سرقة الأصول تضرب مرة أخرى: كيف تلافي الغابة المظلمة على Gate.io؟
في 16 نوفمبر، تم سرقة أصول المستخدم على منصة التداول على السلسلة الي DEXX، مما أدى إلى تخفيضات قصيرة الأجل كبيرة لعدة عملات ميم وتقليل حماسة سوق الميم بشكل كبير. وفقًا لتقديرات غير كاملة من المجتمع، أثرت حادثة DEXX على أكثر من 500 ضحية مستقلة، مع تقديرات الخسائر تصل إلى حوالي 13 مليون دولار.
صرح مؤسس DEXX روي أنه سيتم تعويض خسائر المستخدمين ، وأبلغ العديد من المستخدمين أن أصولهم قد تم عزلها لتأمين العناوين. ومع ذلك ، في حوادث سابقة مماثلة ، كانت الحالات التي تم فيها استرداد الأموال بنجاح وتعويض المستخدمين بشكل مرض نادرة.
ثغرة أمان-المفاتيح الخاصة
بعد سرقة DEXX، بدأت المجتمع في إعادة فحص هذه المنصة التجارية الخاصة بالميم.
تم إجراء تدقيق DEXX بواسطة Certik، الذي حصل DEXX على 59.31، وهو درجة رديئة أبرزت 9 مخاطر. بقيت المخاطر الرئيسية، "المركزية"، غير محلولة؛ لا تزال مخاطر مستوى الوسط، بما في ذلك "الشفرة الضعيفة"، غير معالجة؛ ومن بين أربع مخاطر منخفضة المستوى، تم حل واحد فقط.
سابقاً، ادعت DEXX استخدام محفظة غير تابعة للودائع لتخزين المفتاح الخاص. ومع ذلك، كشفت ملاحظات المجتمع أن DEXX في الواقع تدير مفاتيح المستخدمين من خلال أساليب مركزية.
قال مؤسس SlowMist يو جيان: "كان المستخدمون المتأثرون هم أولئك الذين شاركوا في تداول عملات الميم على DEXX. كانت المفاتيح الخاصة مُدارة مركزيًا من قبل DEXX وتم تسريبها بالتأكيد، على الرغم من أن طريقة التسرب لا تزال قيد البحث."
بالإضافة إلى ذلك، اكتشفت المجتمع أنه خلال تصدير مفتاح خاص من خلال أدوات المطور، تم عرض مفاتيح DEXX الخاصة على سبيل النص العادي، مما يعني أنه تم تخزينها فعليًا على الخوادم الرسمية. إذا لم تكن الاتصالات مشفرة، يمكن للمهاجمين اعتراض مفاتيح المستخدمين الخاصة أثناء النقل. حتى مع نقل HTTPS، يمكن أن يؤدي نقل المفاتيح الخاصة مباشرة إلى انتهاكات بيانات بسبب ثغرات المتصفح أو قضايا أمان أخرى.
سواء تم في النهاية تعتيب الحادث على أنه هجوم قراصنة أو سلوك داخلي، فمن الواضح أن DEXX كانت تعمل وفقًا للعقلية التي تقول: "المستخدمون لا يفهمون، وسهل التضليل، ولا يهمهم ما إذا كانت المفاتيح الخاصة فعليًا غير تابعة للحراسة." بينما لا يمكننا السيطرة على تصرفات أو مواقف فرق المشاريع، يمكننا اعتماد مبادئ لتقليل خسائرنا في حالات مماثلة. دون إدارة مشددة للمخاطر لأصول الشخص نفسه، لا يوجد ضمان للأموال الآمنة.
كيف تحمي نفسك
محافظة مقابل غير محافظة المحافظ
اختيار وسيلة آمنة لتخزين الأصول يبدأ باختيار محفظة موثوقة استنادًا إلى احتياجاتك. يمكن تصنيف محافظ العملات الرقمية الرئيسية إلى محافظ موكولة ومحافظ غير موكولة استنادًا إلى مكان تخزين المفاتيح الخاصة.
محافظ الأموال
محافظ العملات المشفرة التي تتم التحكم فيها تخزن الأصول نيابة عن المستخدمين. هذا يعني أن جهة ثالثة تحمل وتدير المفاتيح الخاصة. ونتيجة لذلك، لا يمكن للمستخدمين السيطرة الكاملة على أموالهم أو توقيع المعاملات. عند اختيار مزود خدمة محافظ، انظر إلى عوامل مثل الحالة التنظيمية، أنواع الخدمات، طرق تخزين المفتاح الخاص، وما إذا كانت توفر التأمين.
محافظ غير مؤسسية
محافظ العملات الرقمية غير التصرفية تمنح المستخدمين السيطرة الكاملة على مفاتيحهم الخاصة. هذا النوع من المحافظ مناسب لأولئك الذين يرغبون في السيطرة الكاملة على أموالهم. بدون تدخل وسيط، يمكن للمستخدمين تداول العملات الرقمية مباشرة من محافظهم. ومع ذلك، يعني ذلك أيضًا أن المستخدمين يتحملون مسؤولية كاملة عن مفاتيحهم، مواجهة مخاطر مثل الفقدان والهجمات.
