Hotcoin Research | Інцидент DEXX на мільярди: виявлення смертельних вразливостей безпеки на ланцюзі та самозахист

Один, вступ: безпекова криза, що шокувала торговий сектор на ланцюзі

У листопаді 2024 року серйозний інцидент безпеки на платформі DEXX вразив всю галузь. Хакерські атаки призвели до масового викрадення активів користувачів, а сума збитків швидко зросла до десятків мільйонів доларів. Цей інцидент виявив смертельні вразливості в безпековій архітектурі DEXX, перетворивши платформу, яка спочатку позиціонувалася як «неконтрольована» з зручним і ефективним досвідом торгівлі, на негативний приклад для обговорення в галузі.

З розвитком екосистеми DeFi інструменти для транзакцій на ланцюзі переживають бурхливий зріст. Ці інструменти привертають численних користувачів завдяки своїм «децентралізованим» та «неконтрольованим» характеристикам. Однак інцидент DEXX довів, що за зручністю часто ховаються величезні ризики для безпеки.

Чому інцидент DEXX заслуговує на увагу кожного торговця на ланцюзі?

1. Виявлення системних загроз безпеки: подія виявила вразливості, які широко поширені в дизайні та управлінні інструментами торгівлі на ланцюзі.

2. Роздуми над істинною суттю «неконтрольованих»: зняття завіси з деяких платформ, які зловживають концепцією «неконтрольованих» для приховування проблем безпеки.

3. Підвищення свідомості ризиків серед користувачів: надання цінних попереджень для користувачів та розробників, підкреслюючи важливість освіти щодо безпеки та профілактичних заходів.

Інцидент DEXX не лише є безпековою кризою, а й глибоким запитанням до стану галузі: як у рамках децентралізації врівноважити інновації та безпеку?

Два, глибокий аналіз інциденту DEXX

Позиціонування платформи та бізнес-модель

DEXX - це децентралізована торгова платформа, що спеціалізується на торгівлі мемом на ланцюзі, підтримує торгівлю мульти-ланцюговими активами, такими як SOL, ETH, BSC, та надає автоматизовані торгові інструменти та послуги з управління ліквідністю. Завдяки смарт-контрактам DEXX забезпечує зручний досвід торгівлі, проте цей інцидент виявив смертельні дефекти в технічній архітектурі платформи.

Помилка концепції «неконтрольованого»

Незважаючи на те, що DEXX стверджує, що використовує «неконтрольовану» модель, користувачі контролюють приватні ключі, насправді існує безліч ризиків:

• Зберігання приватних ключів у відкритому вигляді: користувачі експортують приватні ключі без шифрування, що робить їх вразливими під час передачі.

• Централізація прав: система управління правами, розроблена платформою, є занадто широкою, надаючи платформі фактичний контроль над активами користувачів.

• Ризики смарт-контрактів: смарт-контракти, які не пройшли належного аудиту, можуть мати задні двері, що дозволяє несанкціоновані операції.

Аналіз вразливостей безпеки

З технічної точки зору, DEXX має такі основні ризики безпеки:

1. Неправильне зберігання приватних ключів: платформа потайки записує приватні ключі користувачів, що дозволяє хакерам повністю контролювати активи після зламу.

2. Слабке управління правами: логіка авторизації не була розділена на рівні або обмежена, що призводить до потенційного зловживання активами користувачів з боку платформи.

3. Недостатній аудит коду: звіт аудиту показує, що у платформи є багато високих ризикових вразливостей, особливо проблема «централізації».

Статистика постраждалих активів

Згідно з аналізом даних на ланцюзі, активи, які постраждали внаслідок цього інциденту, включають:

• Основні токени: такі як ETH, SOL тощо.

• Стейблкойни: такі як USDT, USDC.

• Meme-коїни: такі як BAN, LUCE тощо, ціна яких різко впала через великі обсяги продажу.

Інцидент DEXX завдав користувачам економічних втрат і завдав руйнівного удару по довірі до інструментів торгівлі на ланцюзі.

