การปล้นทรัพย์เกิดขึ้นอีกครั้ง: วิธีการนำเข้า Gate.io ในป่ามืด?
เมื่อวันที่ 16 พฤศจิกายน สินทรัพย์ของผู้ใช้บนเทอร์มินัลการซื้อขายแบบออนเชน DEXX ถูกขโมยซึ่งนําไปสู่การทิ้งเหรียญมีมหลายเหรียญในระยะสั้นอย่างมีนัยสําคัญและทําให้ความกระตือรือร้นของตลาดมีมลดลงอย่างมาก ตามการประมาณการที่ไม่สมบูรณ์จากชุมชนเหตุการณ์ DEXX ได้ส่งผลกระทบต่อเหยื่ออิสระกว่า 500 รายโดยคาดว่าจะสูญเสียประมาณ 13 ล้านดอลลาร์
ผู้ก่อตั้ง DEXX คือ Roy ระบุว่าความสูญเสียของผู้ใช้จะได้รับการชดเชย และมีผู้ใช้หลายคนรายงานว่าสินทรัพย์ของพวกเขาถูกแยกออกไปยังที่อยู่ที่ปลอดภัย อย่างไรก็ตามในเหตุการณ์ที่คล้ายกันในอดีต กรณีที่เงินถูกกู้คืนเรียบร้อยและผู้ใช้ได้รับการชดเชยอย่างน่าพอใจมักจะเกิดขึ้นน้อย
ช่องโหว่ด้านความปลอดภัย—กุญแจส่วนตัว
หลังจากการโจมตี DEXX ชุมชนได้เริ่มตรวจสอบแพลตฟอร์มการซื้อขายที่เฉพาะเจาะจงนี้อีกครั้ง
การตรวจสอบของ DEXX ถูกดำเนินการโดย Certik ซึ่งให้คะแนน DEXX ที่ 59.31 คะแนน ซึ่งเป็นเกรดที่ไม่ผ่าน ที่เด่นขึ้น 9 ความเสี่ยง ความเสี่ยงหลัก "centralization" ยังคงไม่ได้รับการแก้ไข 2 จาก 4 ความเสี่ยงระดับกลาง รวมถึง "vulnerable code" ยังคงไม่ได้รับการแก้ไข และจาก 4 ความเสี่ยงระดับต่ำ มีเพียงหนึ่งความเสี่ยงที่ได้รับการแก้ไข
ก่อนหน้านี้ DEXX อ้างว่าใช้กระเป๋าเงิน non-custodial สำหรับการจัดเก็บกุญแจส่วนตัว อย่างไรก็ตาม การสังเกตของชุมชนเปิดเผยว่า DEXX จริงๆ ควบคุมกุญแจส่วนตัวของผู้ใช้ผ่านวิธีการที่มีการจัดกลุ่ม
Yu Jian ผู้ก่อตั้ง SlowMist กล่าวว่า "ผู้ใช้ที่ได้รับผลกระทบคือผู้ที่เกี่ยวข้องกับการซื้อขายเหรียญมีมบน DEXX คีย์ส่วนตัวได้รับการจัดการจากส่วนกลางโดย DEXX และรั่วไหลอย่างแน่นอนแม้ว่าวิธีการรั่วไหลยังอยู่ระหว่างการตรวจสอบ"
นอกจากนี้ ชุมชนพบว่าขณะส่งออกคีย์ส่วนตัวผ่านเครื่องมือนักพัฒนา DEXX คีย์ส่วนตัวถูกแสดงอย่างชัดแจ้งซึ่งหมายความว่าพวกเขาถูกเก็บไว้บนเซิร์ฟเวอร์ทางการจริง หากการสื่อสารไม่ได้เข้ารหัส ผู้บุกรุกสามารถขโมยคีย์ส่วนตัวของผู้ใช้ขณะส่งข้อมูลได้ แม้จะมีการส่งผ่าน HTTPS การโอนคีย์ส่วนตัวโดยตรงอาจเสี่ยงต่อการละเมิดข้อมูลเนื่องจากช่องโหว่ของเบราว์เซอร์หรือปัญหาด้านความปลอดภัยอื่น ๆ
