Am 16. November wurden Benutzervermögen des On-Chain-Handelsterminals DEXX gestohlen, und mehrere Meme-Coins erlitten heute Morgen für kurze Zeit große Verluste. Derzeit hat das Sicherheitsunternehmen den genauen gestohlenen Betrag noch nicht ermittelt. In der Community gibt es Gerüchte, dass die verlorenen Vermögenswerte mehr als 16 Millionen US-Dollar erreicht haben.
DEXX-Gründer Roy sagte heute Morgen, dass er die Nutzer für ihre Verluste entschädigen werde. Bisher haben viele Nutzer berichtet, dass Kontovermögen auf sichere Adressen isoliert wurden.
DEXX-Sicherheitslücke
Nach dem DEXX-Diebstahl begann die Community, diese exklusive Meme-Handelsplattform zu untersuchen, die mit Rabattlinks überschwemmt worden war, und auch KOLs, die für DEXX warben, wurden von den Benutzern verärgert.
Yu Xian, der Gründer der Sicherheitsagentur SlowMist, sagte: „Die gestohlenen Daten stehen im Zusammenhang mit der Verwendung von DEXX für Marketing-/MEME-Spekulationen. Der private Schlüssel gehört zur zentralen Verwahrung von DEXX und muss durchgesickert sein. Was die Leckmethode und andere Ermittlungsoffenlegungen betrifft.“
Die Community hat festgestellt, dass gemäß den export_wallet-Anforderungsinformationen in den Entwicklertools beim Exportieren des privaten DEXX-Schlüssels der private Schlüssel im Klartext dargestellt wurde, was bedeutet, dass sich der private Schlüssel des Benutzers tatsächlich auf dem offiziellen Server befindet. Wenn die Kommunikation nicht verschlüsselt ist, kann ein Angreifer den privaten Schlüssel des Benutzers während des Übertragungsvorgangs abfangen. Selbst wenn eine HTTPS-Übertragung verwendet wird, kann die direkte Übertragung des privaten Schlüssels aufgrund von Browser-Schwachstellen oder anderen Sicherheitsproblemen zu einem Verlust privater Daten führen.
Daher scherzten einige Benutzer, dass „DEXX nicht verwahrte Geldbörsen neu definiert.“
Darüber hinaus gab die Wallet-Anwendung OneKey an, dass DEXX wiederholt um die Erlaubnis gebeten habe, „Inhalte aus der Zwischenablage des Benutzers hochzuladen“, und möglicherweise die Inhalte aus der Zwischenablage des Benutzers hochgeladen habe. „Wenn Sie die mnemonische Phrase des privaten Schlüssels auf Ihr Telefon kopiert haben, übertragen Sie die Vermögenswerte so schnell wie möglich.“
Die Prüfung von DEXX wurde von Certik durchgeführt, dessen Prüfbericht ergab, dass DEXX 59,31 Punkte erreichte. Diese unbefriedigende Punktzahl bedeutet, dass nicht weniger als 9 Risiken bestehen. Darunter wurde das Hauptrisiko der „Zentralisierung“ nicht behoben; von den vier mittleren Risiken wurden zwei behoben und zwei nicht behoben, darunter „anfälliger Code“; und es gibt vier kleinere Risiken, von denen nur eines behoben wurde.
Einige Benutzer sagten, dass DEXX und verschiedene Trading-Bots in Sachen Sicherheit nackt seien, und das Projektteam konzentrierte sich ausnahmslos auf dieselbe Mentalität – „Benutzer verstehen es sowieso nicht oder kümmern sich nicht darum, und es gibt glückliche Kollegen, die dasselbe tun, aber noch nicht erwischt wurden. Piraten, wenn mir das egal ist, muss ich eine Menge F&E-Kosten und Benutzererfahrung bezahlen, also muss ich mich darum nicht kümmern.“
Relevant ist die Tatsache, dass sowohl BananaGun als auch Unibot bereits zuvor Diebstahlrisiken ausgesetzt waren. Bei On-Chain-Transaktionen gilt weiterhin „Nicht Ihre Schlüssel, nicht Ihr Geld“.
Aktuelle Informationen und Ermittlungsfortschritt
11-16 14:12
Laut der Sicherheitsüberwachung von GoPlus wurden Phishing-Betrügereien im Zusammenhang mit Rechteschutz und Entschädigungen wie „Rights Protection Community“, „DEXX Stolen Registration“ und „DEXX Compensation“ speziell für DEXX-gestohlene Benutzer entdeckt. Benutzer müssen beim Identifizieren vorsichtig sein und dürfen niemals private Schlüssel/Mnemonikphrasen hochladen oder sich zur Bestätigung mit Wallets verbinden, um sekundären Schaden zu vermeiden.
11-16 14:02
Yu Xian, Gründer von Slow Mist, hat in den sozialen Medien ein Update zum DEXX-Vorfall veröffentlicht und erklärt, dass Slow Mist fast 500 Anfragen nach Informationen zum Diebstahl von DEXX erhalten habe. Die Analyse des Vorfalls ist noch im Gange und die vorläufige Einschätzung geht derzeit davon aus, dass der Schaden mehrere zehn Millionen Dollar beträgt. (Da die Preise einiger Meme-Münzen zu stark schwanken) ist die Adresse des Angreifers bei fast jedem Opfer unterschiedlich, was darauf hindeutet, dass der Angreifer bei diesem Vorfall schon seit langem vorsätzlich handelt und die entsprechende Gasquelle vor 3 Tagen über XMR ausgetauscht wurde.
11-16 13:27
Das Blockchain-Sicherheitsprüfungsunternehmen CertiK gab in einer Erklärung bekannt, dass es in letzter Zeit eine große Anzahl von Hilfeanfragen von Benutzern der DEXX-Plattform erhalten habe, die berichteten, dass ihre Kontoguthaben geleert worden seien. CertiK bestätigte, dass der Sicherheitsvorfall in der Solana-Kette aufgetreten sei, die Kette war jedoch nicht von der Prüfung durch CertiK abgedeckt.
CertiK gab an, dass die Hauptursache des Vorfalls eine unsachgemäße Verwaltung des privaten Schlüssels der DEXX-Plattform war, die zum Durchsickern des offiziellen privaten Schlüssels führte.
11-16 12:30
Yu Xian, Gründer von SlowMist, veröffentlichte in den sozialen Medien eine Antwort auf die entsprechenden Screenshots von „DEXX-Benutzer haben insgesamt 488 Millionen US-Dollar gestohlen“ im Internet und sagte, dass die Hackeradressen der einzelnen Opfer im DEXX-Fall unterschiedlich seien und die gestohlenen Gelder nicht dieselben seien.
Meme-Preis-Update
11-16 08:56
Laut GMGN-Marktdaten ist der Rückgang von Memes wie BAN, LUCE und PNUT möglicherweise auf den Diebstahl von DEXX zurückzuführen und kann in unterschiedlichem Ausmaß auftreten. Dazu zählen:
· BAN ist seit dem Vorfall um etwa 30 % gefallen und wird nun bei 0,126 $ notiert.
· LUCE ist seit dem Vorfall um etwa 20 % gefallen und notiert nun bei 0,211 $
· PNUT ist seit dem Vorfall um bis zu 12,5 % gefallen und notiert aktuell bei 1,72 USD
Quellenlink
<p>Der Beitrag Ist es Selbstdiebstahl oder Hacker? Verfolgung des Diebstahls von DEXX | Timeline erschien zuerst auf CoinBuzzFeed.</p>