تفصيل الأصول
تمامًا كما لا تضع جميع بيضك في سلة واحدة، من المهم فصل أصولك بشكل فعال. إليك نهج قياسي لتخزين الأصول:
- محفظة ساخنة: تستخدم للتفاعلات المتكررة، يجب ألا تخزن هذه المحفظة كميات كبيرة من الأصول - فقط ما يكفي لتغطية رسوم الغاز. تعتبر هذه المحفظة مناسبة للاستفادة من الفرص ولكن يجب إعدادها للسيطرة على خسائر الهجمات الاحتيالية المحتملة.
- محفظة ساخنة: محفظة معزولة للأصول مع التفاعلات الأقل تكرارًا، مثل تلك المستخدمة للرهان. تسمح بالمعاملات ولكن بتردد أقل من المحفظة الساخنة، مما يقلل من خطر تسرب المفتاح.
- المحفظة الباردة: يجب تخزين الأصول الكبيرة في محفظة عتيقة (تخزين بارد) لا تتفاعل عبر الإنترنت.
توصيات الأمان
- كن متشككًا في التوصيات غير المرغوب فيها؛ قم دائمًا بإجراء أبحاثك الخاصة حول آليات المنتج. استخدم الروبوتات التجارية التي لا تخزن المفاتيح الخاصة على الخوادم.
- اختر البوتات التجارية ذات العمليات طويلة المدى والفرق الاحترافية.
- تجنب النقر على الروابط المجهولة أو الرد على الرسائل في مجموعات تيليجرام.
- نقل الأموال الكبيرة إلى محفظة باردة بعد العمليات، بغض النظر عن الأدوات المستخدمة.
تذكير: توجد تقارير عن عمليات احتيال تستهدف ضحايا DEXX، مثل "مجموعات دعم الضحايا"، أو عروض "تسجيل سرقة DEXX"، أو "تعويض DEXX". يجب على المستخدمين أن يكونوا حذرين، ويتجنبوا رفع المفاتيح الخاصة أو عبارات البذور، وعدم ربط المحافظ للتأكيدات لتجنب المزيد من الأذى.
แชร์
บทความที่เกี่ยวข้อง
تقرير بحث Uniswap (UNI)
كاسبا (KAS) تقرير بحثي
من هو ساتوشي ناكاموتو؟
سرقة الأصول تضرب مرة أخرى: كيف تلافي الغابة المظلمة على Gate.io؟
في 16 نوفمبر، تم سرقة أصول المستخدم على منصة التداول على السلسلة الي DEXX، مما أدى إلى تخفيضات قصيرة الأجل كبيرة لعدة عملات ميم وتقليل حماسة سوق الميم بشكل كبير. وفقًا لتقديرات غير كاملة من المجتمع، أثرت حادثة DEXX على أكثر من 500 ضحية مستقلة، مع تقديرات الخسائر تصل إلى حوالي 13 مليون دولار.
صرح مؤسس DEXX روي أنه سيتم تعويض خسائر المستخدمين ، وأبلغ العديد من المستخدمين أن أصولهم قد تم عزلها لتأمين العناوين. ومع ذلك ، في حوادث سابقة مماثلة ، كانت الحالات التي تم فيها استرداد الأموال بنجاح وتعويض المستخدمين بشكل مرض نادرة.
ثغرة أمان-المفاتيح الخاصة
بعد سرقة DEXX، بدأت المجتمع في إعادة فحص هذه المنصة التجارية الخاصة بالميم.
تم إجراء تدقيق DEXX بواسطة Certik، الذي حصل DEXX على 59.31، وهو درجة رديئة أبرزت 9 مخاطر. بقيت المخاطر الرئيسية، "المركزية"، غير محلولة؛ لا تزال مخاطر مستوى الوسط، بما في ذلك "الشفرة الضعيفة"، غير معالجة؛ ومن بين أربع مخاطر منخفضة المستوى، تم حل واحد فقط.
سابقاً، ادعت DEXX استخدام محفظة غير تابعة للودائع لتخزين المفتاح الخاص. ومع ذلك، كشفت ملاحظات المجتمع أن DEXX في الواقع تدير مفاتيح المستخدمين من خلال أساليب مركزية.
قال مؤسس SlowMist يو جيان: "كان المستخدمون المتأثرون هم أولئك الذين شاركوا في تداول عملات الميم على DEXX. كانت المفاتيح الخاصة مُدارة مركزيًا من قبل DEXX وتم تسريبها بالتأكيد، على الرغم من أن طريقة التسرب لا تزال قيد البحث."
