2024年11月16日,137Labs举办了一场备受瞩目的X Space活动,主题为【DEXX事件引发的安全思考:如何避免加密投资中的“坑”?】。此次活动邀请了加密领域多位资深专家,包括BlockSec创始人Andy、SafePai联合创始人兼CEO Veronica、资深交易员会所哥,以及137Labs研究员OneOne,共同深度探讨近期发生的DEXX安全事件,并为加密投资者提供实用的安全建议。
活动中,嘉宾们回顾了DEXX遭遇的私钥被盗事件,并剖析了此类交易工具在私钥管理与系统设计上的潜在风险。同时,嘉宾们探讨了近年来频发的链上安全事故背后的共同点,揭示了用户如何更科学地管理加密资产、保护个人隐私,以及有效应对新型诈骗手法。讨论涵盖从分仓策略、资金隔离,到使用安全工具和培养良好安全习惯的多重视角,为加密社区带来了深刻的安全启示。
本文将带您回顾这场极具干货的交流,全面解读DEXX事件背后的安全警示,帮助您在复杂多变的加密市场中更好地规避风险、保护资产。
事件回顾
DEXX事件的核心问题集中在其中心化安全漏洞上。OneOne简要回顾了事件经过,指出DEXX是一个为Meme币交易提供优先抢购功能的Bot工具,近期在$ACT等项目引发的市场狂热中用户量激增。然而,11月13日早上,多个用户报告其在Solana链上的资金被盗,调查发现攻击源自DEXX的中心化服务器被黑。
具体而言,DEXX要求用户提交私钥,并将其存储在一个中心化的服务器上。该服务器遭到攻击,攻击者成功获取用户私钥并转移了资产。进一步分析表明,DEXX的私钥管理存在明显漏洞,私钥甚至曾以明文形式传输和存储。这种设计缺陷导致了用户资金的重大损失。
Q1
类似的安全事件屡次发生,链上盗窃事故的共同点是什么?为什么这些事件总是接二连三地出现?
Andy指出,链上安全事故并非首次发生,过去如 UniBot 等交易工具也曾遭遇攻击,暴露了在用户私钥管理上的致命问题。他解释道,所谓“非托管钱包”应该将私钥仅存储在用户设备上,而不是在平台服务器。然而,DEXX未能实现这一点,用户私钥被存储在中心化后台,增加了被攻击的风险。即使这些私钥被加密,一旦服务器被攻陷,缺乏内存级安全防护(如 TE 或 enclave 技术)仍可能导致私钥被盗。
随着 DEXX、Unibot 等工具因高效交易速度而走红,用户忽视了其安全设计上的短板。与大型交易所的成熟安全团队相比,这些快速发展的工具平台在安全能力上往往不足,导致资产风险显著增加。Andy指出,用户普遍低估了这些交易工具的安全要求,习惯信任大交易所,却忽略了较小工具平台的风险。他呼吁加密社区提高安全意识,重视私钥管理漏洞,并推动更好的安全实践,以减少未来类似事件的发生。
Veronica指出,在加密投资中,追求高收益与绝对安全难以兼顾。像 Dexx 和 UniBot 这样的交易工具之所以受到欢迎,是因为它们提供了流畅的用户体验,比如一键跟单和快速划转资金。然而,这种便捷性往往依赖中心化架构,要求用户提前授权资金或提供钱包访问权限。
她解释,Dexx 虽宣称为“去中心化”和“非托管”平台,但实际情况是用户的私钥被存储在中心化服务器上。这次安全事件中,慢雾团队已经确认私钥泄露,导致大量用户资产被盗。不管是平台的能力不足还是设计缺陷,甚至可能的监守自盗行为,最终都暴露了这种设计的巨大风险。
Veronica强调,这次攻击手法复杂,黑客将资金分散转移到多个新钱包,而不是集中到几个地址进行混币操作。这种策略增加了追踪难度,表明黑客手段不断升级,具备更强的隐蔽性。这不仅使资金难以追回,还反映出攻击者愈加高明的策略。
她提出两种可能性:要么是平台因技术能力不足而被攻破,要么更糟糕,内部存在监守自盗或遭黑客深度渗透。如果后者为真,未来的骗局可能会更复杂和难以防范。Veronica感到遗憾,这次事件使许多投资者遭遇“黑色星期六”,慢雾团队已经收到超过500例受害报告,总损失超1300万美元。她提醒用户提高安全意识,尤其在涉及私钥时需格外谨慎,以防类似事件再次发生。
会所哥指出,冲土狗市场中的很多玩家并不关注安全问题。通常情况有人在群里喊出某个合约地址,无论项目本身是否靠谱,大家都争先恐后地复制粘贴到交易工具里冲进去,希望能赚上一笔。这种“要么暴赚、要么归零”的心态让大部分用户忽略了潜在的巨大风险,结果还没来得及提现,资产就可能被盗一空。
Q2
是否可以认定所有类似的抢跑 bot 工具或抢先交易工具都可能存在相似的安全问题和隐患?
