每逢牛市大瓜多,少不了安全事故。
近日,链上交易平台 DEXX 被爆发生安全事故,导致数千万美元的加密资产被盗,维权群迅速增加至 3000 人规模,堪称本年度最轰动加密安全案件。
根据公开消息,DEXX 是一个专注于 Memecoin 的全链交易平台,支持多种链上资产交易,在异常火爆的 MEME 热潮期间,DEXX 迅速蹿红,并且通过与大小知名 KOL 合作进行推广,并提供高额返佣以吸引用户。
目前可统计到的涉案资金已经超越 200 万个 SOL 和 2000 多万的 USDC 等资产,并且受其负面消息影响,多个 Meme 代币的价格也遭受重创。
众说纷纭:监守自盗还是黑客攻击?
事件发生后,DEXX 平台创始人 Roy 在社交媒体上表示将会补偿用户损失,并对部分用户的资产进行了隔离处理,但社区对此并不买账,许多用户质疑DEXX是蓄意跑路或监守自盗。
随着事件的进一步发酵,越来越多的证据表明 DEXX 平台存在重大安全问题,包括明文存储私钥、未加密传输私钥等,黑客可以轻松利用这些问题从服务器下载私钥并转移资产。
甚至可以剪贴板直接复制用户私钥,根据安全机构慢雾创始人的说法,可以确定 DEXX 的用户私钥中心化托管,并且已经泄露。
尽管 DEXX 官方表示正在全力解决,并与多地执法机关沟通立案,希望能与黑客进行沟通,但普遍认为如果 DEXX 确实存在 Rug 的监守自盗行为,维权过程只会复杂和艰难。
在事件发生后,陆续出现多个维权群,根据律师辨析,如果DEXX确实存在监守自盗的行为,则可能构成诈骗罪,根据《刑法》第二百六十六条的规定,主犯最高可能会被判处无期徒刑。
而 DEXX 则坚称是被黑客攻击,一方面安抚用户情绪,保证会全额赔偿,另一方面和安全机构合作,要求黑客退款。
安全建议:黑暗森林自我防护为主
事实上,DEXX 并不是个案,作为链上交易的中心环节,多个 DEX 平台频繁遭遇攻击,比如 2023年12月12日,OKX DEX 的代理管理员私钥可能被泄露,导致攻击者非法获利约270万美元。攻击者利用代理管理员私钥升级恶意代理合约,并通过 TokenApprove 函数窃取用户授权的资金。
许多用户错误地认为存储在区块链平台上的资产是安全的,而没有充分理解智能合约也存在设计错误的风险。尽管一些用户知道智能合约一旦部署就无法更改,但他们可能不知道可以通过代理合约、逻辑合约和存储合约等机制进行升级,从而为恶意行为者提供了利用漏洞的机会。
比如知名 DEX Curve 的合约一旦部署后便不可更改,以此来规避人为作恶可能性,但是合约本身也并非完全安全。Curve Finance 在2023年7月31日凌晨遭遇了一次严重的黑客攻击事件。黑客发现以太坊智能合约编程语言 Vyper 的某些版本(如0.2.15、0.2.16和0.3.0)存在重入锁失效的问题,使得攻击者能够反复调用智能合约的函数,直至资金耗尽。
具体来说,Vyper 的代码漏洞导致了重入锁保护失效,这使得攻击者可以在执行过程中多次进入合约函数,从而绕过原本应该防止重入攻击的机制。此外,Vyper 的测试用例存在问题,未能识别错误的 slot,最终导致重入攻击成功。尽管 Solidity 设定了“CEI 原则”以保护智能合约免受重入攻击,但 Curve 并未遵循这一原则,而是采用了 Vyper 编译器
Curve Finance 的多个稳定币池(如alETH/msETH/pETH)遭到了攻击,损失金额估计超过7000万美元。其中,CRV/ETH池在几分钟内就被盗空,损失约4200万美元,其他受影响的池子还包括msUSD/3Crv池和 msETH/ETH 池等多个主流资金池。
不仅造成 Curve 自身代币下降至 0.08 美元的历史低位,还导致大量链上协议的 TVL 骤降。
除此之外,区块链的安全智能合约存在多种常见的的漏洞形式,以下是一些主要的漏洞类型及其利用方式:
- 重入漏洞:
- 描述:在复杂合约调用场景下,多个合约间的相互调用可能导致代码重入,即在某个时刻调用方法中断,随后执行的合约代码再次调用该中断方法,攻击者可借此反复执行恶意代码。
- 利用方式:黑客通过重入漏洞反复调用某个函数,不断转移资产,从而盗取合约中的资金。例如,在紧急提取函数(emergencyWithdraw)中,黑客进行了多次盗窃行为。
2. 整数溢出漏洞:
- 描述:当整数超出其上限或下限时,会发生溢出,导致数值异常。
- 利用方式:攻击者可以在合约转账过程中利用此漏洞无偿获取货币。例如,在BEC合约中,攻击者利用整型溢出漏洞转出了约64亿的BEC Token,导致其市值近乎为0。
3. 变量混淆漏洞:
- 描述:开发人员在编写合约时,可能因变量混淆错误而引入漏洞。
- 利用方式:黑客可以通过变量混淆漏洞操控合约逻辑,从而实现非法操作和资金转移。
此外,在 Code is Law 的思维影响下,大多数人末人代码是安全的,但实际上其高度危险,因为写就代码的依然是人,用户往往忽视了人为错误、代码问题以及外部操纵对区块链系统的影响。例如,钓鱼攻击、社交工程、账户密码保护不力等都可能导致账户安全漏洞。
结语
用户安全始终是区块链的头等大事,作为价值互联网的 Web3 必须有能力保证价值的安全存储和传递。
CoinW 也采取了多种措施来保障用户的安全,比如应用CoinW 使用冷钱包存储大部分用户资产,有效降低了黑客攻击的风险,并采用多重签名技术来保护大额资金的转移,并且在 7 年的运营中保持安全无事故的运营记录。
