이 기사의 해시(SHA1):540b80ff028998e26a6e5b85396bb02c467d4dbb1d4d5ddfc8bb94b26f57f8ce
번호: Chainyuan Technology PandaLY 보안 분석 No.006
Dexx 보안 사고는 11월 16일에 발생했습니다. 현재 공식적으로 도난당한 토큰의 유형은 SOL, ETH 및 다양한 Meme을 포함하되 이에 국한되지 않습니다. 분실된 사용자의 권리 보호를 촉진하기 위해 당사는 관련 데이터 통합 및 분석을 수행했습니다.
해커 절도 기술
도난의 원리:
DEXX 자산 탈취의 주범은 '프라이빗 키 유출'이다. DEXX는 당초 '비수탁형 지갑'이라고 밝혔으나, 실제로는 사용자 그룹의 프라이빗 키를 모두 갖고 있으며, 프라이빗 키를 전송할 때도 마찬가지다. 일반 텍스트 전송은 해커가 개인 키에 대한 데이터를 가로챈 후 개인 키를 직접 가져와 해독하지 않고도 악의적인 행동을 할 수 있다는 의미입니다.
DEXX는 해커의 도난 방법을 공개하지 않았지만, 한 가지 분명한 것은 DEXX가 개인 키를 사용자의 손에 맡기지 않고 지갑의 모든 개인 키를 관리한다는 것입니다. DEXX 서버의 데이터베이스.
따라서 해커가 범죄를 저지르는 방법은 다양할 수 있습니다. 하나는 DEXX 서버에 침입하여 데이터베이스의 개인 키를 얻는 것이고, 다른 하나는 사용자와 DEXX 간의 정보 상호 작용에서 개인 키를 모니터링하는 것입니다. 마지막으로 공식적인 내부범죄 가능성도 배제할 수 없다.
전송 방법:
체인에 있는 데이터를 분석한 결과, 체인에 있는 데이터는 멀티스레드 통화 이체의 특성을 갖고 있으며, 현재 조회된 주소는 가치가 높은 순으로 돈을 이체하는 행위를 하고 있어 해커가 아닐까 추측합니다. 멀티 스레드 스크립트를 통해 개인 키를 제어하며, 피해자가 지정한 토큰 잔액에 따라 변환 후 값이 높은 순서대로 토큰 전송이 수행됩니다.
전송 방법은 다음과 같습니다.
첫 번째는 GAS+ 토큰 전송을 분배하는 것입니다.
아래 그림과 같이 해커는 먼저 새로운 주소를 일괄 생성하고 각각의 새 주소에 0.2 SOL의 GAS를 전송합니다. 그 후, 토큰은 배포된 새 주소로 전송되었습니다.
두 번째 방법은 토큰과 SOL을 직접 전송하는 것입니다.
해커는 새로운 주소를 일괄적으로 생성하여 먼저 피해자 주소의 토큰을 전송한 후 GAS를 배포하지 않고 피해자 주소의 SOL을 전송합니다.
세 번째 방법은 SOL만 전송하는 것입니다.
해커는 일련의 새 주소를 생성하고 피해자 주소의 SOL만 전송합니다.
0.2SOL 배분
더 흥미로운 점은 해커 주소 8m3MqBrYMxrQGv6QnxiTFDTYzz5gpfEAHki9YkdtYjHg가 피해자 토큰을 전송한 후 각 피해자에게 0.2 SOL을 전송한 후 새 주소로 전송했다는 점입니다. 아래 사진의 피해자처럼 사기꾼은 먼저 자신의 지갑 SOL 주소를 전송한 후 3시간이 지나서 피해자의 지갑 0.2 SOL에 침입하였고, 5초 후에 훔친 지갑의 새 주소로 전송했습니다.
대부분의 반입 및 반출 시간은 약 5초이고, 소수의 반입 및 반출 시간은 약 1시간인 것으로 나타났습니다.
우리는 이 단계의 이유가 도난당한 지갑에 돈을 이체할 수 있는 충분한 GAS가 있는지 확인하기 위한 것이라고 추측합니다.
