Hotcoin Research | Инцидент с хакерской атакой на DEXX на миллиарды, раскрывающий смертельные уязвимости безопасности в цепочке и секреты самопомощи

Первое, введение: шокирующий кризис безопасности в сфере транзакций в цепочке

В ноябре 2024 года крупное событие безопасности на платформе DEXX потрясло всю отрасль. Хакерская атака привела к массовой краже активов пользователей, и сумма убытков быстро возросла до десятков миллионов долларов. Этот инцидент выявил смертельные уязвимости в безопасности DEXX, превратив его из платформы, которая хвасталась «некустодиальными» характеристиками и удобным, эффективным торговым опытом, в отрицательный пример для обсуждения в отрасли.

С ростом экосистемы DeFi инструменты для транзакций в цепочке переживают взрывной рост. Эти инструменты привлекают множество пользователей, предлагая «децентрализованные» и «некустодиальные» преимущества. Однако инцидент с DEXX доказал, что за удобством часто скрываются огромные риски безопасности.

Почему инцидент DEXX важен для каждого трейдера в цепочке?

1. Выявление системных рисков безопасности: инцидент выявил уязвимости в дизайне и операциях инструментов для транзакций в цепочке.

2. Размышления о правде «некустодиальности»: раскрытие практики некоторых платформ злоупотребления концепцией «некустодиальности» для сокрытия проблем с безопасностью.

3. Повышение осведомленности о рисках среди пользователей: предоставление ценного предупреждения для пользователей и разработчиков, подчеркивающее важность обучения безопасности и профилактики.

Инцидент DEXX стал не только кризисом безопасности, но и глубоким вопросом о состоянии отрасли: как в рамках децентрализации сбалансировать инновации и безопасность?

Второе, глубокий анализ инцидента DEXX

Позиционирование платформы и бизнес-модель

DEXX — это децентрализованная торговая платформа, сосредоточенная на транзакциях Meme-токенов в цепочке, поддерживающая торговлю активами многосетевых цепочек, такими как SOL, ETH, BSC, и предлагающая инструменты автоматизированной торговли и услуги управления ликвидностью. С помощью смарт-контрактов обеспечивается удобный торговый опыт, DEXX считалась эталоном инструментов для транзакций в цепочке. Однако этот инцидент выявил смертельные недостатки в технической архитектуре платформы.

Заблуждение о концепции «некустодиальности»

Хотя DEXX утверждает, что использует «некустодиальную» модель, пользователи контролируют приватные ключи, на практике существует множество рисков:

• Хранение приватных ключей в открытом виде: пользователи экспортируют приватные ключи без шифрования, что делает их уязвимыми для захвата хакерами в процессе передачи.

• Централизация полномочий: система управления полномочиями, разработанная платформой, слишком обширна и предоставляет платформе фактический контроль над активами пользователей.

• Риски смарт-контрактов: смарт-контракты, не прошедшие тщательной аудиторской проверки, могут содержать задние двери, позволяя несанкционированные действия.

Анализ уязвимостей

С технической точки зрения DEXX сталкивается со следующими основными рисками безопасности:

1. Неправильное хранение приватных ключей: платформа тайно записывает приватные ключи пользователей, что позволяет хакерам полностью контролировать активы в случае взлома.

2. Слабое управление полномочиями: логика авторизации не была разделена на уровни или ограничена, что приводит к потенциальному злоупотреблению активами пользователей со стороны платформы.

3. Недостаток кода аудита: аудиторские отчеты показывают наличие множества высокорисковых уязвимостей на платформе, особенно серьезна проблема «централизации».

Статистика затронутых активов

Согласно данным анализа в цепочке, убытки от этого инцидента включают в себя:

• Основные токены: такие как ETH, SOL и т.д.

• Стейблкоины: такие как USDT, USDC.

• Meme-токены: такие как BAN, LUCE и т.д., цена которых резко падает из-за давления со стороны распродаж.

Инцидент DEXX привел не только к экономическим потерям для пользователей, но и нанес разрушительный удар по доверию к всей индустрии инструментов для транзакций в цепочке.