بالإضافة إلى ذلك، اكتشفت المجتمع أنه خلال تصدير مفتاح خاص من خلال أدوات المطور، تم عرض مفاتيح DEXX الخاصة على سبيل النص العادي، مما يعني أنه تم تخزينها فعليًا على الخوادم الرسمية. إذا لم تكن الاتصالات مشفرة، يمكن للمهاجمين اعتراض مفاتيح المستخدمين الخاصة أثناء النقل. حتى مع نقل HTTPS، يمكن أن يؤدي نقل المفاتيح الخاصة مباشرة إلى انتهاكات بيانات بسبب ثغرات المتصفح أو قضايا أمان أخرى.
سواء تم في النهاية تعتيب الحادث على أنه هجوم قراصنة أو سلوك داخلي، فمن الواضح أن DEXX كانت تعمل وفقًا للعقلية التي تقول: "المستخدمون لا يفهمون، وسهل التضليل، ولا يهمهم ما إذا كانت المفاتيح الخاصة فعليًا غير تابعة للحراسة." بينما لا يمكننا السيطرة على تصرفات أو مواقف فرق المشاريع، يمكننا اعتماد مبادئ لتقليل خسائرنا في حالات مماثلة. دون إدارة مشددة للمخاطر لأصول الشخص نفسه، لا يوجد ضمان للأموال الآمنة.
كيف تحمي نفسك
محافظة مقابل غير محافظة المحافظ
اختيار وسيلة آمنة لتخزين الأصول يبدأ باختيار محفظة موثوقة استنادًا إلى احتياجاتك. يمكن تصنيف محافظ العملات الرقمية الرئيسية إلى محافظ موكولة ومحافظ غير موكولة استنادًا إلى مكان تخزين المفاتيح الخاصة.
محافظ الأموال
محافظ العملات المشفرة التي تتم التحكم فيها تخزن الأصول نيابة عن المستخدمين. هذا يعني أن جهة ثالثة تحمل وتدير المفاتيح الخاصة. ونتيجة لذلك، لا يمكن للمستخدمين السيطرة الكاملة على أموالهم أو توقيع المعاملات. عند اختيار مزود خدمة محافظ، انظر إلى عوامل مثل الحالة التنظيمية، أنواع الخدمات، طرق تخزين المفتاح الخاص، وما إذا كانت توفر التأمين.
محافظ غير مؤسسية
محافظ العملات الرقمية غير التصرفية تمنح المستخدمين السيطرة الكاملة على مفاتيحهم الخاصة. هذا النوع من المحافظ مناسب لأولئك الذين يرغبون في السيطرة الكاملة على أموالهم. بدون تدخل وسيط، يمكن للمستخدمين تداول العملات الرقمية مباشرة من محافظهم. ومع ذلك، يعني ذلك أيضًا أن المستخدمين يتحملون مسؤولية كاملة عن مفاتيحهم، مواجهة مخاطر مثل الفقدان والهجمات.
تفصيل الأصول
تمامًا كما لا تضع جميع بيضك في سلة واحدة، من المهم فصل أصولك بشكل فعال. إليك نهج قياسي لتخزين الأصول:
- محفظة ساخنة: تستخدم للتفاعلات المتكررة، يجب ألا تخزن هذه المحفظة كميات كبيرة من الأصول - فقط ما يكفي لتغطية رسوم الغاز. تعتبر هذه المحفظة مناسبة للاستفادة من الفرص ولكن يجب إعدادها للسيطرة على خسائر الهجمات الاحتيالية المحتملة.
- محفظة ساخنة: محفظة معزولة للأصول مع التفاعلات الأقل تكرارًا، مثل تلك المستخدمة للرهان. تسمح بالمعاملات ولكن بتردد أقل من المحفظة الساخنة، مما يقلل من خطر تسرب المفتاح.
- المحفظة الباردة: يجب تخزين الأصول الكبيرة في محفظة عتيقة (تخزين بارد) لا تتفاعل عبر الإنترنت.
توصيات الأمان
- كن متشككًا في التوصيات غير المرغوب فيها؛ قم دائمًا بإجراء أبحاثك الخاصة حول آليات المنتج. استخدم الروبوتات التجارية التي لا تخزن المفاتيح الخاصة على الخوادم.
- اختر البوتات التجارية ذات العمليات طويلة المدى والفرق الاحترافية.
- تجنب النقر على الروابط المجهولة أو الرد على الرسائل في مجموعات تيليجرام.
- نقل الأموال الكبيرة إلى محفظة باردة بعد العمليات، بغض النظر عن الأدوات المستخدمة.
تذكير: توجد تقارير عن عمليات احتيال تستهدف ضحايا DEXX، مثل "مجموعات دعم الضحايا"، أو عروض "تسجيل سرقة DEXX"، أو "تعويض DEXX". يجب على المستخدمين أن يكونوا حذرين، ويتجنبوا رفع المفاتيح الخاصة أو عبارات البذور، وعدم ربط المحافظ للتأكيدات لتجنب المزيد من الأذى.
บทความที่เกี่ยวข้อง
تقرير بحث Uniswap (UNI)
كاسبا (KAS) تقرير بحثي