Veronica指出,几乎所有这种“抢跑”交易工具都可能面临类似的安全风险。她解释,这类 bot 之所以能实现超快链上交易,避免每次都手动签名,是因为它们牺牲了部分安全性与非托管特性。通常,无论使用硬件钱包、APP钱包还是浏览器插件钱包,用户都需要花几秒进行手动签名确认。但为了提高交易速度和优化用户体验,这些 bot 通常会妥协,将部分私钥安全性降至最低,以实现更快速的成交。
Veronica指出,这种设计并非完全错误,也不能简单地说这些项目都是不安全的。然而,这确实对开发团队的安全防护能力提出了极高要求。为了实现流畅体验,如果开发团队无法确保强大的安全攻防能力,一旦遭遇攻击,后果将极为严重,用户和项目方都可能面临巨大损失。因此,Veronica强调,虽然这些工具为用户带来了便捷性,但潜在的风险也显而易见,尤其在团队安全防御能力不足的情况下。
Andy补充道,目前大多数交易 bot 的设计确实面临一个显著的安全隐患:为了实现自动化交易,它们通常为每个用户生成并保管私钥。这种方式虽然方便用户进行自动化跟单,却也带来了极高的安全风险。如果攻击者攻破平台,所有存储的用户私钥都可能被泄露,导致资产损失。
然而Andy指出,实际上有一种更安全的交易架构,能够在不使用用户私钥的情况下实现自动化交易。这种架构依赖于智能合约,通过创建与用户账户关联的“PDA账户”,在无需用户私钥签名的情况下完成交易。平台可以通过一个受限制的“操作账户”来执行交易指令,但这个操作账户的权限是严格受控的,只能进行交易操作,无法随意转移用户资产。
这种智能合约驱动的设计可以显著提升安全性,因为用户的私钥始终掌握在自己手中,不会被存储在中心化服务器上。他指出,虽然这种设计更复杂,对团队的工程能力和安全技术要求更高,但它是完全可行且更安全的。
目前用户大多并不清楚这两种设计模式的区别,或是因为追求便捷而忽略了安全性。但Andy表示,随着安全事件的频繁发生,用户和开发团队可能会越来越重视更安全的架构。他相信,这种先进的设计方案在未来有望逐渐普及,减少类似 DEXX 事件的发生。
Q3
除了今天 DEXX 事件中暴露的私钥管理问题,还有哪些潜在的安全隐患需要用户特别关注?
OneOne将安全风险分为两大类,涵盖从交易授权到私钥保护等方面。
首先,他提到一种常见攻击方式——“Approve 欺骗”。举例来说,类似 通过“灰尘攻击”发送少量的加密资产或空投 NFT,诱使用户点击并进行交易授权。这种操作可能会让攻击者获得用户的钱包权限,从而盗取用户的资产,包括加密货币和 NFT。他提醒用户要谨慎处理不明来源的代币和空投,避免轻易进行授权。
对于私钥被盗的几种方式。第一种是“恶意软件攻击”,例如一些攻击者假装邀请用户测试新项目,诱骗用户下载携带木马病毒的可执行文件。一旦中招,用户的私钥和账户密码就会被轻松窃取。第二种是“剪贴板”,攻击者通过钓鱼网站获取用户的剪贴板访问权限。当用户复制粘贴私钥时,这些敏感信息会被攻击者截获并利用。
此外,他还提到“远程控制攻击”的案例,例如通过恶意远程软件操控用户电脑,甚至在用户休息时直接窃取私钥。他强调,一些撸空投的用户可能使用“指纹浏览器”来管理多个账号。然而,这类浏览器通常涉及云端存储功能,存在较高的安全风险。如果这些云存储账户被攻破,用户的资产便极易被盗。他特别提到,不少用户在使用这些工具时未设置二次验证(2FA),进一步加剧了风险。
最后,他提到“输入法隐患”。许多用户喜欢使用智能输入法,但这些输入法可能会收集用户的输入数据并将其存储在云端,这也增加了私钥泄露的可能性。OneOne建议用户尽量使用系统自带的输入法,尽管功能较少,但安全性更高。
他总结道,为了保护自己的加密资产,用户应做好隔离措施。例如,将大额资产存储在冷钱包中,只用来交互而不能直接转移资金。此外,他强调,避免在与空投和交易相关的操作中使用可能泄露私钥的工具,并推荐使用冷钱包作为一种更安全的解决方案,尤其是在需要高安全性保护的场合。
Andy指出,用户在链上交易时,特别是在使用 DeFi 应用或交易工具时,需要采取额外的安全预防措施。他提到,用户经常在以太坊兼容链上进行交易时,授权管理是一个需要高度重视的问题。由于以太坊的机制要求用户向智能合约授予代币授权,攻击者可以利用这个授权机制进行恶意操作。因此,用户应经常检查钱包的授权列表,及时撤销不再需要的授权,尤其是那些可能被遗忘的早期授权,以降低风险。
