16 листопада засоби користувачів на ланцюжковому торговому терміналі DEXX були вкрадені, що призвело до значних краткострокових знижень цін на кілька мем-монет та серйозно поглибило ентузіазм мем-ринку. За неповними оцінками спільноти інцидент на DEXX вплинув на понад 500 незалежних жертв, збитки оцінюються приблизно в $13 мільйонів.
Засновник DEXX Рой заявив, що збитки користувачів будуть компенсовані, і декілька користувачів повідомили, що їх активи були ізольовані на захищених адресах. Однак у подібних минулих випадках ситуації, коли кошти були успішно відновлені і користувачі були задоволені компенсацією, були рідкісні.

Уразливість безпеки — Приватні ключі

Після крадіжки DEXX спільнота почала знову розглядати цю платформу для торгівлі, специфічну для мемів.
Аудит DEXX був проведений Certik, який оцінив DEXX на 59.31, нескладний бал, який підкреслив 9 ризиків. Основний ризик, "централізація", залишався невирішеним; два з чотирьох середньорівневих ризиків, включаючи "вразливий код", все ще не були вирішені; і з чотирьох низькорівневих ризиків, тільки один був вирішений.

Раніше DEXX стверджував, що використовує не кастодіальний гаманець для зберігання закритого ключа. Однак спостереження спільноти показали, що DEXX фактично керував закритими ключами користувачів за допомогою централізованих методів.
Засновник SlowMist Ю Цзян зауважив: «Постраждалі користувачі були ті, хто брав участь в торгівлі мемами на DEXX. Приватні ключі були централізовано управляються DEXX і, безумовно, витекли, хоча метод витоку все ще перебуває в стадії розслідування».
Додатково, спільнота виявила, що під час експорту особистого ключа через інструменти розробника приватні ключі DEXX відображалися у відкритому вигляді, що означає, що вони фактично зберігалися на офіційних серверах. Якщо комунікація не була зашифрована, атакувальники могли перехопити особисті ключі користувачів під час передачі. Навіть з HTTPS передачею, передача приватних ключів безпосередньо могла призвести до порушень даних через вразливості браузера або інші проблеми з безпекою.
Чи в кінцевому підсумку подія буде визнана атакою хакера або внутрішньою недобросовісною поведінкою, очевидно, що DEXX працював у режимі, згідно з яким «користувачі не розуміють, легко обманюються і не цікавляться тим, чи є приватні ключі фактично некерованими». Хоча ми не можемо контролювати ставлення або дії команд проєкту, ми можемо прийняти принципи для мінімізації наших втрат в схожих випадках. Без жорсткого управління ризиками власних активів немає гарантії безпечності коштів.

Як захистити себе

Кастодіальні проти некастодіальних гаманців

Вибір надійного способу зберігання активів починається з вибору надійного гаманця з урахуванням ваших потреб. Основні криптогаманці можна класифікувати на кастодіальні та некастодіальні залежно від того, де зберігаються приватні ключі.

Кастодіальні гаманці

Клієнтські криптовалютні гаманці зберігають активи від імені користувачів. Це означає, що третя сторона утримує та керує приватними ключами. У зв'язку з цим користувачі не можуть повністю контролювати свої кошти або підписувати транзакції. При виборі постачальника клієнтських послуг обов'язково враховуйте такі фактори, як регуляторний статус, типи послуг, методи зберігання приватних ключів та наявність страхування.

Некастодіальні гаманці

Некастодіальні криптовалютні гаманці надають користувачам повний контроль над їхніми приватними ключами. Цей тип гаманця підходить для тих, хто бажає мати повний контроль над своїми коштами. Без посередньої участі, користувачі можуть безпосередньо торгувати криптовалютами зі своїх гаманців. Однак це також означає, що користувачі несуть повну відповідальність за свої ключі, стикаючись з ризиками, такими як втрата та атаки.

Розділення активів

Так само, як ви не положили б усі яйця в одну корзину, важливо ефективно відокремити свої активи. Ось стандартний підхід до зберігання активів:

1. Гарячий гаманець: Використовується для частих взаємодій, цей гаманець не повинен зберігати великі суми активів—лише достатньо, щоб покрити витрати на газ. Цей гаманець підходить для участі в можливостях, але його слід налаштувати для контролю можливих втрат від атаки фішингу.
2. Теплий гаманець: Ізольований гаманець для активів з менш частими взаємодіями, наприклад, тих, які використовуються для стейкінгу. Це дозволяє здійснювати транзакції, але з меншою частотою, ніж гарячий гаманець, що зменшує ризик витоку ключів.
3. Холодний гаманець: Великі активи слід зберігати в апаратному гаманці (холодне сховище), що не взаємодіє онлайн.

Рекомендації з безпеки

1. Будьте скептичними стосовно непроханих рекомендацій; завжди робіть своє дослідження (Do Your Own Research) щодо механізмів продукту. Використовуйте торгових ботів, які не зберігають приватні ключі на серверах.
2. Вибирайте торгові боти з довгостроковими операціями та професійними командами.
3. Уникайте натискання на невідомі посилання або відповіді на повідомлення в групах Telegram.
4. Перекладіть великі кошти на холодний гаманець після угод, незалежно від використаних інструментів.

Нагадування: Є звіти про шахрайські атаки, спрямовані на жертви DEXX, такі як "групи підтримки жертв", "реєстрація крадіжок DEXX" або пропозиції про "компенсацію DEXX". Користувачам слід бути обережними, уникати завантаження приватних ключів або додаткових фраз, і не підключати гаманці для підтвердження, щоб запобігти подальшим шкодам.