DEXX 安全漏洞
DEXX 被盗事件发生后,社区开始审视这个曾被其返佣链接刷屏的 meme 专属交易平台,而为 DEXX 做过推广的 KOL 也被用户迁怒。
安全机构慢雾创始人余弦表示,「被盗人群与用 DEXX 做冲土狗/炒 MEME 有关,私钥属于 DEXX 中心化托管,肯定泄露了,至于泄露方式等调查披露。」
社区发现,根据开发者工具中的 export_wallet 请求信息,在导出 DEXX 私钥时,私钥以明文形式呈现,意味着用户私钥实际上在官方服务器上。如果通信未进行加密保护,攻击者可能在传输过程中截获用户的私钥,即使采用 HTTPS 传输,私钥直接传输也可能因浏览器漏洞或其他安全问题导致隐私数据泄露。
「DEXX 重新定义了非托管钱包」
ps:图片来源于余弦师傅
钱包应用 OneKey 表示 DEXX 一直反复请求上传用户剪贴板内容权限,有可能上传了用户的剪贴板内容,称 如果你在手机上复制过私钥助记词,尽快转移资产。
据余弦师傅称:
分析了 821 份 DEXX 用户有关的被盗信息,总损失接近 2000 万美金,其中 1 位超 100 万美金,2 位在 50-100 万美金范围,28 位在 10-50 万美金范围。被盗信息还在不断采集中。
这里也希望所有资金被盗的受害者积极填写漫雾@SlowMist_Team的信息收集表格,漫雾目前正在帮忙追踪黑客动向,你的信息提供对于追踪黑客的动向有很大的帮助
原文始发于微信公众号(安全视安):【安全事件】DEXX 交易平台大批用户资产被盗取
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论