Pada 16 November, aset pengguna pada terminal perdagangan on-chain DEXX dicuri, menyebabkan penurunan signifikan jangka pendek dari beberapa koin meme dan sangat meredam antusiasme pasar meme. Menurut perkiraan yang tidak lengkap dari komunitas, insiden DEXX telah berdampak pada lebih dari 500 korban independen, dengan kerugian diperkirakan sekitar $13 juta.
Pendiri DEXX, Roy, menyatakan bahwa kerugian pengguna akan diganti, dan beberapa pengguna melaporkan bahwa aset mereka telah diisolasi ke alamat yang aman. Namun, dalam insiden serupa di masa lalu, kasus di mana dana berhasil dipulihkan dan pengguna diganti dengan memuaskan jarang terjadi.

Kerentanan Keamanan—Kunci Pribadi

Setelah pencurian DEXX, komunitas telah mulai untuk meninjau ulang platform perdagangan khusus meme ini.
Audit DEXX dilakukan oleh Certik, yang memberi skor DEXX pada 59,31, nilai gagal yang menyoroti 9 risiko. Risiko utama, "sentralisasi," tetap tidak terselesaikan; dua dari empat risiko tingkat menengah, termasuk "kode rentan," masih belum tertangani; dan dari empat risiko tingkat rendah, hanya satu yang telah diselesaikan.

Sebelumnya, DEXX mengklaim menggunakan dompet non-custodial untuk penyimpanan kunci pribadi. Namun, pengamatan komunitas mengungkapkan bahwa DEXX sebenarnya mengelola kunci pribadi pengguna melalui metode terpusat.
Pendiri SlowMist Yu Jian mencatat, "Pengguna yang terkena dampak adalah mereka yang terlibat dalam perdagangan koin meme di DEXX. Kunci privat dikelola secara terpusat oleh DEXX dan pasti bocor, meskipun metode kebocoran masih dalam penyelidikan."
Selain itu, komunitas menemukan bahwa selama ekspor kunci pribadi melalui alat pengembang, kunci pribadi DEXX ditampilkan dalam teks biasa, yang berarti mereka sebenarnya disimpan di server resmi. Jika komunikasi tidak dienkripsi, penyerang dapat menangkap kunci pribadi pengguna selama transmisi. Bahkan dengan transmisi HTTPS, mentransfer kunci pribadi secara langsung dapat menyebabkan pelanggaran data karena kerentanan browser atau isu keamanan lainnya.
Apakah insiden tersebut akhirnya dianggap sebagai serangan peretas atau pelanggaran internal, jelas bahwa DEXX beroperasi dengan mindset bahwa "pengguna tidak mengerti, mudah diperdaya, dan tidak peduli apakah kunci pribadi benar-benar non-kustodial." Meskipun kita tidak dapat mengendalikan sikap atau tindakan tim proyek, kita dapat mengadopsi prinsip-prinsip untuk meminimalkan kerugian kita dalam insiden serupa. Tanpa manajemen risiko yang ketat terhadap aset sendiri, tidak ada jaminan dana aman.

Bagaimana Melindungi Diri Anda

Dompet Penyimpanan vs. Dompet Non-Penyimpanan

Memilih cara yang aman untuk menyimpan aset dimulai dengan memilih dompet yang dapat diandalkan berdasarkan kebutuhan Anda. Dompet kripto utama dapat dikategorikan menjadi dompet kustodial dan non-kustodial berdasarkan di mana kunci privat disimpan.

Dompet Penyimpanan Amanah

Dompet kripto tanggung jawab menyimpan aset atas nama pengguna. Ini berarti pihak ketiga memegang dan mengelola kunci privat. Akibatnya, pengguna tidak dapat memiliki kendali penuh atas dana mereka atau menandatangani transaksi. Saat memilih penyedia layanan tanggung jawab, pertimbangkan faktor seperti status regulasi, jenis layanan, metode penyimpanan kunci privat, dan apakah asuransi disediakan.

Dompet Non-Custodial

Dompet kripto non-penjagaan memberikan pengguna kendali penuh atas kunci pribadi mereka. Jenis dompet ini cocok bagi mereka yang ingin memiliki kendali penuh atas dana mereka. Tanpa intervensi perantara, pengguna dapat langsung melakukan perdagangan kripto dari dompet mereka. Namun, hal ini juga berarti pengguna bertanggung jawab penuh atas kunci mereka, menghadapi risiko seperti kehilangan dan serangan.

Pemisahan Aset

Sama seperti Anda tidak akan meletakkan semua telur Anda dalam satu keranjang, penting untuk memisahkan aset Anda secara efektif. Berikut adalah pendekatan standar untuk penyimpanan aset:

1. Dompet Panas: Digunakan untuk interaksi yang sering, dompet ini sebaiknya tidak menyimpan jumlah aset yang besar—cukup untuk menutupi biaya gas. Dompet ini cocok untuk terlibat dalam peluang tetapi sebaiknya diatur untuk mengendalikan potensi kerugian serangan phishing.
2. Dompet Hangat: Sebuah dompet terisolasi untuk aset dengan interaksi yang lebih jarang, seperti yang digunakan untuk staking. Ini memungkinkan transaksi tetapi dengan frekuensi yang lebih rendah daripada dompet panas, mengurangi risiko kebocoran kunci.
3. Dompet Dingin: Aset besar sebaiknya disimpan di dompet keras (penyimpanan dingin) yang tidak berinteraksi secara online.

Rekomendasi Keamanan

1. Bersikap skeptis terhadap rekomendasi yang tidak diminta; selalu lakukan DYOR (Lakukan Riset Sendiri) terhadap mekanisme produk. Gunakan bot trading yang tidak menyimpan kunci privat di server.
2. Pilih bot perdagangan dengan operasi jangka panjang dan tim profesional.
3. Hindari mengklik tautan yang tidak dikenal atau merespons pesan di grup Telegram.
4. Transfer dana besar ke dompet dingin setelah transaksi, terlepas dari alat yang digunakan.

Pengingat: Telah ada laporan tentang penipuan phishing yang menargetkan korban-korban DEXX, seperti "kelompok dukungan korban," "pendaftaran pencurian DEXX," atau tawaran "kompensasi DEXX." Pengguna harus berhati-hati, hindari mengunggah kunci pribadi atau frasa benih, dan jangan menghubungkan dompet untuk konfirmasi guna mencegah kerugian lebih lanjut.