길
현재까지 해커의 지갑은 조립되지 않았습니다. 자산은 새 주소에 유지됩니다. 해커가 GAS를 유포한 주소를 기준으로 추적했습니다.
해커들이 GAS를 배포하기 위해 사용하는 SOL 자금의 출처가 피해자의 주소에서 나온 것으로 확인되었습니다.
그 중 맨 오른쪽 빨간색으로 표시된 주소가 해커의 주소, 파란색으로 표시된 것이 피해자의 주소, 노란색으로 표시된 것이 해커의 주소로, 해커는 에 표시된 주소 외에 다음과 같은 정보를 갖고 있음을 알 수 있다. 상단에 빨간색:
HbPnGmn1cuBXWUnMzEk5vcCKTk2P6rrgankhaknsHETm의 피해자 주소는 모두 위의 0.2 SOL 전송 작업을 수행했습니다.
온체인 데이터 분석에 따르면 최상위 주소는 2024/11/13 21:51:20에 체인에 처음 업로드되었으며 SOL은 FixFloat에서 가져온 것입니다. 자금이 들어온 후 SOLDOGE, USDT, RAY를 구매했는데, 그 중 USDT, RAY, SOL이 모두 해커가 배포한 주소로 이체되었습니다. 온체인 행동 분석에 따르면 이 주소가 여전히 사용자의 주소일 가능성이 높습니다.
검색하다
DEXX는 일부 자산이 안전한 주소로 격리되었다고 밝혔습니다. 그러나 온체인 데이터 분석에 따르면 격리 방법은 해커의 도난 방법과 정확히 동일해 사용자는 자신의 주소가 격리되었는지, 도난당한 것인지 확인할 수 없다.
지금까지 DEXX는 여러 보안 기관과 협력하겠다는 성명만 발표하고 해커와의 협상을 희망하며 영어 트윗을 게시했으며 SolScan이 해커의 주소를 표시하는 데 도움이 되기를 바랍니다. 그러나 한 가지 논리적 결함은 DEXX가 가지고 있다는 것입니다. 어떠한 방법으로도 정보를 수집하지 않았으며, 이용자의 도난 자산의 주소는 공개되지 않았으며, 도난 금액 및 정보도 공개되지 않았습니다. 오히려 보안업체에서만 정보 수집 및 추적에 지속적으로 노력하고 있습니다. 해커의 주소이며 보안 회사는 공식적으로 DEXX와 협력하여 커뮤니티의 데이터 정리를 돕는 성명을 발표하지 않았습니다.
현재 DEXX 사건에 사법부가 개입한 적은 없습니다. 사법부가 개입한 후에야 보안업체가 협력하여 사용자가 도난당한 정보를 자세히 제공할 수 있으며, 사법부는 이를 증거로 활용하여 사용자의 복구를 도울 수 있습니다.
결론
현재 다양한 유형의 봇과 웹사이트가 있습니다. 해당 웹사이트에서 개인 키를 얻는 한, 개인 키를 얻은 지갑에 많은 금액을 넣지 마십시오.
조금 번거롭기는 하지만 도난을 방지하는 간단하고 효과적인 방법이 될 수 있습니다.
안전한 지갑으로 새 지갑을 만들고, 개인키를 봇의 지갑으로 가져와서 "개싸움" 지갑으로 돈이 많이 드는 밈을 구매해서 수익을 내고 싶을 때. 많은 돈을 모으면 밈이나 수익금을 안전한 지갑으로 옮기세요. 이런 식으로 "다고" 지갑을 도난당하더라도 전부가 손실되는 것이 아니라 극히 일부의 자산만 손실되는 것입니다.
DEXX 사례에 대해서는 양식을 제출한 주소를 계속 모니터링할 예정입니다. 비록 사건의 결과가 좋을 것이라고 보장할 수는 없지만 최선을 다하겠습니다. 피해자이고 양식을 작성하지 않은 경우 아래 링크를 클릭하거나 공개 계정 "Lianyuan Security"를 팔로우하고 메인 페이지에서 "Dexx 등록"을 클릭하여 양식을 작성하십시오.