Три, сигнал тревоги: общие проблемы инструментов для транзакций в цепочке

1. Правда о «некустодиальности»

Инструменты «некустодиальности» считаются стандартом безопасности для децентрализованной торговли, но многие платформы на практике не обеспечивают реального контроля активов пользователями:

• Злоупотребление полномочиями: требование от пользователей предоставлять слишком высокие полномочия, что приводит к чрезмерной централизации активов.

• Непрямое хранение: приватные ключи могут храниться и управляться платформой, что делает безопасность зависимой от технических возможностей платформы.

• Задние двери контрактов: некоторые смарт-контракты включают в себя права администратора, позволяя платформе обходить авторизацию пользователей.

2. Проблемы безопасности торговых ботов

Автоматизированные инструменты для транзакций, предлагая удобные средства для торговли, также вводят следующие риски:

• Высокие требования к полномочиям: торговые роботы требуют доступа к приватным ключам пользователей или API-ключам, что значительно увеличивает риски.

• Логические уязвимости: сложную торговую логику могут использовать злоумышленники, что приводит к аномальным транзакциям или манипуляциям с рынком.

• Централизованный контроль: многие роботы хранят активы пользователей под контролем платформы для повышения скорости торговли, что делает их легкими целями для атак.

3. Технические вызовы управления приватными ключами

Управление приватными ключами является ключом к безопасности в цепочке и сталкивается со следующими проблемами:

• Конфликт между удобством и безопасностью: оффлайн-хранение обеспечивает высокую безопасность, но сложно в использовании; онлайн-хранение удобно, но риск велик.

• Слабая система резервного копирования: пользователи часто сталкиваются с рисками из-за неправильного резервного копирования (например, открытое хранение).

• Неправильное распределение полномочий: логика авторизации не имеет детального управления, и в случае утечки полномочий последствия могут быть серьезными.

4. Общие проблемы аналогичных платформ

Анализ показывает, что инструменты для транзакций в цепочке в целом имеют следующие проблемы:

• Недостаток аудита: многие платформы не провели всесторонний аудит безопасности со стороны третьих лиц.

• Слабый контроль рисков: отсутствие надлежащего мониторинга транзакций и механизма экстренного реагирования.

• Отсутствие образования для пользователей: пользователи не имеют базового понимания логики авторизации и безопасных действий, а платформа также не смогла предоставить эффективное руководство.

Инцидент DEXX подчеркивает недостатки инструментов для транзакций в цепочке в области безопасности. Для содействия здоровому развитию отрасли платформы, пользователи и регулирующие органы должны объединить усилия для улучшения технологий и операционных норм.

Четыре, руководство по экстренной самопомощи для пользователей (практическая часть)

Инцидент DEXX выявил недостатки в безопасности транзакций в цепочке и стал сигналом тревоги для пользователей. В подобных кризисах пользователям необходимо быстро действовать, чтобы уменьшить убытки и одновременно создать долгосрочные механизмы предотвращения рисков. Вот подробные руководства и рекомендации по безопасности.

Действуйте немедленно

1. Проверка состояния активов

   • Используйте блокчейн-браузеры (например, Etherscan, Solscan), чтобы проверить историю транзакций кошелька и подтвердить наличие аномальных переводов.

   • Проверьте баланс активов и оцените, были ли активы украдены.

   • Проверьте статус авторизации смарт-контрактов, чтобы выявить потенциально рискованные записи авторизации.

   • Приоритетная защита активов высокой ценности, своевременное составление плана перевода.

2. Шаги по экстренному переводу активов

   • Подготовьте новый и безопасный адрес кошелька и убедитесь, что приватный ключ не был раскрыт.

   • Поочередно переводите активы в зависимости от их важности (например, стейблкоины, основные токены).

   • Выполняйте действия в безопасной сети, избегая общественного Wi-Fi и зараженных устройств.

   • Установите соответствующие Gas-расходы, чтобы гарантировать, что транзакция перевода будет выполнена как можно быстрее.

3. Отмена авторизации

   • Используйте инструменты (например, Revoke.cash), чтобы проверить и отменить подозрительные авторизации, чтобы предотвратить их использование хакерами.

