16 ноября средства пользователей на цепной торговой площадке DEXX были похищены, что привело к значительным краткосрочным сбросам нескольких мем-монет и серьезно подавило энтузиазм на рынке мемов. По неполным оценкам сообщества инцидент на DEXX повлиял на более чем 500 независимых жертв, с ущербом, оцениваемым примерно в 13 миллионов долларов.
Основатель DEXX Рой заявил, что убытки пользователей будут компенсированы, и несколько пользователей сообщили, что их активы были изолированы на безопасные адреса. Однако в подобных прошлых случаях случаи успешного восстановления средств и удовлетворительной компенсации пользователей были редкими.

Уязвимость безопасности — Приватные ключи

После кражи DEXX сообщество начало переосмысливать эту платформу для торговли мемами.
Аудит DEXX был проведен компанией Certik, которая оценила DEXX на уровне 59,31, неудовлетворительная оценка, выделив 9 рисков. Основной риск, «централизация», оставался нерешенным; два из четырех среднего уровня рисков, включая «уязвимый код», оставались нерешенными; и из четырех низкого уровня рисков только один был решен.

Ранее DEXX утверждал, что использует некастодиальный кошелек для хранения закрытого ключа. Однако наблюдения сообщества показали, что DEXX фактически управлял закрытыми ключами пользователей с помощью централизованных методов.
Основатель SlowMist Ю Цзян отметил: «Пострадавшие пользователи были те, кто участвовал в торговле мем-монетами на DEXX. Личные ключи были централизованно управляемы DEXX и определенно утекли, хотя метод утечки все еще находится под расследованием».
Кроме того, сообщество обнаружило, что во время экспорта закрытого ключа через средства разработчика закрытые ключи DEXX отображались в виде обычного текста, что означает, что они фактически хранились на официальных серверах. Если связь не была зашифрована, злоумышленники могли перехватывать закрытые ключи пользователей во время передачи. Даже при передаче через HTTPS прямое передача закрытых ключей могла привести к утечкам данных из-за уязвимостей браузера или других проблем безопасности.
Будь то инцидент окончательно признается хакерской атакой или внутренними недобросовестными действиями, очевидно, что DEXX действовал с предположением, что "пользователи не понимают, легко обманываются и не заботятся, являются ли частные ключи действительно некастодиальными". Хотя мы не можем контролировать отношение или действия команд проектов, мы можем принять принципы для минимизации наших потерь в подобных случаях. Без строгого управления рисками своих собственных активов нет гарантии безопасности средств.

Как защитить себя

Кастодиальные и некастодиальные кошельки

Выбор надежного способа хранения активов начинается с выбора надежного кошелька, основанного на ваших потребностях. Основные криптокошельки можно классифицировать на кастодиальные и некастодиальные в зависимости от того, где хранятся частные ключи.

Кастодиальные кошельки

Кастодиальные криптовалютные кошельки хранят активы от имени пользователей. Это означает, что третья сторона управляет и управляет частными ключами. Следовательно, пользователи не могут полностью контролировать свои средства или подписывать транзакции. При выборе поставщика услуг кастодии учитывайте такие факторы, как регулятивный статус, типы услуг, методы хранения частных ключей и предоставляется ли страхование.

Некастодиальные кошельки

Некастодиальные кошельки криптовалют дают пользователям полный контроль над их приватными ключами. Этот тип кошелька подходит для тех, кто желает иметь полный контроль над своими средствами. Без посредничества пользователи могут непосредственно торговать криптовалютами со своих кошельков. Однако это также означает, что пользователи несут полную ответственность за свои ключи, сталкиваясь с рисками потери и атак.

Разделение активов

Как вы не положите все яйца в одну корзину, важно эффективно сегрегировать ваши активы. Вот стандартный подход к хранению активов:

1. Горячий кошелек: Используется для частых взаимодействий, в этом кошельке не следует хранить большие суммы активов — достаточно только для покрытия комиссий за газ. Этот кошелек подходит для участия в возможностях, но его следует настроить для контроля потенциальных потерь от фишинговых атак.
2. Теплый кошелек: Изолированный кошелек для активов с менее частыми взаимодействиями, например, тех, которые используются для стейкинга. Он позволяет совершать транзакции, но с меньшей частотой, чем горячий кошелек, что снижает риск утечки ключей.
3. Холодный кошелек: Большие активы следует хранить в аппаратном кошельке (холодное хранение), который не взаимодействует онлайн.

Рекомендации по безопасности

1. Будьте скептически насчет непрошенных рекомендаций; всегда проводите свои исследования (Do Your Own Research) по механизмам продукта. Используйте торговых ботов, которые не хранят приватные ключи на серверах.
2. Выберите торговых ботов с длительным опытом работы и профессиональными командами.
3. Избегайте нажатия на неизвестные ссылки или ответов на сообщения в группах Telegram.
4. Переводите большие средства на холодный кошелек после совершения транзакций, независимо от используемых инструментов.

Напоминание: поступали сообщения о фишинговых атаках на жертв DEXX, такие как "группы поддержки жертв", "регистрация кражи DEXX" или предложения о компенсации DEXX. Пользователи должны быть осторожны, избегать загрузки частных ключей или фраз-сидов и не подтверждать подключение кошельков для предотвращения дальнейшего вреда.