Три, тривожний дзвінок: загальні проблеми інструментів торгівлі на ланцюзі

1. Істина про «неконтрольовані»

Інструменти «неконтрольованої» торгівлі вважаються стандартом безпеки децентралізованої торгівлі, але багато платформ на практиці не досягли справжнього контролю активів користувачів:

• Зловживання правами: вимога від користувачів надто високих прав, що призводить до надмірної централізації активів.

• Приховане управління: приватні ключі можуть зберігатися та управлятися платформою, що робить безпеку залежною від технічних можливостей платформи.

• Задні двері контракту: деякі смарт-контракти вбудовують адміністраторські права, що дозволяє платформі обходити авторизацію користувачів.

2. Безпекові проблеми торгових ботів

Автоматизовані торгові інструменти, надаючи зручність торгівлі, також вводять такі ризики:

• Високі вимоги до прав: торгові роботи вимагають доступу до приватних ключів користувачів або API-ключів, що значно підвищує ризики.

• Логічні вразливості: складна логіка торгівлі може бути використана зловмисниками для виклику аномальних транзакцій або маніпуляцій ринком.

• Централізоване управління: багато роботів, щоб підвищити швидкість торгівлі, зберігають активи користувачів під контролем платформи, що робить їх легкими мішенями для атак.

3. Технічні виклики управління приватними ключами

Управління приватними ключами як основа безпеки на ланцюзі стикається з такими викликами:

• Конфлікт між зручністю та безпекою: офлайн-зберігання є безпечним, але складним у використанні; онлайн-зберігання зручне, але несе високі ризики.

• Слабка механіка резервного копіювання: користувачі часто стикаються з ризиками через неправильне резервне копіювання (наприклад, зберігання у відкритому вигляді).

• Неправильний розподіл прав: логіка авторизації не має тонкого управління, і якщо права будуть розкриті, наслідки можуть бути серйозними.

4. Загальні проблеми подібних платформ

Аналіз показує, що інструменти торгівлі на ланцюзі загалом мають такі проблеми:

• Недостатній аудит: багато платформ не провели всебічний аудит безпеки третьою стороною.

• Слабкий контроль ризиків: не було встановлено належного моніторингу транзакцій та механізмів реагування на надзвичайні ситуації.

• Брак освіти користувачів: користувачі не мають базового розуміння логіки авторизації та безпечних операцій, платформа також не змогла надати ефективні вказівки.

Інцидент DEXX підкреслив короткі місця безпеки інструментів торгівлі на ланцюзі. Щоб сприяти здоровому розвитку галузі, платформи, користувачі та регулятори повинні спільно зміцнювати технічні та операційні норми.

Чотири, посібник з екстреного самозахисту для користувачів (практична частина)

Інцидент DEXX виявив недоліки безпеки в торгівлі на ланцюзі та попередив користувачів. У випадку подібних криз користувачі повинні швидко вжити заходів для зменшення втрат, одночасно створюючи довгострокові механізми захисту. Ось детальні інструкції та пропозиції щодо безпеки.

Вжити заходів негайно

1. Перевірка постраждалих активів

   • Використання блокчейн-браузерів (таких як Etherscan, Solscan) для перегляду історії транзакцій гаманця, щоб підтвердити наявність аномальних переказів.

   • Перевірка балансу активів, оцінка можливості крадіжки активів.

   • Перевірка стану авторизації смарт-контрактів, виявлення потенційних ризиків у записах авторизації.

   • Пріоритетний захист активів високої вартості, своєчасне планування їх переміщення.

2. Кроки для термінового переміщення активів

   • Підготовка нового та безпечного адреси гаманця, з гарантією, що приватний ключ не був розкритий.

   • Поетапне переміщення активів за важливістю (наприклад, стейблкойни, основні токени).

   • Виконання операцій у безпечному мережевому середовищі, уникання використання публічного Wi-Fi та заражених пристроїв.

   • Встановлення відповідних витрат на Gas, щоб забезпечити швидке завершення транзакцій.

3. Відкликання авторизаційних операцій

   • Використання інструментів (таких як Revoke.cash) для перевірки та відкликання підозрілих авторизацій, щоб запобігти їх використанню хакерами.

   • Пріоритетне відкликання авторизацій для високоризикових контрактів, збереження записів операцій для подальшого розслідування.

   • Збільшення витрат на Gas для прискорення процесу відкликання авторизацій, щоб уникнути дій зловмисників.

