El 16 de noviembre, los activos de los usuarios en la terminal de trading en cadena DEXX fueron robados, lo que provocó importantes caídas a corto plazo de múltiples criptomonedas meme y amortiguó severamente el entusiasmo del mercado meme. Según estimaciones incompletas de la comunidad, el incidente de DEXX ha afectado a más de 500 víctimas independientes, con pérdidas estimadas en alrededor de $13 millones.
El fundador de DEXX, Roy, declaró que las pérdidas de los usuarios serían compensadas, y varios usuarios informaron que sus activos habían sido aislados en direcciones seguras. Sin embargo, en incidentes pasados similares, los casos donde los fondos fueron recuperados con éxito y los usuarios compensados satisfactoriamente han sido raros.

Vulnerabilidad de seguridad: claves privadas

Tras el robo en DEXX, la comunidad ha comenzado a reexaminar esta plataforma de trading específica para memes.
La auditoría de DEXX fue realizada por Certik, que puntuó a DEXX con un 59.31, una calificación reprobatoria que destacó 9 riesgos. El riesgo principal, "centralización", seguía sin resolverse; dos de los cuatro riesgos de nivel medio, incluido "código vulnerable", aún no se habían abordado; y de los cuatro riesgos de nivel bajo, solo uno se había resuelto.

Anteriormente, DEXX afirmaba usar una billetera no custodial para el almacenamiento de claves privadas. Sin embargo, las observaciones de la comunidad revelaron que DEXX realmente gestionaba las claves privadas de los usuarios a través de métodos centralizados.
El fundador de SlowMist, Yu Jian, señaló: "Los usuarios afectados fueron aquellos involucrados en el comercio de monedas meme en DEXX. Las claves privadas eran gestionadas de forma centralizada por DEXX y definitivamente se filtraron, aunque el método de la filtración aún está bajo investigación."
Además, la comunidad descubrió que durante la exportación de la clave privada a través de las herramientas de desarrollo, las claves privadas de DEXX se mostraban en texto sin formato, lo que significa que en realidad estaban almacenadas en servidores oficiales. Si la comunicación no estaba cifrada, los atacantes podrían interceptar las claves privadas de los usuarios durante la transmisión. Incluso con la transmisión HTTPS, transferir las claves privadas directamente podría provocar brechas de datos debido a vulnerabilidades del navegador u otros problemas de seguridad.
Ya sea que el incidente sea finalmente considerado como un ataque de piratas informáticos o una mala conducta interna, es evidente que DEXX operaba bajo la mentalidad de que 'los usuarios no entienden, son fácilmente engañados y no les importa si las claves privadas son genuinamente no custodiadas'. Si bien no podemos controlar las actitudes o acciones de los equipos de proyectos, podemos adoptar principios para minimizar nuestras pérdidas en incidentes similares. Sin una gestión estricta del riesgo de los propios activos, no hay garantía de fondos seguros.

Cómo Protegerte

Carteras custodiales vs. Carteras no custodiales

Elegir una forma segura de almacenar activos comienza con la selección de una billetera confiable basada en tus necesidades. Las billeteras de criptomonedas convencionales pueden categorizarse en billeteras custodiales y no custodiales según dónde se almacenen las claves privadas.

Custodial Wallets

Las carteras de criptomonedas custodiales almacenan activos en nombre de los usuarios. Esto significa que un tercero posee y gestiona las claves privadas. En consecuencia, los usuarios no pueden tener un control completo sobre sus fondos o firmar transacciones. Al elegir un proveedor de servicios custodiales, considere factores como el estado regulatorio, los tipos de servicio, los métodos de almacenamiento de claves privadas y si se proporciona seguro.

Monederos no custodios

Las carteras de criptomonedas no custodiales otorgan a los usuarios el control total de sus claves privadas. Este tipo de cartera es adecuado para aquellos que desean tener un control completo sobre sus fondos. Sin intervención de intermediarios, los usuarios pueden comerciar directamente con criptomonedas desde sus carteras. Sin embargo, esto también significa que los usuarios asumen la plena responsabilidad de sus claves, enfrentando riesgos como pérdidas y ataques.

Segregación de activos

Así como no pondrías todos tus huevos en una sola canasta, es importante segreGate.io tus activos de manera efectiva. Aquí tienes un enfoque estándar para el almacenamiento de activos:

1. Hot Wallet: Utilizado para interacciones frecuentes, esta billetera no debe almacenar grandes cantidades de activos, solo lo suficiente para cubrir las tarifas de gas. Esta billetera es adecuada para participar en oportunidades, pero debe configurarse para controlar posibles pérdidas por ataques de phishing.
2. Monedero en frío: Un monedero aislado para activos con interacciones menos frecuentes, como los utilizados para el staking. Permite transacciones pero a una frecuencia menor que el monedero en caliente, reduciendo el riesgo de fugas de claves.
3. Cold Wallet: Los activos grandes deben almacenarse en una billetera de hardware (almacenamiento en frío) que no interactúa en línea.

Recomendaciones de seguridad

1. Sé escéptico respecto a recomendaciones no solicitadas; siempre haz tu propia investigación (DYOR, Do Your Own Research) sobre los mecanismos del producto. Utiliza bots de trading que no almacenen claves privadas en servidores.
2. Opte por robots de trading con operaciones de larga data y equipos profesionales.
3. Evite hacer clic en enlaces desconocidos o responder a mensajes en grupos de Telegram.
4. Transferir grandes fondos a una billetera fría después de las transacciones, independientemente de las herramientas utilizadas.

Recordatorio: Se han reportado casos de estafas de phishing dirigidas a víctimas de DEXX, como grupos de apoyo a las víctimas, registro de robo en DEXX o ofertas de compensación de DEXX. Los usuarios deben ser cautelosos, evitar subir claves privadas o frases de semilla, y no conectar billeteras para confirmaciones a fin de evitar mayores daños.