Анализ инцидента с безопасностью DEXX: почему были украдены активы пользователей? Мои мысли о рисках и размышлениях торговых операций на блокчейне.

Утром 16 ноября я в первую очередь обратил внимание на новости о краже активов пользователей DEXX на торговом терминале. Это событие вызвало огромный резонанс в сообществе и вскрыло множество скрытых угроз безопасности в экосистеме торговых операций на блокчейне. Как наблюдатель за отраслью, я был поражен этим инцидентом и глубоко обеспокоен состоянием безопасности в децентрализованном мире.

Кризис активов пользователей: восстановление DEXX и гнев сообщества

В течение нескольких часов после вспышки события основатель DEXX Рой быстро отреагировал, пообещав компенсировать потери пользователей. Хотя это заявление пыталось успокоить жертв, несколько пользователей сообщили, что их активы были изолированы в безопасный адрес, и возможность успешного возврата по-прежнему остается под вопросом. Это заставляет меня задуматься: насколько важны аварийные способности и чувство ответственности платформы, когда безопасность активов находится под угрозой?

Однако внимание к инциденту не ограничивается потерей активов. На социальных платформах множество пользователей выражают недовольство KOL, который когда-то продвигал DEXX, и именно по этой причине я никогда не поддерживаю какие-либо команды продвижения на протяжении всех этих лет. Этот кризис также заставил меня увидеть более глубокую проблему: кризис доверия в криптоиндустрии. DEXX, который когда-то был на слуху благодаря бесчисленным ссылкам на возврат, теперь раскрывает смертельные недостатки в дизайне из-за уязвимости безопасности.

Открытые приватные ключи и централизованное хранение: смертельный недостаток DEXX.

Согласно анализу агентства SlowMist, основной причиной инцидента является неправильное управление приватными ключами. Приватные ключи пользователей DEXX не являются действительно децентрализованными, а централизованно хранятся на платформе и отображаются в открытом виде при экспорте. Это означает, что приватные ключи пользователей фактически хранятся на официальных серверах, и если связь не защищена строгим шифрованием, их могут перехватить злоумышленники в процессе передачи. Даже использование HTTPS не может полностью предотвратить утечку конфиденциальной информации из-за уязвимостей браузера. Такие уязвимости заставляют меня задуматься о истинном значении децентрализованных кошельков.

Стоит отметить, что приложение для кошелька OneKey также обнаружило, что платформа DEXX неоднократно запрашивала разрешение на "загрузку содержимого буфера обмена пользователя". Меня не может не удивлять, сколько пользователей могут оказаться в затруднительном положении, копируя приватные ключи или мнемонические фразы на своем телефоне? Такие незаслуженно проверенные запросы разрешений являются серьезным вызовом для безопасности пользователей.

Неприемлемый аудит и безответственное отношение к безопасности.

Аудит безопасности DEXX был проведен Certik, и его оценка составила всего 59,31 балла (неудовлетворительно), причем существует до 9 рисков, включая нерешенную ключевую проблему «централизации». В условиях такой низкой оценки платформа все равно начала работать, что вызывает сомнения в ответственности и сознании безопасности команды проекта. Некоторые комментарии пользователей также прямо указывают на проблему: "У команды проекта такое отношение: пользователи не понимают, не заботятся, а сами не несут дополнительных затрат на исследования и разработки, так что давайте рискнем."

Это отношение напоминает мне о предыдущих аналогичных инцидентах, таких как уязвимости BananaGun и Unibot. Это еще раз подтвердило известную фразу: "Не ваши ключи, не ваши деньги". В мире торговых операций на блокчейне права собственности на активы и безопасность никогда не могут быть разделены.

Последствия события: фишинговые мошенничества и прогресс расследования.

Сразу после события быстро появились фишинговые мошенничества, связанные с "сообществом защиты прав" и "регистрацией компенсаций". Каждый раз, когда я вижу такие сообщения, мне становится страшно за обычных пользователей. Сталкиваясь с огромными потерями, им также нужно быть осторожными с новыми ловушками атак, чтобы избежать повторного ущерба. Основатель компании SlowMist Ю Сянь заявил, что нападавшие на это событие долго готовились, и источники финансирования можно проследить до 3 дней назад, когда они были обменены на Monero (XMR). Эта высокая степень секретности операций снова бросает вызов пределам отслеживания на блокчейне.

CertiK указывает, что событие произошло на блокчейне Solana, и эта часть не входит в их аудит. Неправильное управление приватными ключами, приводящее к потере активов, такая простая и смертельная ошибка, является не только катастрофой для пользователей, но и сигналом тревоги для всей отрасли.

Мои размышления: будущее безопасности торговых операций на блокчейне.

По неполным данным, в результате этого инцидента с безопасностью DEXX уже более 590 отчетов о краже средств, общие потери составляют около 13 миллионов долларов США. Это еще раз заставляет меня глубоко осознать, что безопасность является жизненной линией экосистемы торговых операций на блокчейне. Как разработчики платформ, так и обычные пользователи должны иметь более высокую безопасность и защитные меры. Как обычные пользователи, мы должны помнить, что "децентрализация" и "безопасность" не просто лозунги, а основные принципы, касающиеся безопасности активов.

Я надеюсь, что будущие децентрализованные платформы смогут извлечь уроки из этого инцидента и вложить больше ресурсов в исследования технологий и обеспечение безопасности. Также надеюсь, что пользователи смогут быть бдительными и не доверять легко незаслуженно проверенным продуктам. В конце концов, в этой отрасли, полной неопределенности, только постоянная бдительность поможет сохранить свои активы и веру.

Мировые рынки стремительно меняются, мир является целым, следите за мной, и я помогу вам обрести глобальное финансовое видение#新币挖矿你参加了吗? $SOL