   • Приоритетная отмена авторизации для высокорисковых контрактов, сохранение записей операций для последующего расследования.

   • Увеличьте расходы на Gas, чтобы ускорить процесс отмены авторизации и избежать преждевременных действий со стороны злоумышленников.

4. Сохранение доказательств

   • Скриншоты сохранения соответствующих записей транзакций, включая временные метки, хэш транзакций, адреса контрактов и другие подробности.

   • Экспорт полной истории транзакций кошелька как материалы дела.

   • Сохраните все записи общения с платформой (электронные письма, объявления, скриншоты из социальных сетей).

   • Соберите СМИ и официальные заявления для будущих правозащитных и компенсационных запросов.

5. Заявление в полицию и руководство по защите прав

   • Сообщите местным правоохранительным органам или отделу кибербезопасности, предоставив полную историю транзакций и описание событий.

   • Связаться с профессиональной компанией по безопасности блокчейна для помощи в отслеживании украденных активов.

   • Сохраните квитанцию о подаче заявления в полицию и обратитесь за помощью к профессиональной юридической команде для разработки стратегии защиты прав через границу или в сложных случаях.

   • Присоединяйтесь к группам поддержки жертв, чтобы обмениваться информацией и стратегиями действий с другими пострадавшими.

Постоянная профилактика

1. Лучшие практики безопасного хранения приватных ключей

   • Используйте аппаратные кошельки (например, Ledger, Trezor) для хранения активов высокой ценности, чтобы обеспечить физическую безопасность.

   • Регулярно создавайте резервные копии мнемонических фраз или приватных ключей с использованием многоуровневой защиты и распределенного хранения.

   • Избегайте хранения приватных ключей в облачных сервисах или онлайн-устройствах, чтобы снизить риск кражи.

2. Стратегия управления активами с разнообразием

   • Разграничьте горячие кошельки (для торговли) и холодные кошельки (для долгосрочного хранения).

   • Распределяйте активы по назначению, например, создавая отдельные кошельки для инвестиций и повседневной торговли.

   • Регулярно проверяйте распределение активов, чтобы обеспечить надлежащее распределение рисков.

3. Критерии отбора безопасных торговых инструментов

   • Изучите фон команды или платформы, оцените их техническую мощь и безопасность.

   • Проверьте, прошла ли платформа аудит безопасности от авторитетных организаций и ознакомьтесь с детальными отчетами об аудите.

   • Обращайте внимание на отзывы сообщества, чтобы понять мнения пользователей о工具和历史安全事件的处理情况。

4. Список безопасности для повседневных операций

   • Действуйте в надежной сети, избегая использования общественного Wi-Fi.

   • Регулярно обновляйте программное обеспечение безопасности устройств, включая антивирусную защиту и фаерволы.

   • Осторожно относитесь к запросам на авторизацию, особенно к неизвестным или неаудированным смарт-контрактам.

   • Используйте инструменты мониторинга аккаунтов, устанавливайте торговые предупреждения, чтобы своевременно выявлять аномальные действия.
     

Пять, продвинутые меры защиты: создание личного защитного пояса для активов

Проблемы безопасности активов в цепочке имеют долгосрочный и сложный характер, особенно на фоне частых инцидентов безопасности инструментов и платформ для транзакций. Для повышения способности защиты безопасности пользователи должны создать «защитный пояс безопасности» от базового оборудования до технической конфигурации. Вот продвинутые рекомендации по защите для пользователей.

1. Руководство по использованию аппаратных кошельков

Аппаратные кошельки, благодаря своей оффлайн-архитектуре, становятся лучшим выбором для защиты цифровых активов, но правильное использование является необходимым условием для обеспечения безопасности.

• Приобретение оригинальных аппаратных кошельков
  Приобретайте продукцию известных брендов (например, Ledger, Trezor, Onekey) через официальные каналы, чтобы избежать подделок. Избегайте использования бывших в употреблении устройств, чтобы предотвратить их подмену.

• Безопасная активация и инициализация
  Завершите инициализацию аппаратного кошелька в оффлайн-среде, создавая мнемоническую фразу и гарантируя, что никто другой ее не запишет или не раскроет.

