私钥明文、助记词上剪贴板,假 Rug 还是真被盗?

撰文:陀螺财经

牛市第一「盗」来了。

近段时间的加密市场,除了比特币,MEME 无疑是最大的赢家。AI、Politifi、Desci 炒作接连不断,在热点与情绪的双轮驱动下,GOAT、PUNT、BAN 等现象级 MEME 让百倍造福梦再度回归,打「金狗」,也成为了 MEME 人必不可少的每日活动。

赌场规模初现,围绕 MEME 的市场化工具也随之增加。今天的主角——DEXX,正是日前 MEME 市场活跃的链上交易终端之一。

11 月 16 日凌晨,DEXX 遭遇攻击,多名用户代币被转移,截至目前损失高达 2000 万美元。本以为只是一起普普通通的黑客攻击,但在社区不断的扒皮下,更多的信息也浮出水面,私钥明文、助记词上剪贴板等离谱设置层出不穷,老板竟也疑似有 Rug 前科。

究竟防范不足还是自导自演?假 Rug 还是真被盗?DEXX 让中文 MEME 圈再度蒙上了一层阴霾。

据官方介绍,DEXX 是专注于 Memecoin 的全链交易平台,支持 SOL、ETH、TRX、BASE、BSC 等多链资产交易,并提供链上移动止盈止损、热点推送、跟单交易等功能。简而言之,DEXX 功能核心在于链上聚合,用户体验是关键,在其前期的主要宣传中,多以「链上币安」作为卖点,据知情人士透露,该平台日成交额超过 5000 万,每日利润超过 30 万美元。可以看出,尽管并不如 Banana Gun、Unibot 等成熟平台知名度高,但该平台也已初具规模,在 MEME 圈具备一定影响力。

但就在 11 月 16 日,刚刚声名鹊起的 DEXX 就给了 MEME 市场迎头痛击。当日凌晨,DEXX 遭遇攻击,多名用户发现账户代币不翼而飞,Banana、LUCE 等多个 MEME 遭遇波及大幅度下挫,LUCE 跌幅超过 41%。社区恐慌一触即发,公众平台上引发广泛热议。在当时,市场流言满天飞,维权群迅速增加至 3000 人,被盗交易超过 9000 笔,甚至传闻涉案金额超过 5 亿美金。

但在后续的排查中,资产损失并未达到该量级,根据慢雾现已统计的 821 个被盗用户,总损失接近 2000 万美金,其中 1 位超 100 万美金,2 位在 50-100 万美金范围,28 位在 10-50 万美金范围。但目前,黑客并未收敛,转移资产还在不断增加中。

在事件发生当天,DEXX 迅速作出回应,声明无 Rug,问题正在全力排查。而其创始人 Roy(@honza204)也紧随其后回应「会掏钱补,隔离了部分用户,没 RUG,在排查,无法一一回复,放心。」

尽管再三声明无 Rug,但身经百战的社区显然有所怀疑。后续慢雾、比特丛林的初步调查,更是加重了平台 Rug 的嫌疑。调查显示,DEXX平台有重大安全问题,不仅作为非托管平台在官方服务器中储存用户私钥,而在用户导出私钥时,更是未采取任何加密措施,导致私钥在传输过程中以明文形式暴露。

除了明文传输这一大忌外,剪贴板权限也极不合理。DEXX 平台被发现反复请求用户剪贴板权限,若用户曾在剪贴板中复制过私钥或助记词,信息极有可能在无意中被传送至平台,增加了敏感信息泄露风险。

从攻击手法而言,DEXX 前端没有任何入侵痕迹,而是从远端服务器进行的私钥下载,实现盗取的行为。且黑客显然预谋已久,不仅选在凌晨这一相对神经脆弱的时间点,而在攻击后,黑客更是采取一对一批量创建新钱包的策略来转移被盗资产,最大程度上实现反追踪。

宣传自己是全链交易平台,但实际却比中心化更中心化,私钥公然明文存储,还可在剪贴板上复制助记词。如此显而易见的安全风险,平台却置之不理,直到所谓的「黑客」来袭,那这黑客,难道就不能是平台自己吗?

