감시자가 도둑질을 했는지 해커의 소행인지, DEXX 도난 사건 추적

저자: 리듬BlockBeats

11월 16일, 체인 상 거래 터미널 DEXX의 사용자 자산이 도난당했으며, 여러 meme 코인이 오늘 새벽 잠시 동안 대규모 폭락을 경험했습니다. 현재 보안 회사는 구체적인 도난 금액을 확인하지 못했으며, 커뮤니티에서는 현재 손실 자산이 1,600만 달러를 초과했다고 전해지고 있습니다.

DEXX 창립자 Roy는 오늘 아침 사용자 손실을 보상하겠다고 밝혔습니다. 현재까지 여러 사용자는 계좌 자산이 안전 주소로 격리되었다고 보고하고 있습니다.

DEXX 보안 취약점

DEXX 도난 사건 발생 후, 커뮤니티는 이 meme 전용 거래 플랫폼을 재검토하기 시작했으며, DEXX를 홍보했던 KOL도 사용자들의 원망을 사고 있습니다.

보안 기관인 느린 안개 창립자 유선은 "도난당한 사람들은 DEXX를 통해 똥개를 거래하거나 MEME를 거래한 것과 관련이 있으며, 개인 키는 DEXX 중앙화 관리에 속해 있어 분명히 유출되었고, 유출 방식 등은 조사 중에 공개될 것"이라고 말했습니다.

커뮤니티는 개발자 도구의 export_wallet 요청 정보를 기반으로 DEXX 개인 키를 내보낼 때 개인 키가 평문으로 표시된다는 것을 발견했습니다. 이는 사용자 개인 키가 실제로 공식 서버에 저장되어 있음을 의미합니다. 통신이 암호화 보호되지 않았다면, 공격자는 전송 과정에서 사용자의 개인 키를 가로챌 수 있으며, HTTPS 전송을 사용하더라도 개인 키가 직접 전송되면 브라우저 취약점이나 기타 보안 문제로 인해 개인 데이터가 유출될 수 있습니다.

따라서 일부 사용자는 "DEXX가 비관리형 지갑을 재정의했다"고 농담했습니다.

또한, 지갑 애플리케이션 OneKey는 DEXX가 "사용자 클립보드 내용 업로드" 권한을 반복적으로 요청하고 있으며, 사용자 클립보드 내용을 업로드했을 가능성이 있다고 밝혔습니다. "만약 당신이 휴대폰에서 개인 키 니모닉을 복사한 적이 있다면, 자산을 빨리 이동하세요."

DEXX의 감사는 Certik에 의해 완료되었으며, 제공된 감사 보고서에서 DEXX의 점수는 59.31점으로, 이 불합격 점수는 최대 9개의 위험을 의미합니다. 그 중 "중앙화"라는 주요 위험은 해결되지 않았으며, 4개의 중간 위험 중 2개는 해결되었고 2개는 해결되지 않았습니다. 또한 4개의 경미한 위험 중 1개만 해결되었습니다.

일부 사용자는 DEXX와 다양한 거래 봇이 보안 측면에서 모두 노출되어 있으며, 프로젝트 측은 예외 없이 하나의 마음가짐을 가지고 있다고 주장했습니다. "어차피 사용자도 모르고 신경 쓰지 않으니, 운이 좋은 동료들도 이렇게 하고 있지만 아직 도난당하지 않았고, 내가 신경 쓴다면 많은 연구 개발 비용과 사용자 경험의 대가를 치러야 하니, 그럼 나도 신경 쓸 필요가 없지."

이전에 BananaGun, Unibot에서도 도난 위험이 있었던 점을 감안할 때, 체인 상 거래는 여전히 "Not Your Keys, Not Your Money"입니다.

최신 정보 및 조사 진행 상황

11-16 14:12

GoPlus 보안 모니터링에 따르면, 현재 DEXX 도난 사용자들을 대상으로 한 "권리 보호 커뮤니티", "DEXX 도난 등록", "DEXX 보상" 등의 권리 보호 및 보상 관련 피싱 사기가 발견되었습니다. 사용자는 주의 깊게 식별하고, 개인 키/니모닉을 업로드하거나 지갑을 연결하여 확인하지 않도록 하여 2차 피해를 피해야 합니다.

11-16 14:02

느린 안개 창립자 유선은 소셜 미디어에 DEXX 사건 업데이트를 게시하며, 현재 느린 안개는 DEXX 도난과 관련된 요청 정보를 거의 500건 받았으며, 사건 분석이 진행 중이라고 밝혔습니다. 현재 초기 판단으로는 손실이 수천만 달러에 이를 것으로 보이며(일부 Meme 코인의 가격 변동이 너무 컸기 때문), 거의 모든 피해자에 해당하는 공격자 주소가 다르다는 점에서 이번 사건의 공격자가 사전 계획을 세운 것으로 보입니다. 가스 출처는 3일 전에 XMR로 교환된 것입니다.

11-16 13:27

블록체인 보안 감사 회사 CertiK는 최근 DEXX 플랫폼 사용자로부터 많은 도움 요청을 받았으며, 사용자들은 자신의 계좌 자산이 모두 비워졌다고 보고했습니다. CertiK가 확인한 바에 따르면, 이번 보안 사건은 Solana 체인에서 발생했지만, 해당 체인은 CertiK의 감사 범위에 포함되지 않습니다.

CertiK는 사건의 주요 원인이 DEXX 플랫폼의 개인 키 관리 부실로 인해 공식 개인 키가 유출되었다고 밝혔습니다.

11-16 12:30

느린 안개 창립자 유선은 소셜 미디어에서 "DEXX 사용자 누적 도난 4.88억 달러"라는 관련 스크린샷에 대해 반응하며, DEXX 사건에서 각 피해자에 해당하는 해커 주소가 모두 다르며, 도난 자금은 한 주소에 집중되지 않을 것이라고 밝혔습니다.

meme 가격 업데이트

11-16 08:56

GMGN 시세 데이터에 따르면, DEXX 도난의 영향을 받을 수 있는 BAN, LUCE, PNUT 등의 Meme이 다양한 정도로 하락했습니다. 그 중:

· BAN은 사건 발생 후 약 30% 하락하여 현재 가격은 0.126 달러입니다.

· LUCE는 사건 발생 후 약 20% 하락하여 현재 가격은 0.211 달러입니다.

· PNUT은 사건 발생 후 최대 약 12.5% 하락하여 현재 가격은 1.72 달러입니다.