4. Збереження доказів

   • Збереження скріншотів відповідних записів транзакцій, включаючи мітки часу, хеші транзакцій, адреси контрактів та інші деталі.

   • Експорт повної історії транзакцій гаманця як матеріалів справи.

   • Збереження всіх комунікацій з платформою (електронні листи, оголошення, скріншоти з соціальних медіа).

   • Збір медіа-репортажів та офіційних заяв для майбутніх запитів про відшкодування та компенсацію.

5. Керівництво з подачі заяв до поліції та захисту прав

   • Повідомлення місцевій кіберполіції або відділу кібербезпеки, надання повної історії транзакцій та опису події.

   • Зв'язок з професійними компаніями з безпеки блокчейн для допомоги у відстеженні викрадених активів.

   • Збереження квитанцій про подачу заяви до поліції та звернення за допомогою професійних юридичних команд для планування стратегії захисту прав у міжнародних або складних ситуаціях.

   • Приєднання до групи захисту прав жертв, обмін інформацією та планами дій з іншими жертвами.

Постійне запобігання

1. Найкращі практики безпечного зберігання приватних ключів

   • Використання апаратних гаманців (таких як Ledger, Trezor) для зберігання активів високої вартості, забезпечуючи фізичну безпеку.

   • Регулярне резервне копіювання мнемонічних фраз або приватних ключів, використання багатошифрувального захисту та розподіл зберігання.

   • Уникнення зберігання приватних ключів у хмарних сервісах або онлайн-пристроях, зменшуючи ризик крадіжки.

2. Стратегія розподілу активів

   • Розрізнення гарячих гаманців (для торгівлі) та холодних гаманців (для тривалого зберігання).

   • Розподіл активів за призначенням, наприклад, окреме налаштування гаманців для інвестицій та повсякденних торгів.

   • Регулярна перевірка розподілу активів, щоб забезпечити належний розподіл ризиків.

3. Критерії відбору безпечних торгових інструментів

   • Дослідження фону команди або платформи, технічних можливостей і безпеки.

   • Підтвердження, чи пройшла платформа аудит безпеки авторитетними організаціями та читання детальних звітів аудиту.

   • Звернення уваги на зворотний зв'язок спільноти, щоб дізнатися про оцінки користувачів інструменту та обробку історичних інцидентів безпеки.

4. Список заходів безпеки для щоденних операцій

   • Виконання операцій у надійному мережевому середовищі, уникання використання публічного Wi-Fi.

   • Регулярне оновлення програмного забезпечення безпеки пристроїв, активація антивірусного захисту та брандмауера.

   • Обережне ставлення до запитів авторизації, особливо до невідомих або неаудованих смарт-контрактів.

   • Використання інструментів моніторингу облікових записів, встановлення торгових сповіщень для своєчасного виявлення аномальної поведінки.
     

П'ять, просунуті заходи захисту: створення особистого захисту активів

Проблема безпеки активів на ланцюзі є тривалою та складною, особливо в умовах частих інцидентів безпеки інструментів та платформ для торгівлі. Для підвищення здатності до захисту безпеки користувачі повинні створити «захисний мур» від базового апаратного забезпечення до технологічних налаштувань. Ось просунуті рекомендації щодо захисту для користувачів.

1. Посібник з використання апаратних гаманців

Апаратні гаманці через їх властивість офлайн-зберігання стали найкращим вибором для захисту цифрових активів, але їх правильне використання є передумовою для забезпечення безпеки.

• Придбання справжніх апаратних гаманців
  Купуйте основні бренди (таких як Ledger, Trezor, Onekey) через офіційні канали, щоб уникнути підробок. Уникайте використання вживаних пристроїв, щоб не допустити їх зміни.

• Безпечна активація та ініціалізація
  Завершення ініціалізації апаратного гаманця в офлайн-середовищі, генерування мнемонічних фраз і забезпечення, щоб їх не записали чи не розкрили інші особи.

• Резервне копіювання мнемонічних фраз та приватних ключів
  Записуйте мнемонічні фрази на вогнестійких та водостійких матеріалах (наприклад, металевих пластинах або папері), зберігайте в кількох безпечних місцях, уникаючи цифрового зберігання.