消息披露后,市场一片哗然,社区声讨不断,监守自盗、卷钱跑路论持续发酵,市场自发对 DEXX 展开了追踪,更多的细节也由此浮出了水面。

尽管从注册消息看,DEXX 主体相当分散,在美国、巴哈马、新加坡、日本东京、香港以及马绍尔群岛均有公司注册。但目前,公司所在地位于杭州西湖区,公司名为杭州橙岛科技有限公司。

在网友的开盒下,创始人的信息也被披露的一干二净。已知的创始人真名为楼宇临风,浙江金华人,年仅 30 岁,据传曾经从事网络赌博。根据加密情报橘披露,这位所谓的「格局」老板,竟然只有初中学历。还有网友披露了其的朋友圈定位,称目前人在泰国。更有甚者,提到这位楼老板此前就有软 rug 前科,其曾参与的项目 Opendao 就是先例。无独有偶的是,在被盗事件发生前一天,Roy 还发了一条「有钱真好」的帖子,更是让各种阴谋论甚嚣尘上。

Rug 舆论在发酵,市场的愤怒也在升温,连带推广过平台的 KOL 也被沾上一身骚。实际上,DEXX 宣传的主要方式就是以返佣的形式与批量知名 KOL 展开推广,通过 KOL 的影响力获取流量。该种方式在币圈也相当常见,但值得注意的是,相比其他平台,Dexx 返佣比例非常之高,最高甚至达到手续费的 50%-60%。在官方人员与 KOL 的对接中,曾提到头部 KOL 仅通过返佣就可获得超过 4 万美元。

在利益诱惑下,KOL 参与者众多,尤其以中文 KOL 为主,游民、大宇、红神、杀破狼等超过 25 位知名 KOL 对 DEXX 进行了宣传,甚至存在部分 KOL 在私域流量中进行无底线推广,这也是本次受害者多是中文区使用者的原因。在事件发生后,市场对该批 KOL 也展开了一系列的口诛笔伐,认为 KOL 存在滥用影响力知情不报割韭菜之嫌。对此控诉,KOL 们也表现不一。

立即割席是必然操作。部分 KOL 直接删除此前的宣传文案以抹平市场记忆;更爱惜羽毛的 KOL从维稳的长期盈利方向考虑,会出面道歉,并予以一定赔付,但该部分 KOL 不多,只有个位数;而绝大多数 KOL 似乎都打算隐身以静待风波平息。

当然,纠责是其次,当务之急是追回被盗取的资产。尽管 Roy 称会全额赔付,但究竟能否拿出足够的金额还有待考察,若是自导自演,那金额追回可以诉诸司法手段,但若真的是黑客入侵,在身份认证不明的链上交易所,维权就显得更加遥遥无期。

援引郭志浩与邵诗巍律师的说法,DEXX 作为由国内机构运营的项目,相当于变相在国内从事虚拟货币相关的业务行为,应当被认定为非法金融行为,最低原则是依法取缔与责令停业。具体到本起事件,若平台当真被黑客盗取,则该平台非法收集用户私钥,涉嫌侵犯公民个人信息罪;若是平台自导自演,则极大可能被定性为更严格的诈骗罪,视金额判处刑罚,最高可达无期徒刑。想隐身的 KOL 或也难逃其责,由于 KOL 涉嫌通过信息网络赚取平台佣金,存在涉嫌非法利用信息网络罪之嫌,存在一定的连带责任,尽管该罪名立案概率不高,但入罪门槛极低,若用户坚持攀附,也未尝不会让 KOL 掉层皮。

昨日,DEXX 在 X 平台发文致信黑客表示,称目前已得到了安全机构、合作伙伴和交易所的大力支持以找到被盗的代币,同时还在持续监控黑客的地址,以便及时冻结被盗资金,现要求在接下来的 24 小时内解决此事件,否则将继续与当地警方、安全机构和交易所合作进行调查,采取执法行动保护用户资产,无论需要多长时间。平台表示,正在标记黑客地址,并请求 Solana 基金会提供帮助被标记后,黑客将无法通过任何方法充值进交易所 / 兑换成法币。

创始人也再度发声辟谣失联,称「特殊原因目前不能同步近况。再给我们一些时间给处理满意。这两天团队会同步一些信息和方案,不是失联不失联问题。」

只论及被盗,在加密行业并不少见,DEXX 不是第一起,必然也不会是最后一起。从本质来看,本就不存在绝对安全的托管和非托管钱包,除合约链上开源增强透明度外,只能依靠更强的背景与更雄厚的资金量,否则仅凭信任传递与审计等外部方式,不排除有出现重大危险的可能。以 DEXX 为例,该平台也经过了 CertiK 的审计,但针对本次事件最终给出的回应是事件发生在 Solana 链上,该链不在审计覆盖范围内。

回到用户本身,安全意识的提升迫在眉睫。除了不要轻信任何人的推广外,涉及到资金使用上,应优先选择安全机制完善、背书充分的平台。而在资金安全管理方面,应在分散放置资产的前提下,尽量使用完全独立的设备进行操作,推荐使用分散认证、不以便捷性为核心,避免设置免密和活体认证,谨慎使用插件,对于大额资产,使用硬件钱包进行存储。用户应谨记,安全是操作的优先级,不然辛辛苦苦在牛市赚的第一桶金,或许就变成了别人的。

另一方面,若真是平台 Rug,即便创始人跑路,实际上也未必就能高枕无忧,毕竟作为已被开盒、身上可能持有过亿元的兜底人,无论在哪,都早已没有了安全的容身之处。