ไม่ว่าเหตุการณ์ดังกล่าวจะถือว่าเป็นการโจมตีของแฮ็กเกอร์หรือการประพฤติมิชอบภายในก็ตาม จะเห็นได้ว่า DEXX ดําเนินการภายใต้แนวคิดที่ว่า "ผู้ใช้ไม่เข้าใจ ถูกหลอกได้ง่าย และไม่สนใจว่าคีย์ส่วนตัวนั้นไม่ใช่การดูแลอย่างแท้จริงหรือไม่" แม้ว่าเราจะไม่สามารถควบคุมทัศนคติหรือการกระทําของทีมโครงการได้ แต่เราสามารถนําหลักการมาใช้เพื่อลดความสูญเสียของเราในเหตุการณ์ที่คล้ายกัน หากไม่มีการจัดการความเสี่ยงที่เข้มงวดของสินทรัพย์ของตัวเองจะไม่มีการรับประกันเงินทุนที่ปลอดภัย
วิธีป้องกันตัวเอง
กระเป๋าเงินที่มีความปลอดภัยกับข้อความที่ไม่มีความปลอดภัย
การเลือกวิธีที่ปลอดภัยในการจัดเก็บสินทรัพย์เริ่มต้นด้วยการเลือกกระเป๋าเงินที่เชื่อถือได้ตามความต้องการของคุณ กระเป๋าเงินสกุลดิจิทัลหลักสามารถแบ่งออกเป็นกระเป๋าเงินฝากไว้และกระเป๋าเงินไม่ฝากไว้ตามที่เก็บกุญแจส่วนตัว
กระเป๋าเก็บรักษา
กระเป๋าเงินสกุลเงินดิจิทัลที่มีความมั่นคงในการรักษาสินทรัพย์ในนามของผู้ใช้ นั่นหมายความว่าบุคคลที่สามรับฝากและจัดการกุญแจส่วนตัว ดังนั้นผู้ใช้จึงไม่สามารถควบคุมทั้งหมดของเงินทุนหรือลงนามในการทำธุรกรรม ขณะเลือกบริการที่มีความมั่นคง ควรพิจารณาปัจจัยต่าง ๆ เช่น สถานะของกฎหมาย ประเภทของบริการ วิธีการจัดเก็บกุญแจส่วนตัว และว่ามีการรับประกันหรือไม่
กระเป๋าเงินที่ไม่ใช่ผู้เก็บบริการ
กระเป๋าเงินสกุลเงินดิจิทัลที่ไม่ใช่สมาชิกให้ผู้ใช้ควบคุมกุญแจส่วนตัวได้อย่างเต็มที่ ประเภทนี้ของกระเป๋าเงินเหมาะสำหรับผู้ที่ต้องการควบคุมทั้งหมดเงินของตนเอง โดยไม่มีการแทรกแซงจากผู้กลาง ผู้ใช้สามารถซื้อขายสกุลเงินดิจิทัลได้โดยตรงจากกระเป๋าเงินของพวกเขา อย่างไรก็ตาม สิ่งนี้หมายความว่า ผู้ใช้ต้องรับผิดชอบในเต็มที่สำหรับกุญแจของตนเอง ต้องเผชิญกับความเสี่ยงเช่นการสูญเสียและการโจมตี
การแยกทรัพย์สิน
เช่นเดียวกับการที่คุณไม่ควรวางไข่ทั้งหมดลงในตะกร้าเดียว สำคัญที่จะแยกสินทรัพย์ของคุณอย่างมีประสิทธิภาพ นี่คือวิธีการเก็บรักษาสินทรัพย์ที่มีมาตรฐาน:
- กระเป๋าเงินร้อน: ใช้สำหรับการโต้ตอบบ่อยๆ กระเป๋าเงินนี้ไม่ควรเก็บจำนวนสินทรัพย์มากเกินไป—เพียงพอที่จะ cover ค่า gas fees เท่านั้น กระเป๋าเงินนี้เหมาะสำหรับการเข้าร่วมโอกาส แต่ควรตั้งค่าเพื่อควบคุมการสูญเสียจากการโจมตีด้วยวิธีการขโมยข้อมูล
- กระเป๋าเงินร้อน: กระเป๋าเงินที่ถูกแยกออกมาสำหรับสินทรัพย์ที่มีการจับคู่ที่ไม่บ่อย เช่น สำหรับการจับคู่เหรียญ มันช่วยอนุญาตให้ทำธุรกรรมได้ แต่ที่ความถี่ต่ำกว่ากระเป๋าเงินร้อน ซึ่งจะลดความเสี่ยงในการรั่วคีย์