• Резервное копирование мнемонической фразы и приватного ключа
  Запишите мнемоническую фразу на огнеупорном и водонепроницаемом материале (например, на металлической пластинке или бумаге), распределите ее по нескольким безопасным местам, избегая цифрового хранения.

• Повседневные меры предосторожности
  Подключайте аппаратный кошелек только в надежной сети, избегая использования общественного Wi-Fi или небезопасных устройств. Регулярно обновляйте прошивку устройства, чтобы устранить известные уязвимости.

Два. Конфигурация мультиподписного кошелька

Мультиподписной кошелек (Multi-Sig) является продвинутым инструментом безопасности, подходящим для управления активами высокой ценности, с помощью установки многосторонней авторизации для повышения безопасности операций.

• Установите порог множественной подписи
  Определите порог авторизации для множественной подписи (например, 3/5 или 2/3), чтобы обеспечить баланс между безопасностью и удобством.

• Настройка полномочий подписанта
  Четкое определение полномочий и обязанностей каждого подписанта, чтобы избежать централизации полномочий или единой точки сбоя.

• Определение правил подписи
  Установление различного порога авторизации для разных типов транзакций (таких как передача активов, взаимодействие со смарт-контрактами).

• План восстановления в экстренных ситуациях
  Настройка резервных подписантов или полномочий для экстренного восстановления, чтобы обеспечить, что активы не будут навсегда заблокированы, если основной подписант не сможет действовать.

Три. Рамки оценки безопасности торговых инструментов

При выборе инструментов или платформ для транзакций в цепочке пользователи должны систематически оценивать их безопасность и надежность.

• Степень открытости кода
  Предпочитайте открытые инструменты, позволяющие сообществу проверять код и своевременно выявлять и исправлять уязвимости.

• Состояние аудита смарт-контрактов
  Проверьте, прошел ли инструмент аудит безопасности от авторитетных организаций (например, SlowMist), и внимательно прочитайте соответствующие отчеты.

• Исследование фона команды
  Изучите технический фон и историю предыдущих проектов команды разработчиков, чтобы оценить их доверие и профессиональный уровень.

• Активность сообщества и отзывы пользователей
  Анализируйте отзывы сообщества о инструментах и уровень их активности, особенно обращайте внимание на обработку исторических инцидентов безопасности.

• Механизмы управления рисками
  Проверьте, предлагает ли платформа меры управления рисками, такие как мультиподпись, предупреждения о необычных транзакциях и наличие механизма страхования активов.

4. Рекомендуемые инструменты мониторинга безопасности в цепочке

Профессиональные инструменты мониторинга в цепочке могут помочь пользователям в实时掌控资产动态，及时发现潜在威胁。

• Инструменты мониторинга активов

  • Рекомендуемые инструменты: DeBank, Zapper

  • Функция: отслеживание балансов и торговых записей многосетевых активов, помогает пользователям полностью контролировать состояние активов.

• Инструмент мониторинга контрактов

  • Рекомендуемые инструменты: Tenderly, Defender, Goplus

  • Функция:实时检测智能合约的运行状态，识别潜在漏洞或异常行为。

• Инструмент мониторинга транзакций

  • Рекомендуемые инструменты: Nansen, Dune Analytics

  • Функция: анализ данных о транзакциях в цепочке, отслеживание потоков средств, своевременное выявление аномальных операций.

• Инструмент предупреждения о рисках

  • Рекомендуемый инструмент: Forta Network

  • Функция: предоставляет实时风险预警和攻击检测，帮助用户第一时间采取防护措施。
    

Шесть, размышления и перспективы

Инцидент DEXX затронул не только пострадавших пользователей, но и стал сигналом тревоги для всей отрасли. Он выявил потенциальные риски инструментов для транзакций в цепочке в технологической архитектуре и операционной модели и предоставил глубокие размышления и направления для улучшения для сторон проекта, пользователей и развития отрасли.

1. Границы ответственности проекта

Сторона проекта играет двойную роль как разработчика технологий, так и оператора в экосистеме цепочки, и ее ответственность охватывает безопасность, прозрачность и управление рисками.