他还强调,用户选择 DeFi 平台时,应审查平台的安全措施,包括是否有完善的审计报告、持续的自动化安全监控、以及平台是否定期升级和修复漏洞。他指出,尽管了解这些安全信息需要一定的专业知识,但这是在 DeFi 领域获利所必需的学习成本。
在使用trading bot时,他建议用户务必将资产分散管理,不要将大笔资金存放在交易机器人所控制的账户中。获利后,应尽快将资金转移到更安全的钱包中,以减少可能的损失。
会所哥提到,作为一名交易员,熟悉交易工具和平台的机制至关重要。当前土狗交易的环境下,许多人只关注暴涨暴跌的刺激,忽视了交易工具的安全隐患。他坦言,自己在 DEXX 平台上的资产被盗并非偶然,而是源于多方面的疏忽。他承认自己对平台有初步了解,知道把钱转入他人控制的钱包有风险,但对 DEXX 的具体安全机制却未进行深入审核。
会所哥提到,他本以为资金安全无虞,因为没有导入助忆词。但他低估了平台私钥存储方式的漏洞:DEXX 实际上将用户私钥明文存储在前端,这使攻击者可以轻松读取并盗走资产。这个隐患被揭露时,他才意识到自己在交易工具背调上的疏忽。
他反思道,追逐高回报时,交易员应设立安全警报,比如池子抽空或清算警告,以随时把控风险。他强调,盲目追逐土狗币涨跌的快感而不关注安全,只会让人陷入更大损失。他建议每个交易者在选择工具时,先审慎评估安全性,理性操作,避免被市场情绪左右。
Veronica想强调一个简单而重要的原则:高效追逐利润和全面安全之间总有妥协。因此,她最关键的建议是做好资金隔离。并且如果你发现自己因投资头寸过大而焦虑得睡不着、频繁检查手机,那很可能说明你的资金配置已经超出了你的风险承受能力。
她提醒大家,炒币是一方面,但保持健康和平衡的生活也同样重要。尤其是在高风险资产类别中,特别是Meme币,它们的价格变化非常剧烈。
此外,她建议投资者定期评估自己的头寸,并及时撤销不必要的授权。同时,她鼓励大家多关注安全类账号,这些账户会持续更新新的诈骗手段和安全案例。随着诈骗手法不断演变,保持信息更新能帮助每个人提高安全意识,逐步形成警惕和理智的投资习惯。
Q4
使用哪些实用工具快速查询项目安全性?请分享推荐一些链上安全查询工具给听众。
Veronica推荐用户使用一些非托管钱包内置的功能。例如,定期检查授权的功能,用户可以扫描自己在多条链上的所有授权记录,并一键撤销不必要的授权,以减少被黑客利用的风险。
还有一些钱包功能,用来应对不断更新的诈骗手法。她提到,骗子常会撒播助记词,诱导用户通过假装无辜的对话而充入资金。钱包还能够识别“首尾钓鱼”骗局,即骗子通过小额转账伪装成用户的转账地址,以骗取资金。Veronica建议大家使用老牌的非托管钱包,因为它们在防范这些新型诈骗上更有经验和保护机制。
此外,她建议用户定期将大额资产归集到更安全的冷钱包或独立账户中。尤其在参与高风险项目时,如投资Meme币,及时归集浮盈可以降低因账户被黑而造成的损失。
最后,她分享了一个较少人知道但非常实用的功能——密码短语(Passphrase)。这个功能特别适合有多个炒币账户的用户。密码短语作为第13个词,与原本的12个助记词组合生成全新的钱包地址。即使有人获取了你的助记词,没有密码短语也无法访问你的资产。用户可以通过这种方式创建多个钱包账户,确保安全性。这种方法不仅增加了私钥的安全性,还允许用户在多个账户间灵活管理资产,且密码短语可以只存在于用户的脑海中,进一步提升安全保障。
OneOne推荐了一个常用的链上安全工具,Scam Sniffer,适合在浏览器或社交媒体平台上使用。他提到,Scam Sniffer在用户访问网站或进行链上交互时,会提醒用户是否遇到钓鱼地址或风险网站。认为它可以在一定程度上保护用户免受钓鱼攻击。
此外,他强调,最好的安全工具其实是用户自身的防范意识。Web3中的许多安全威胁都源于用户对自身数字资产安全的疏忽,而在Web2中养成的良好安全习惯,如防范钓鱼网站和谨慎授权等,应该继续在Web3世界中坚持。OneOne提醒大家,保持高度警惕和定期更新安全知识,才是应对链上安全风险的核心。