- Cold Wallet: สินทรัพย์ขนาดใหญ่ควรเก็บไว้ในกระเป๋าเงินฮาร์ดแวร์ (การเก็บรักษาแบบเย็น) ซึ่งไม่มีการติดต่อออนไลน์
คำแนะนำเกี่ยวกับความปลอดภัย
- ควรสงสัยถึงคำแนะนำที่ไม่ได้รับคำแนะนำเสมอ; ทำการค้นคว้าเอง (Do Your Own Research) เกี่ยวกับกลไกผลิตภัณฑ์เสมอ ใช้บอทการซื้อขายที่ไม่เก็บกุญแจส่วนตัวบนเซิร์ฟเวอร์
- เลือกใช้บอทเทรดที่มีการดำเนินการอย่างยาวนานและทีมงานมืออาชีพ
- หลีกเลี่ยงการคลิกที่ลิงก์ที่ไม่รู้จักหรือตอบกลับข้อความในกลุ่มเทเลเกรม
- โอนเงินมากไปยังกระเป๋าเย็นหลังจากธุรกรรม โดยไม่ว่าจะใช้เครื่องมือใด
การแจ้งเตือน: มีรายงานเรื่องการหลอกลวงเป้าหมายของ DEXX เช่น "กลุ่มสนับสนุนเหยียดหยาม", "การลงทะเบียนการโจมตี DEXX", หรือ "ข้อเสนอชดเชย DEXX" ผู้ใช้ควรระวัง, หลีกเลี่ยงการอัปโหลดกุญแจส่วนตัวหรือวลีเมล็ดพันธุ์, และไม่เชื่อมต่อวอลเล็ตเพื่อการยืนยันเพื่อป้องกันความเสียหายเพิ่มเติม
مقالات ذات صلة
Kaspa (KAS) รายงานการวิจัย
รายงานวิจัยเกี่ยวกับ Immutable X (IMX)
รายงานการวิจัย Uniswap (UNI)
การปล้นทรัพย์เกิดขึ้นอีกครั้ง: วิธีการนำเข้า Gate.io ในป่ามืด?
เมื่อวันที่ 16 พฤศจิกายน สินทรัพย์ของผู้ใช้บนเทอร์มินัลการซื้อขายแบบออนเชน DEXX ถูกขโมยซึ่งนําไปสู่การทิ้งเหรียญมีมหลายเหรียญในระยะสั้นอย่างมีนัยสําคัญและทําให้ความกระตือรือร้นของตลาดมีมลดลงอย่างมาก ตามการประมาณการที่ไม่สมบูรณ์จากชุมชนเหตุการณ์ DEXX ได้ส่งผลกระทบต่อเหยื่ออิสระกว่า 500 รายโดยคาดว่าจะสูญเสียประมาณ 13 ล้านดอลลาร์
ผู้ก่อตั้ง DEXX คือ Roy ระบุว่าความสูญเสียของผู้ใช้จะได้รับการชดเชย และมีผู้ใช้หลายคนรายงานว่าสินทรัพย์ของพวกเขาถูกแยกออกไปยังที่อยู่ที่ปลอดภัย อย่างไรก็ตามในเหตุการณ์ที่คล้ายกันในอดีต กรณีที่เงินถูกกู้คืนเรียบร้อยและผู้ใช้ได้รับการชดเชยอย่างน่าพอใจมักจะเกิดขึ้นน้อย
ช่องโหว่ด้านความปลอดภัย—กุญแจส่วนตัว
หลังจากการโจมตี DEXX ชุมชนได้เริ่มตรวจสอบแพลตฟอร์มการซื้อขายที่เฉพาะเจาะจงนี้อีกครั้ง
การตรวจสอบของ DEXX ถูกดำเนินการโดย Certik ซึ่งให้คะแนน DEXX ที่ 59.31 คะแนน ซึ่งเป็นเกรดที่ไม่ผ่าน ที่เด่นขึ้น 9 ความเสี่ยง ความเสี่ยงหลัก "centralization" ยังคงไม่ได้รับการแก้ไข 2 จาก 4 ความเสี่ยงระดับกลาง รวมถึง "vulnerable code" ยังคงไม่ได้รับการแก้ไข และจาก 4 ความเสี่ยงระดับต่ำ มีเพียงหนึ่งความเสี่ยงที่ได้รับการแก้ไข
