近期鏈上交易平台 DEXX 遭遇嚴重的資產竊盜事件,成為 2024 年加密貨幣領市場損失規模超過千萬的案件之一。 面對無所不在的駭客,一個時常在鏈上交互的用戶該如何自保?
DEXX 平台加密貨幣被盜的背景
DEXX 是一款支援多條區塊鏈的綜合交易工具,是為了解決市場上的 Telegram Bot 和去中心化交易所(DEX)安全性低、操作流程複雜、功能單一等問題,原先試圖為用戶提供更快捷、安全的交易體驗。先前就被用戶爆料創辦人經歷不單純,而就在爆料不久後,被駭客發現重大的安全漏洞。
2024 年 11 月 16 日,DEXX 平台突遭駭客攻擊,大量用戶資產被盜。根據安全公司慢霧(SlowMist)的調查,此次事件受害規模超過 8,620 個 Solana 錢包地址,受害用戶超過 900 人。初步損失估計約為 2,100 萬美元,但因相關代幣價格波動,截至 11 月底,損失額已攀升至近 3,000 萬美元。
DEXX 官方隨即發佈聲明,表示正透過鏈上監控駭客錢包並試圖凍結資金。同時平台也公開承諾,若駭客在 24 小時內歸還資產,將提供漏洞賞金及代幣獎勵。然而,截至目前為止,駭客仍未回應平台的請求,相關資金的追回的可能性看起來是微乎其微。
剖析為何 DEXX 的加密貨幣被盜:駭客是怎麼得手的?
DEXX 資產管理架構的漏洞
本次事件,正好暴露了 DEXX 平台資產管理架構中的重大缺陷。作為去中心化交易工具,DEXX 採用了一種接近中心化交易所的託管模式,允許用戶在平台生成錢包地址,但平台同時共享地址的操作權限。這種缺乏妥善隔離的架構,導致所有用戶資產直接暴露於駭客風險之下。
相比之下,傳統中心化交易所通常會實施更嚴格的安全管理策略,例如採用冷熱錢包、多重簽名或多層資產存儲架構和私鑰分散技術,以降低單一漏洞帶來的系統性風險。
DEXX 私鑰安全問題
根據調查,這次攻擊可能源於用戶私鑰洩露。私鑰作為加密資產的核心憑證,一旦被不法分子獲取,即可無限制地提取錢包內的資產。而 DEXX 平台在用戶私鑰的存儲和傳輸過程中,未能提供足夠的保護,成為駭客利用的突破口。
從 DEXX 看為何加密貨幣被盜:認識託管與自託管錢包
DEXX 事件也為用戶帶來了如何反思管理加密貨幣資產的契機,在平台生成託管錢包雖然看似方便容易,但使用自託管錢包是否更加安全?
託管錢包
・託管錢包優點:由第三方機構(如中心化交易所)管理,用戶只需使用簡單的操作界面即可進行交易,使用便利。有時候還能透過第三方找回遺失的帳號密碼。
・託管錢包風險:用戶的資產安全性完全仰賴平台的風控能力,一旦平台遭受攻擊或出現內部問題,用戶可能面臨損失。
自託管錢包
・自託管錢包優點:用戶持有完整的私鑰控制權,相當於擁有錢包百分之百的自主權,無需仰賴第三方管理,資產更具自主性。
・自託管錢包的挑戰:操作相對複雜,需要高度重視私鑰或助記詞的安全儲存,一旦遺失或洩露,用戶將無法找回資產。
如何避免加密貨幣被盜?從 DEXX 事件記取教訓
選擇更安全的錢包方案,並有意識的分散存放資產
加密用戶應根據自身需求,選擇適合的資產管理方案。在進行高額資產交易時,建議優先選擇自我託管模式,並妥善保管私鑰或助記詞。或者將資產分散在多個錢包當中,即使遭遇攻擊也不會損失所有資產。
提升對區塊鏈應用安全意識,認識常見的詐騙伎倆
避免盲目信任任何應用或平台。用戶需學會辨別潛在風險,例如不要過度信任宣稱好用的鏈上工具,或輕易點擊陌生連接和授權不明應用,這些行為都可能成為資產被盜的原因。也需認識常見的加密貨幣詐騙手法,有助於在遇到類似狀況時辨別是否正在步入陷阱,平日就積極建立安全意識。
2024 加密貨幣被盜現狀
好消息是,2024 年整體加密市場的駭客攻擊數量略有下降。根據 Immunefi 的數據,今年至今駭客共竊取約 15 億美元,較去年同期減少約 15%。然而,個別重大事件仍對市場信心造成影響,例如日本 DMM Bitcoin 被盜 3.05 億美元,印度 WazirX 被盜 2.35 億美元等。
與此同時,除了傳統駭客攻擊外,針對用戶的詐騙手段也層出不窮。例如,10 月份有 12,000 名受害者因網絡釣魚詐騙損失超過 2,020 萬美元。
透過加強安全意識並採取有效措施,用戶將能在充滿機遇的加密貨幣市場中,更好地保護自己的數位資產。