• Уваги в щоденному використанні
  Апаратний гаманець підключайте лише у надійному мережевому середовищі, уникаючи використання публічного Wi-Fi або небезпечних пристроїв. Регулярно оновлюйте прошивку пристрою, щоб виправити відомі вразливості.

Два. Налаштування мультипідписного гаманця

Мультипідписний гаманець (Multi-Sig) — це високий інструмент безпеки, придатний для управління активами з високою вартістю, підвищуючи безпеку операцій через встановлення багатосторонньої авторизації.

• Встановлення порогового значення для мультипідпису
  Визначення порогу авторизації для мультипідпису (наприклад, 3/5 або 2/3), забезпечуючи баланс між безпекою та зручністю.

• Конфігурація прав підписантів
  Чітке визначення прав та обов'язків кожного підписанта, уникнення централізації прав або одноточкових відмов.

• Встановлення правил підпису
  Встановлення диференційованих порогів авторизації для різних типів транзакцій (наприклад, переміщення активів, взаємодія зі смарт-контрактами).

• План відновлення в надзвичайних ситуаціях
  Конфігурація резервних підписантів або прав на екстрене відновлення, щоб у разі недоступності основного підписанта активи не були заблоковані назавжди.

Три. Рамки оцінки безпеки торгових інструментів

При виборі інструментів або платформ для торгівлі на ланцюзі користувачі повинні систематично оцінювати їхню безпеку та надійність.

• Ступінь відкритості коду
  Вибір відкритих інструментів, які дозволяють спільноті перевіряти код, швидко виявляти та виправляти вразливості.

• Стан аудиту смарт-контрактів
  Перевірка, чи пройшов інструмент аудит безпеки авторитетними організаціями (наприклад, SlowMist), та уважне прочитання відповідних звітів аудиту.

• Дослідження фону команди
  З'ясування технічного фону розробницької команди та історії попередніх проектів, щоб оцінити їхню надійність і професійний рівень.

• Активність спільноти та відгуки користувачів
  Аналіз зворотного зв'язку спільноти щодо інструментів та рівня активності, особливо акцент на обробці історичних інцидентів безпеки.

• Механізм контролю ризиків
  Перевірка, чи платформа пропонує мультипідпис, сповіщення про аномальні транзакції та інші заходи контролю ризиків, а також чи має механізм страхування активів.

4. Рекомендації щодо інструментів моніторингу безпеки на ланцюзі

Професійні інструменти моніторингу на ланцюзі можуть допомогти користувачам в реальному часі контролювати динаміку активів та своєчасно виявляти потенційні загрози.

• Інструменти моніторингу активів

  • Рекомендовані інструменти: DeBank, Zapper

  • Функція: моніторинг балансу та історії транзакцій мульти-ланцюгових активів, що допомагає користувачам повністю контролювати стан активів.

• Інструмент моніторингу контрактів

  • Рекомендовані інструменти: Tenderly, Defender, Goplus

  • Функція: реальний моніторинг стану виконання смарт-контрактів, виявлення потенційних вразливостей або аномальної поведінки.

• Інструмент моніторингу транзакцій

  • Рекомендовані інструменти: Nansen, Dune Analytics

  • Функція: аналіз даних транзакцій на ланцюзі, моніторинг руху коштів, своєчасне виявлення аномальних операцій.

• Інструмент попередження ризиків

  • Рекомендовані інструменти: Forta Network

  • Функція: надання реальних попереджень про ризики та виявлення атак на ланцюзі, що допомагає користувачам вжити заходів захисту в першу чергу.
    

Шість, роздуми та перспектива

Інцидент DEXX має наслідки не лише для постраждалих користувачів, але й сигналізує про проблеми для всієї галузі. Він виявляє потенційні ризики технічної архітектури та операційних моделей інструментів торгівлі на ланцюзі, одночасно пропонуючи глибокі роздуми та напрямки для вдосконалення для проектів, користувачів та розвитку галузі.

1. Межі відповідальності проекту

Проект відіграє подвійну роль розробника технологій та оператора в екосистемі на ланцюзі, його відповідальність охоплює безпеку, прозорість та управління ризиками.