1. Базовая ответственность за безопасность

   • Аудит безопасности кода: регулярное прохождение аудита безопасности от авторитетных третьих лиц для обеспечения безопасности смарт-контрактов и систем.

   • Программа наград за уязвимости: привлечение сообщества и экспертов по безопасности для активного выявления уязвимостей и предложений по их устранению.

   • Система резервов на случай рисков: создание специального фонда для компенсации убытков пользователей в случае безопасности.

   • Механизм реагирования на экстренные ситуации: создание профессиональной команды для быстрой реакции и обработки событий безопасности, чтобы минимизировать влияние.

2. Обязанность раскрытия информации

   • Обязанность предупреждать о рисках: до авторизации или использования платформы четко информировать о потенциальных рисках и советах по безопасности.

   • Своевременное уведомление о событиях: после происшествия безопасности незамедлительно информировать пользователей о ситуации и предлагать решения.

   • План компенсации убытков: установить четкие правила компенсации, чтобы избежать потери доверия после инцидента.

   • Прозрачность технологической архитектуры: открывать технологическую архитектуру и механизмы управления полномочиями платформы для надзора со стороны пользователей.

2. Границы ответственности KOL и оценка доверия

Как лидеры мнений в отрасли (KOL), их рекламные действия имеют глубокое влияние на принятие решений и доверие пользователей. Особенно важно четко определить их ответственность и оценить доверие.

1. Определение ответственности KOL

   • Обязанность проводить должную проверку: углубленное понимание технического фона и безопасности перед продвижением любого проекта.

   • Ответственность за проверку информации: проверка соответствия обязательств проекта и реальной ситуации, чтобы избежать введения пользователей в заблуждение.

   • Раскрытие интересов: открытое информирование о сотрудничестве с проектами и модели комиссий, чтобы обеспечить прозрачность.

   • Требования к предупреждению о рисках: добавление предупреждений о рисках в продвижение, чтобы направить пользователей к независимому суждению.

2. Критерии оценки доверия

   • Профессиональный фон: обладает ли KOL профессиональными знаниями и опытом в области блокчейна.

   • Исторические записи продвижения: насколько безопасны и надежны его предыдущие проекты, каковы мнения пользователей.

   • Связь интересов: существует ли чрезмерная зависимость от доходов от продвижения, влияющая на объективность.

   • Достаточность предупреждений о рисках: были ли полные объяснения потенциальных рисков проекта и предложены ли рекомендации.

Три. Пробуждение осведомленности о безопасности пользователей

Пользователи являются последней защитой экосистемы в цепочке. Повышение осведомленности пользователей о безопасности является ключом к предотвращению потерь активов.

1. Базовая осведомленность о безопасности

   • Управление безопасностью приватных ключей: надежное хранение приватных ключей и мнемонических фраз, избегая онлайн-хранения или передачи через небезопасные каналы.

   • Принцип осторожности в авторизации: тщательно оценивать запросы на авторизацию смарт-контрактов и стараться избегать избыточной авторизации.

   • Диверсификация хранения активов: распределение активов по нескольким кошелькам, чтобы снизить риск единой точки отказа.

   • Осознание управления рисками: регулярная проверка статуса авторизации, отзыв ненужных прав, поддержание безопасности аккаунта.

2. Расширенные практики безопасности

   • Использование мультиподписей: повышение порога доступа к операциям с активами высокой ценности с помощью мультиподписей.

   • Конфигурация инструментов безопасности: использование аппаратных кошельков и инструментов мониторинга в цепочке для построения комплексной системы защиты.

   • Регулярные проверки безопасности: проверка состояния кошельков, записей авторизации и распределения активов для выявления потенциальных рисков.

   • Подготовка экстренных планов: разработка четких экстренных планов действий, чтобы быстро реагировать в случае кражи активов.

4. Направление развития инструментов для транзакций в цепочке

Будущие инструменты для транзакций в цепочке должны полностью оптимизировать как технологические, так и операционные аспекты, чтобы вернуть доверие пользователей и продвигать развитие отрасли.

1. Оптимизация технологической архитектуры

   • Тонкая настройка управления полномочиями: ограничение диапазона предоставления полномочий, чтобы избежать избыточной авторизации.

