップロードした可能性があるとしている。"携帯電話に秘密鍵のニーモニックをコピーした場合は、できるだけ早く資産を移動してください。"

DEXXの監査はCertikによって行われ、DEXXのスコアは59.31点で、9つものリスクを意味する落第点をつけられました。主なリスクである「集中化」は対処されず、4つの中程度のリスクのうち2つは対処され、「脆弱なコード」を含む2つは未対処であった。

一部のユーザーは、DEXXや様々なトレーディングボットはセキュリティに関しては骨抜きであり、プロジェクトオーナーは必ずと言っていいほど「ユーザーはどうせ理解しないし気にしないし、同じことをやっていてもまだ盗まれていないラッキーな仲間もいる。もし私が気にするなら、多くの研究開発コストとユーザー体験コストを支払わなければならないだろうから、気にする必要はない。"

BananaGunもUnibotも以前盗まれたことがあることにつながると思いますが、オンチェーン取引ではやはり「Not Your Keys, Not Your Money」です。