1. Базова відповідальність за безпеку

   • Аудит безпеки коду: регулярний аудит безпеки третьою стороною для забезпечення безпеки смарт-контрактів та системи.

   • Програма винагород за вразливості: залучення спільноти та експертів з безпеки для активного виявлення вразливостей та надання рішень.

   • Система резервування ризиків: створення спеціального фонду для відшкодування втрат користувачам у випадку інцидентів безпеки.

   • Механізм реагування на надзвичайні ситуації: створення професійної команди для швидкого реагування та обробки інцидентів безпеки, зменшення масштабу впливу.

2. Обов'язок розкриття інформації

   • Обов'язок попередження про ризики: чітке інформування користувачів про потенційні ризики та поради з безпеки перед авторизацією або використанням платформи.

   • Своєчасність повідомлення про інциденти: своєчасне інформування користувачів про ситуацію та надання рішень після виникнення інциденту.

   • Програма відшкодування збитків: визначення чітких правил компенсації, щоб уникнути руйнування довіри після інциденту.

   • Прозорість технічної архітектури: публічне розкриття технічної архітектури платформи та механізмів управління правами, підлягає контролю з боку користувачів.

2. Межі відповідальності KOL в просуванні та оцінка довіри

Як лідер думок (KOL), його промоційна діяльність має глибокий вплив на рішення та довіру користувачів. Важливо чітко визначити межі його відповідальності та оцінити довіру.

1. Визначення відповідальності KOL

   • Обов'язок проведення належної перевірки: глибоке розуміння технічного фону та безпеки перед просуванням будь-якого проекту.

   • Відповідальність за перевірку інформації: перевірка відповідності заяв проекту реальному стану справ, уникнення введення в оману користувачів.

   • Розкриття інтересів: публічне розкриття співпраці з проектами та моделей комісій, забезпечення прозорості.

   • Вимоги до попередження про ризики: включення попереджень про ризики в просування, сприяння незалежному судженню користувачів.

2. Показники оцінки довіри

   • Професійний фон: чи має KOL фахові знання та досвід в області блокчейн.

   • Історія просування: наскільки безпечні та надійні його минулі просувані проекти, як оцінюють користувачі.

   • Залежність від інтересів: чи існує надмірна залежність від доходу від просування, що впливає на об'єктивність.

   • Достатність попереджень про ризики: чи були висвітлені потенційні ризики проекту і надані рекомендації.

Три. Пробудження свідомості безпеки користувачів

Користувачі є останньою лінією оборони в екосистемі на ланцюзі. Підвищення свідомості безпеки користувачів є ключовим для запобігання втратам активів.

1. Базова свідомість безпеки

   • Управління безпекою приватних ключів: належне зберігання приватних ключів та мнемонічних фраз, уникання онлайн зберігання або передачі через небезпечні канали.

   • Принцип обережності при авторизації: ретельно оцінювати запити на авторизацію смарт-контрактів, намагатися уникати надмірної авторизації.

   • Розподіл активів: розподіл активів на кілька гаманців, зменшуючи ризик одноточкової відмови.

   • Свідомість контролю ризиків: регулярна перевірка стану авторизації, відкликання непотрібних прав, забезпечення безпеки облікового запису.

2. Просунуті практики безпеки

   • Використання мультипідпису: підвищення бар'єру доступу до операцій з активами високої вартості через мультипідпис.

   • Конфігурація інструментів безпеки: використання апаратних гаманців та інструментів моніторингу на ланцюзі для побудови комплексної системи захисту.

   • Регулярна перевірка безпеки: перевірка стану гаманця, записів авторизації та розподілу активів, виявлення потенційних ризиків.

   • Підготовка плану дій на випадок надзвичайних ситуацій: розробка чітких планів дій, щоб швидко вжити заходів у разі крадіжки активів.

4. Напрямки розвитку інструментів торгівлі на ланцюзі

У майбутньому інструменти торгівлі на ланцюзі повинні здійснити всебічну оптимізацію в технічних та операційних аспектах, щоб відновити довіру користувачів та сприяти розвитку галузі.

1. Оптимізація технічної архітектури

   • Тонке управління правами: обмеження обсягу наданих прав, уникнення надмірної авторизації.