   • Механизмы множественной проверки: внедрение двойной проверки или динамической авторизации для повышения безопасности операций.

   • Система интеллектуального управления рисками: сочетание实时监控和自动预警，及时发现和处理异常行为。

   • Повышение уровня децентрализации: уменьшение зависимости от централизованных компонентов, чтобы действительно достичь автономного контроля активов.

2. Совершенствование механизмов безопасности

   • Внедрение механизма страховки: предоставление защиты активов пользователей через страховые продукты.

   • Обновление системы управления рисками: использование ИИ и больших данных для построения динамической системы управления рисками.

   • Обычное проведение аудита: включение третьих лиц в процесс ежедневной работы проекта для обеспечения постоянного улучшения.

   • Мониторинг всех сцен: охватывать как цепочные, так и внецепочные сценарии безопасности, полностью снижая риски активов.

5. Баланс между безопасностью и удобством

Инструменты для транзакций в цепочке должны найти баланс между безопасностью и пользовательским опытом, чтобы лучше удовлетворить потребности пользователей.

1. Технический уровень

   • Упрощение процессов безопасных операций: оптимизация дизайна интерфейса и руководства, чтобы снизить сложность действий пользователей.

   • Оптимизация пользовательского опыта: повышение плавности и эффективности операций без ущерба для безопасности.

   • Автоматизированные проверки безопасности: интеграция интеллектуальных инструментов для автоматического уведомления пользователей о потенциальных рисках безопасности.

   • Индивидуальные настройки управления рисками: позволить пользователям настраивать правила управления рисками в соответствии с их потребностями.

2. Уровень пользователей

   • Дифференцированные решения по безопасности: предоставление многоуровневых решений по безопасности для различных пользователей.

   • Гибкий механизм авторизации: поддержка быстрого изменения диапазона авторизации пользователями в различных сценариях, чтобы соответствовать разнообразным требованиям.

   • Удобство экстренного реагирования: предоставление функции отмены авторизации и экстренной блокировки одним нажатием кнопки, чтобы обеспечить быстрое реагирование на события безопасности.

Заключение

Инцидент DEXX стал не только аварией безопасности, но и глубокой рефлексией для всей отрасли. Он напоминает нам, что технологические инновации не могут происходить за счет безопасности. Только если защита активов пользователей станет приоритетом, отрасль сможет добиться долгосрочного и здорового развития.

Для пользователей это обязательный курс повышения осведомленности о безопасности; для сторон проекта это срочная задача по улучшению механизмов безопасности; для всех участников отрасли это возможность продвижения стандартизации и здоровой конкуренции. Только найдя лучший баланс между инновациями и безопасностью, инструменты для транзакций в цепочке смогут выполнить обещание децентрализации и создать настоящую ценность для пользователей.

Инцидент DEXX станет частью истории, но предупреждения, которые он принес, будут направлять будущее. Давайте извлечем уроки из этого и совместно продвигаем экосистему блокчейна к более безопасному, зрелому и надежному будущему.

О нас

Hotcoin Research, как основной исследовательский отдел Hotcoin, стремится предоставить подробный и профессиональный анализ криптовалютного рынка. Наша цель — предоставить четкие рыночные инсайты и практические руководства для инвесторов различного уровня. Наши профессиональные материалы включают серию учебников «Заработай на Web3», глубокий анализ тенденций в криптовалютной отрасли, детальный анализ перспективных проектов и实时观察 рынка. Независимо от того, являетесь ли вы новичком, впервые исследующим криптомир, или опытным инвестором, ищущим глубокие инсайты, Hotcoin станет вашим надежным партнером в понимании и использовании рыночных возможностей.

Предупреждение о рисках

Волатильность на рынке криптовалют достаточно велика, инвестиции сами по себе несут риски. Мы настоятельно рекомендуем инвесторам проводить инвестиции только после полного понимания этих рисков и в рамках строгой системы управления рисками для обеспечения безопасности средств.

Веб-сайт: https://www.hotcoin.com/

X: x.com/Hotcoin_Academy

Электронная почта: labs@hotcoin.com

Medium: medium.com/@hotcoinglobalofficial