ก่อนหน้านี้ DEXX อ้างว่าใช้กระเป๋าเงิน non-custodial สำหรับการจัดเก็บกุญแจส่วนตัว อย่างไรก็ตาม การสังเกตของชุมชนเปิดเผยว่า DEXX จริงๆ ควบคุมกุญแจส่วนตัวของผู้ใช้ผ่านวิธีการที่มีการจัดกลุ่ม
Yu Jian ผู้ก่อตั้ง SlowMist กล่าวว่า "ผู้ใช้ที่ได้รับผลกระทบคือผู้ที่เกี่ยวข้องกับการซื้อขายเหรียญมีมบน DEXX คีย์ส่วนตัวได้รับการจัดการจากส่วนกลางโดย DEXX และรั่วไหลอย่างแน่นอนแม้ว่าวิธีการรั่วไหลยังอยู่ระหว่างการตรวจสอบ"
นอกจากนี้ ชุมชนพบว่าขณะส่งออกคีย์ส่วนตัวผ่านเครื่องมือนักพัฒนา DEXX คีย์ส่วนตัวถูกแสดงอย่างชัดแจ้งซึ่งหมายความว่าพวกเขาถูกเก็บไว้บนเซิร์ฟเวอร์ทางการจริง หากการสื่อสารไม่ได้เข้ารหัส ผู้บุกรุกสามารถขโมยคีย์ส่วนตัวของผู้ใช้ขณะส่งข้อมูลได้ แม้จะมีการส่งผ่าน HTTPS การโอนคีย์ส่วนตัวโดยตรงอาจเสี่ยงต่อการละเมิดข้อมูลเนื่องจากช่องโหว่ของเบราว์เซอร์หรือปัญหาด้านความปลอดภัยอื่น ๆ
ไม่ว่าเหตุการณ์ดังกล่าวจะถือว่าเป็นการโจมตีของแฮ็กเกอร์หรือการประพฤติมิชอบภายในก็ตาม จะเห็นได้ว่า DEXX ดําเนินการภายใต้แนวคิดที่ว่า "ผู้ใช้ไม่เข้าใจ ถูกหลอกได้ง่าย และไม่สนใจว่าคีย์ส่วนตัวนั้นไม่ใช่การดูแลอย่างแท้จริงหรือไม่" แม้ว่าเราจะไม่สามารถควบคุมทัศนคติหรือการกระทําของทีมโครงการได้ แต่เราสามารถนําหลักการมาใช้เพื่อลดความสูญเสียของเราในเหตุการณ์ที่คล้ายกัน หากไม่มีการจัดการความเสี่ยงที่เข้มงวดของสินทรัพย์ของตัวเองจะไม่มีการรับประกันเงินทุนที่ปลอดภัย
วิธีป้องกันตัวเอง
กระเป๋าเงินที่มีความปลอดภัยกับข้อความที่ไม่มีความปลอดภัย
การเลือกวิธีที่ปลอดภัยในการจัดเก็บสินทรัพย์เริ่มต้นด้วยการเลือกกระเป๋าเงินที่เชื่อถือได้ตามความต้องการของคุณ กระเป๋าเงินสกุลดิจิทัลหลักสามารถแบ่งออกเป็นกระเป๋าเงินฝากไว้และกระเป๋าเงินไม่ฝากไว้ตามที่เก็บกุญแจส่วนตัว
กระเป๋าเก็บรักษา
กระเป๋าเงินสกุลเงินดิจิทัลที่มีความมั่นคงในการรักษาสินทรัพย์ในนามของผู้ใช้ นั่นหมายความว่าบุคคลที่สามรับฝากและจัดการกุญแจส่วนตัว ดังนั้นผู้ใช้จึงไม่สามารถควบคุมทั้งหมดของเงินทุนหรือลงนามในการทำธุรกรรม ขณะเลือกบริการที่มีความมั่นคง ควรพิจารณาปัจจัยต่าง ๆ เช่น สถานะของกฎหมาย ประเภทของบริการ วิธีการจัดเก็บกุญแจส่วนตัว และว่ามีการรับประกันหรือไม่