会所哥坦言,许多加密投资者往往在吃亏后才真正提高安全意识。在日常的投资中,常见的安全问题包括合约是否丢失权限、有无蜜罐、老鼠仓、是否存在修改代币余额的风险,以及合约是否调用了其他不安全的合约。他强调,许多用户上当受骗,通常都是因为忽视了这些合约层面的安全细节。甚至有些合约可能套用其他合约,导致代币被恶意转移,或者在交易中暗藏高额税费。
会所哥也自我反思了在 DEXX 事件中的损失。他表示,尽管自己对交易风险有足够的理解,并在方法论上储备了一定的知识,但如果没有经历这类事件,安全意识仍然可能不够警醒。对于他来说,这个 Space 的最大意义并不是学习更多的方法论,而是再次强化安全意识。他提醒大家,在冲动地参与“土狗”投资前,哪怕看见项目方发布了合约地址,也要冷静思考,仔细检查可能存在的风险。他总结道,保持警惕并不断复盘,是投资者应从这些教训中汲取的最大收获。
Andy指出,很多时候用户遭遇安全事件,除了项目本身存在风险外,还可能与用户自身的安全习惯不足有关。即使用户意识到手中持有的加密资产较多,或明知投资交易有风险,仍常因不良习惯而让资产暴露在危险之中。
他分享了一个他认为非常有效的安全习惯:使用一部专门的手机来管理和交易加密资产。Andy建议,投资者可以购买一部专用的设备,比如一部iPhone,只用它来进行加密货币交易或私钥管理,不在这台设备上安装其他与交易无关的软件或进行其他活动。这样做可以显著降低私钥泄露的风险,因为专用设备不会被日常使用中可能带来的安全威胁所影响。他强调,这种隔离策略虽然看似简单,但确实是一个能大幅度提高安全性的有效做法。
Q5
如何科学的配置分仓策略管理个人资产?您认为的最安全的保护措施是什么?
OneOne分享了他在加密投资中的分仓策略。他表示,他的投资组合最初是按“6-3-1”的比例配置的:60%的资金配置在比特币和以太坊等核心资产上,30%投入到一些他认为具有高价值或确定性的代币项目,剩下的10%则用于风险更高的投资,比如炒作土狗币或进行杠杆交易。
此外,OneOne会从其中一部分资金中拿出来专门用于撸空投和套利操作。他承认,这样的投资风格导致仓位分配相对复杂和混乱,但也更具灵活性。他的一个关键策略是,在每次投资翻倍后立即取出本金,确保锁定收益并降低风险。正因如此,他原本的“6-3-1”分仓比例已经逐渐转变为更均衡的“5-5”配置。他强调,合理的分仓和及时锁定收益是保护个人资产的重要措施。
会所哥认为,分仓策略的科学管理需要根据市场环境和个人投资目标动态调整。他指出,资产配置并不仅仅是“翻倍出本金”这么简单,而需要结合市场阶段来优化策略。
会所哥还强调,分仓管理不仅要考虑宏观经济背景,还需依据板块发展预期。例如,当加密市场的某一板块达到特定的增长预期或面临技术升级时,就可以调整仓位,向具有更高潜力的新兴领域转移。
最后,他提到,新叙事或政策变化也可能影响分仓决策。例如,随着监管政策或技术升级的变化(如以太坊质押机制的改进或新型基础设施的兴起),投资者应做好应对和仓位调整。他总结道,分仓管理是一门复杂的学问,投资者需要根据市场变化持续优化策略,以实现收益最大化并控制风险。
分享
OneOne分享了自己经历诈骗后成功报案并追回损失的一些实际操作方法。他指出,报案的关键是找到合适的部门——反诈中心,这是目前立案和处理效率最高的地方,而不是普通派出所。OneOne详细描述了他如何准备材料:在法院公开网上找到涉及加密货币诈骗的相关案例,打印成册,带着这些资料去反诈中心要求立案。
他还建议配合国内有链上追踪能力的机构,如与公安合作的“链安”,帮助追踪和提供证据,进一步提高报案的成功率。此外,他提醒在报案时要强调自己确实是在本地被骗。OneOne坦言,这只是他个人的经验,可能不适用于所有人。
结 语
在本次X Space活动中,嘉宾们围绕DEXX事件展开了深入的安全讨论,不仅剖析了交易工具常见的安全漏洞,还分享了丰富的实战经验和实用的防护措施。面对愈发复杂的加密市场,保护个人资产和提升安全意识尤为重要。希望这些宝贵的建议能帮助每位投资者在追逐机遇的同时,更加稳健地守护自己的财富。
文章仅作分享交流,不构成投资建议。
—— END ——