   • Механізм багаторазової перевірки: впровадження двоетапної перевірки або динамічної авторизації для підвищення безпеки операцій.

   • Система управління ризиками: поєднання моніторингу в реальному часі та автоматичного попередження для виявлення та обробки аномальної поведінки.

   • Підвищення рівня децентралізації: зменшення залежності від централізованих компонентів, справжній контроль активів.

2. Удосконалення механізмів безпеки

   • Впровадження страхових механізмів: надання безпеки активів користувачів за допомогою страхових продуктів.

   • Оновлення системи управління ризиками: використання AI та великих даних для побудови динамічних механізмів контролю ризиків.

   • Регулярність аудиту: включення аудиту безпеки третьою стороною в щоденні операційні процеси проекту для забезпечення постійного вдосконалення.

   • Моніторинг у всіх сценаріях: покриття як безпечних, так і небезпечних сценаріїв, зниження ризику активів.

5. Баланс між безпекою та зручністю

Інструменти торгівлі на ланцюзі повинні знайти баланс між безпекою та досвідом користувача, щоб краще задовольнити потреби користувачів.

1. Технічний рівень

   • Спрощення процесів безпеки: оптимізація дизайну інтерфейсу та керівництв, зменшення складності дій користувачів.

   • Оптимізація досвіду користувача: підвищення плавності та ефективності дій без жертвування безпекою.

   • Автоматизовані перевірки безпеки: інтеграція інтелектуальних інструментів, автоматичне попередження користувачів про потенційні ризики для безпеки.

   • Індивідуальні налаштування управління ризиками: дозволити користувачам налаштовувати правила контролю ризиків відповідно до їх потреб.

2. Рівень користувачів

   • Диференційовані рішення безпеки: надання рівневих рішень безпеки для різних користувачів.

   • Гнучкий механізм авторизації: підтримка швидкої зміни обсягу авторизації в різних сценаріях для задоволення різноманітних потреб.

   • Зручне реагування на надзвичайні ситуації: надання функцій одноразового відкликання авторизації та термінового блокування для швидкого реагування на інциденти безпеки.

Заключення

Інцидент DEXX є не лише безпековою катастрофою, а й глибоким роздумом для всієї галузі. Він нагадує нам, що технологічні інновації не можуть досягатися ціною безпеки. Лише ставлячи захист активів користувачів в центр, галузь може досягти справжнього довгострокового здорового розвитку.

Для користувачів це обов'язковий урок підвищення свідомості безпеки; для проектів це термінове завдання щодо вдосконалення механізмів безпеки; для всіх учасників галузі це можливість сприяти стандартизації та здоровій конкуренції. Лише знайдучи оптимальний баланс між інноваціями та безпекою, інструменти торгівлі на ланцюзі можуть виконати обіцянку децентралізації та створити справжню цінність для користувачів.

Інцидент DEXX стане минулим, але його попередження вказуватиме на майбутнє. Давайте вчитися на ньому та разом рухатися до більш безпечного, зрілого та надійного майбутнього блокчейн-екосистеми.

Про нас

Hotcoin Research, як основний інвестиційний дослідницький відділ Hotcoin, прагне надати детальний та професійний аналіз ринку криптовалют. Наша мета - надати чітке ринкове розуміння та практичні інструкції для інвесторів різного рівня. Наша професійна інформація включає серії навчальних матеріалів «Граємо в Web3», глибокий аналіз тенденцій в індустрії криптовалют, детальні роз'яснення потенційних проектів та моніторинг ринку в реальному часі. Незалежно від того, чи ви новачок у дослідженні криптовалют, чи досвідчений інвестор, який шукає глибоке розуміння, Hotcoin стане вашим надійним партнером у розумінні та захопленні можливостей на ринку.

Попередження про ризики

Волатильність ринку криптовалют є значною, інвестиції самі по собі несуть ризики. Ми настійно рекомендуємо інвесторам здійснювати інвестиції, маючи повне розуміння цих ризиків, а також у рамках суворого управління ризиками для забезпечення безпеки коштів.

Вебсайт: https://www.hotcoin.com/

X: x.com/Hotcoin_Academy

Пошта: labs@hotcoin.com

Medium: medium.com/@hotcoinglobalofficial