กระเป๋าเงินที่ไม่ใช่ผู้เก็บบริการ
กระเป๋าเงินสกุลเงินดิจิทัลที่ไม่ใช่สมาชิกให้ผู้ใช้ควบคุมกุญแจส่วนตัวได้อย่างเต็มที่ ประเภทนี้ของกระเป๋าเงินเหมาะสำหรับผู้ที่ต้องการควบคุมทั้งหมดเงินของตนเอง โดยไม่มีการแทรกแซงจากผู้กลาง ผู้ใช้สามารถซื้อขายสกุลเงินดิจิทัลได้โดยตรงจากกระเป๋าเงินของพวกเขา อย่างไรก็ตาม สิ่งนี้หมายความว่า ผู้ใช้ต้องรับผิดชอบในเต็มที่สำหรับกุญแจของตนเอง ต้องเผชิญกับความเสี่ยงเช่นการสูญเสียและการโจมตี
การแยกทรัพย์สิน
เช่นเดียวกับการที่คุณไม่ควรวางไข่ทั้งหมดลงในตะกร้าเดียว สำคัญที่จะแยกสินทรัพย์ของคุณอย่างมีประสิทธิภาพ นี่คือวิธีการเก็บรักษาสินทรัพย์ที่มีมาตรฐาน:
- กระเป๋าเงินร้อน: ใช้สำหรับการโต้ตอบบ่อยๆ กระเป๋าเงินนี้ไม่ควรเก็บจำนวนสินทรัพย์มากเกินไป—เพียงพอที่จะ cover ค่า gas fees เท่านั้น กระเป๋าเงินนี้เหมาะสำหรับการเข้าร่วมโอกาส แต่ควรตั้งค่าเพื่อควบคุมการสูญเสียจากการโจมตีด้วยวิธีการขโมยข้อมูล
- กระเป๋าเงินร้อน: กระเป๋าเงินที่ถูกแยกออกมาสำหรับสินทรัพย์ที่มีการจับคู่ที่ไม่บ่อย เช่น สำหรับการจับคู่เหรียญ มันช่วยอนุญาตให้ทำธุรกรรมได้ แต่ที่ความถี่ต่ำกว่ากระเป๋าเงินร้อน ซึ่งจะลดความเสี่ยงในการรั่วคีย์
- Cold Wallet: สินทรัพย์ขนาดใหญ่ควรเก็บไว้ในกระเป๋าเงินฮาร์ดแวร์ (การเก็บรักษาแบบเย็น) ซึ่งไม่มีการติดต่อออนไลน์
คำแนะนำเกี่ยวกับความปลอดภัย
- ควรสงสัยถึงคำแนะนำที่ไม่ได้รับคำแนะนำเสมอ; ทำการค้นคว้าเอง (Do Your Own Research) เกี่ยวกับกลไกผลิตภัณฑ์เสมอ ใช้บอทการซื้อขายที่ไม่เก็บกุญแจส่วนตัวบนเซิร์ฟเวอร์
- เลือกใช้บอทเทรดที่มีการดำเนินการอย่างยาวนานและทีมงานมืออาชีพ
- หลีกเลี่ยงการคลิกที่ลิงก์ที่ไม่รู้จักหรือตอบกลับข้อความในกลุ่มเทเลเกรม
- โอนเงินมากไปยังกระเป๋าเย็นหลังจากธุรกรรม โดยไม่ว่าจะใช้เครื่องมือใด
การแจ้งเตือน: มีรายงานเรื่องการหลอกลวงเป้าหมายของ DEXX เช่น "กลุ่มสนับสนุนเหยียดหยาม", "การลงทะเบียนการโจมตี DEXX", หรือ "ข้อเสนอชดเชย DEXX" ผู้ใช้ควรระวัง, หลีกเลี่ยงการอัปโหลดกุญแจส่วนตัวหรือวลีเมล็ดพันธุ์, และไม่เชื่อมต่อวอลเล็ตเพื่อการยืนยันเพื่อป้องกันความเสียหายเพิ่มเติม
مقالات ذات صلة
Kaspa (KAS) รายงานการวิจัย
รายงานวิจัยเกี่ยวกับ Immutable X (IMX)