Em 16 de novembro, os ativos dos usuários na plataforma de negociação on-chain DEXX foram roubados, levando a quedas significativas de curto prazo de várias moedas meme e prejudicando severamente o entusiasmo do mercado meme. De acordo com estimativas incompletas da comunidade, o incidente da DEXX impactou mais de 500 vítimas independentes, com perdas estimadas em torno de $13 milhões.
O fundador da DEXX, Roy, afirmou que as perdas dos usuários seriam compensadas, e vários usuários relataram que seus ativos haviam sido isolados em endereços seguros. No entanto, em incidentes semelhantes no passado, casos em que os fundos foram recuperados com sucesso e os usuários foram compensados de forma satisfatória foram raros.

Vulnerabilidade de Segurança—Chaves Privadas

Após o roubo do DEXX, a comunidade começou a reexaminar esta plataforma de negociação específica de memes.
A auditoria da DEXX foi realizada pela Certik, que atribuiu à DEXX uma pontuação de 59,31, uma classificação reprovada que destacou 9 riscos. O principal risco, “centralização”, permaneceu sem solução; dois dos quatro riscos de nível médio, incluindo “código vulnerável”, ainda não foram abordados; e dos quatro riscos de nível baixo, apenas um foi resolvido.

Anteriormente, a DEXX afirmava usar uma carteira não custodial para armazenamento de chaves privadas. No entanto, observações da comunidade revelaram que a DEXX na realidade geria as chaves privadas dos utilizadores através de métodos centralizados.
O fundador da SlowMist, Yu Jian, observou: "Os utilizadores afetados foram aqueles envolvidos na negociação de moedas meme na DEXX. As chaves privadas eram geridas centralmente pela DEXX e definitivamente foram divulgadas, embora o método da divulgação ainda esteja sob investigação."
Além disso, a comunidade descobriu que, durante a exportação da chave privada através de ferramentas de desenvolvedor, as chaves privadas da DEXX eram exibidas em texto simples, o que significa que estavam realmente armazenadas nos servidores oficiais. Se a comunicação não estivesse criptografada, os atacantes poderiam interceptar as chaves privadas do usuário durante a transmissão. Mesmo com a transmissão HTTPS, a transferência direta de chaves privadas poderia resultar em violações de dados devido a vulnerabilidades do navegador ou outros problemas de segurança.
Se o incidente for considerado, no final, um ataque de hackers ou uma conduta interna, é evidente que a DEXX operava sob a mentalidade de que "os utilizadores não entendem, são facilmente enganados e não se importam se as chaves privadas são genuinamente não custodiais." Embora não possamos controlar as atitudes ou ações das equipas dos projetos, podemos adotar princípios para minimizar as nossas perdas em incidentes semelhantes. Sem uma gestão rigorosa de risco dos próprios ativos, não há garantia de fundos seguros.

Como Proteger-se

Carteiras Custodiais vs. Carteiras Não-Custodiais

Escolher uma forma segura de armazenar ativos começa com a seleção de uma carteira confiável com base nas suas necessidades. As carteiras de criptomoedas mainstream podem ser categorizadas em carteiras custodiais e não custodiais com base onde as chaves privadas são armazenadas.

Carteiras Custodiais

As carteiras de criptomoedas custodiais armazenam ativos em nome dos usuários. Isso significa que uma terceira parte detém e gerencia as chaves privadas. Consequentemente, os usuários não podem ter controle total sobre seus fundos ou assinar transações. Ao escolher um provedor de serviço custodial, considere fatores como status regulatório, tipos de serviço, métodos de armazenamento de chaves privadas e se há seguro fornecido.

Carteiras não custodiais

As carteiras de criptomoedas não custodiais dão aos utilizadores controlo total das suas chaves privadas. Este tipo de carteira é adequado para aqueles que desejam ter controlo total sobre os seus fundos. Sem intervenção de intermediários, os utilizadores podem negociar criptomoedas diretamente das suas carteiras. No entanto, isso também significa que os utilizadores assumem total responsabilidade pelas suas chaves, enfrentando riscos como perda e ataques.

Segregação de ativos

Assim como não colocaria todos os ovos na mesma cesta, é importante segregar eficazmente os seus ativos. Aqui está uma abordagem padrão para o armazenamento de ativos:

1. Carteira Quente: Usada para interações frequentes, esta carteira não deve armazenar grandes quantias de ativos — apenas o suficiente para cobrir as taxas de gás. Esta carteira é adequada para aproveitar oportunidades, mas deve ser configurada para controlar possíveis perdas por ataques de phishing.
2. Carteira Quente: Uma carteira isolada para ativos com interações menos frequentes, como aquelas usadas para staking. Permite transações, mas com uma frequência menor do que a carteira quente, reduzindo o risco de vazamento de chaves.
3. Carteira fria: Os ativos grandes devem ser armazenados numa carteira de hardware (armazenamento a frio) que não interaja online.

Recomendações de segurança

1. Seja cético em relação a recomendações não solicitadas; sempre faça sua própria pesquisa (DYOR - Do Your Own Research) sobre os mecanismos do produto. Use bots de negociação que não armazenem chaves privadas em servidores.
2. Opte por bots de negociação com operações de longa data e equipas profissionais.
3. Evite clicar em links desconhecidos ou responder a mensagens em grupos do Telegram.
4. Transferir fundos avultados para uma carteira fria após as transações, independentemente das ferramentas utilizadas.

Lembrete: Há relatos de golpes de phishing visando vítimas da Gate.io, como "grupos de apoio às vítimas", "registo de roubo na Gate.io" ou ofertas de "compensação na Gate.io". Os usuários devem ter cautela, evitar carregar chaves privadas ou frases-semente e não conectar carteiras para confirmações para evitar danos adicionais.