この記事のハッシュ (SHA1):540b80ff028998e26a6e5b85396bb02c467d4dbb1d4d5ddfc8bb94b26f57f8ce
番号:Chainyuan Technology PandaLY Security AnalysisNo.006
dexx セキュリティ事件は 11 月 16 日に発生しました。現時点では、当局は盗まれた具体的な量を発表していません。盗まれたトークンの種類には、SOL、ETH、およびさまざまなミームが含まれますが、これらに限定されません。失われたユーザーの権利保護を促進するために、当社は関連するデータの統合と分析を実施しました。
ハッカーの窃盗テクニック
盗難の原則:
DEXX資産の盗難の主な原因は「秘密鍵の漏洩」です。DEXXは当初、自分たちは「保管されていないウォレット」であると述べていましたが、実際には、DEXX自身がユーザーグループのすべての秘密鍵を所有しており、秘密鍵を送信する際に使用していました。平文送信とは、ハッカーが秘密鍵に関するデータを傍受した後、秘密鍵を復号化せずに直接入手して悪さを行うことができることを意味します。
DEXXはハッカーの盗難方法を発表していませんが、明らかなことの1つは、DEXXが秘密鍵をユーザーの手に渡すのではなく、ウォレットの秘密鍵をすべて管理している、つまりウォレットの秘密鍵が保管されているということです。 DEXX サーバーのデータベース。
したがって、ハッカーはさまざまな犯罪方法を使用する可能性があります。1 つは DEXX サーバーに侵入してデータベース内の秘密キーを取得すること、もう 1 つはユーザーと DEXX の間の情報のやり取りで秘密キーを監視することです。最後に、公的内部犯罪の可能性も排除できません。
転送方法:
チェーン上のデータを分析したところ、チェーン上のデータはマルチスレッドの通貨送金の特徴があり、現在閲覧しているアドレスは金額の高いものから順に送金する動作をしているため、ハッカーであると推測されます。マルチスレッド スクリプトを通じて秘密キーを制御し、被害者の指定されたトークン残高に従って、変換後の値の降順でトークン転送が実行されます。
転送方法は次のとおりです。
1 つ目は、GAS + トークン転送を分散することです。
以下の図に示すように、ハッカーはまず新しいアドレスのバッチを生成し、各新しいアドレスに 0.2 SOL の GAS を転送します。その後、トークンは配布された新しいアドレスに転送されました。
2 番目の方法は、トークンと SOL を直接転送することです。
ハッカーは新しいアドレスのバッチを生成し、最初に被害者アドレスのトークンを転送し、次に GAS を配布せずに被害者アドレスの SOL を転送します。
3 番目の方法は、SOL のみを転送することです。
ハッカーは新しいアドレスのバッチを生成し、被害者のアドレスの SOL のみを転送します。
0.2SOLを配布
さらに興味深いのは、ハッカー アドレス 8m3MqBrYMxrQGv6QnxiTFDTYzz5gpfEAHki9YkdtYjHg が被害者トークンを転送した後、各被害者に 0.2 SOL を転送し、その後新しいアドレスに転送したことです。下の写真の被害者と同じように、詐欺師は最初にウォレットの SOL アドレスを転送しました。3 時間後、詐欺師は被害者のウォレット 0.2 SOL に侵入し、5 秒後に盗まれたウォレットの新しいアドレスに転送しました。
ほとんどの搬入および搬出時間は約 5 秒ですが、少数の搬入および搬出時間は約 1 時間であることがわかりました。
このステップの理由は、盗まれたウォレットに資金を送金するのに十分な GAS があることを確認するためだと推測されます。
追跡
現在までのところ、ハッカーのウォレットは構築されていません。資産は新しい住所に残ります。私たちはハッカーが GAS を配布したアドレスに基づいて追跡しました。
ハッカーが GAS を配布するために使用した SOL 資金の出所が被害者の住所から出ていることが判明しました。
このうち、一番右の赤でマークしたアドレスがハッカーのアドレス、青でマークしたものが被害者のアドレス、黄色でマークしたアドレスがハッカーのアドレスで、ハッカーは、でマークしたアドレス以外の以下の情報を持っています。上部の赤色:
HbPnGmn1cuBXWUnMzEk5vcCKTk2P6rrgankhaknsHETm の被害アドレスはすべて、上記の 0.2 SOL の転送操作を実行しました。
オンチェーンデータ分析によると、トップアドレスは2024/11/13 21:51:20に初めてチェーンにアップロードされ、SOLはFixedFloatから来ています。資金が入ってきた後、SOLDOGE、USDT、RAYを購入しましたが、そのうちUSDT、RAY、SOLはすべてハッカーが配布したアドレスに転送されました。オンチェーン動作分析によると、このアドレスが依然としてユーザーのアドレスである可能性が高いです。
取得する
DEXXは、一部の資産が安全なアドレスに隔離されていると述べた。しかし、オンチェーンデータ分析によると、隔離方法はハッカーの盗難方法とまったく同じであり、ユーザーは自分のアドレスが隔離されたのか盗まれたのかを判断することができません。
これまでのところ、DEXX は複数のセキュリティ機関と協力していると主張する声明を発表し、ハッカーと交渉することを望んで英語の Twitter を公開し、SolScan がハッカーの住所をマークするのに役立つことを期待しているだけですが、論理的な欠陥が 1 つあります。情報収集にはいかなる手段も使用されておらず、盗まれた資産の住所や盗まれた情報は公表されていません。それどころか、セキュリティ会社のみが常に情報収集と追跡に努めています。ハッカーのアドレスを削除しており、セキュリティ会社は DEXX に協力して回復するという声明を正式に発表していません。コミュニティがデータを整理するのを支援するのは公共の福祉のためだけです。
現時点では司法部門はDEXX事件に介入しておらず、司法部門が介入して初めて、セキュリティ会社はユーザーの盗難情報の詳細な提供に協力することができ、司法部門はこれを証拠として利用してユーザーが情報を回復できるようになる。
結論
現在、さまざまな種類のボットや Web サイトが存在します。Web サイトが秘密キーを取得する限り、秘密キーを取得したウォレットに多額の資金を入れないよう注意してください。
少し面倒ではありますが、簡単で効果的な盗難防止策をご紹介します。
多額のお金でミームを購入し、利益を得たい場合や、利益を得たい場合は、安全なウォレットとして新しいウォレットを作成し、ボットのウォレットに秘密キーをインポートします。多額のお金がある場合は、ミームまたは利益を安全なウォレットに転送します。このように、たとえ「Dago」ウォレットが盗まれたとしても、すべての資産が失われるわけではなく、少額の資産が失われるだけです。
DEXX のケースについては、フォームを送信したアドレスを監視し続けますが、インシデントの結果が良好になるとは保証できませんが、最善を尽くします。あなたが被害者であり、フォームに記入していない場合は、以下のリンクをクリックするか、公式アカウント「Lianyuan Security」をフォローし、メインページの「Dexx Registration」をクリックしてフォームに記入してください。
