近期,DEXX 平台遭遇了一场严重的资产被盗危机。作为一家多链共通的链上综合交易工具,DEXX 支持快捷交易、抗MEV、策略交易等功能,在memecoin行情爆发之下,为数十万用户提供了极为便利的交易体验。然而在 11月16日,许多用户发现自己的账户资产被清空。
原因在于其采用了类似交易所的中心化资产托管形式,但没有采用相应安全级别的资产管理方案,这种架构使得几乎所有用户的资产都暴露在风险之下。
这一事件不仅揭示了DEXX在资产管理上的漏洞,也为我们提供了一个深入理解托管钱包风险的机会。
托管账户与自托管账户的区别
托管账户:在传统的金融领域,中心化的金融机构拥有用户资产的完整控制权,用户想要赎回资金必须向机构提出申请。例如,中心化交易所分配给用户的地址仅用于充值,用户并不具有操作权限,所有交易、转账和提现活动都需通过平台审批。
这意味着,平台的风险控制水平将在很大程度上影响用户资产的安全性。
自托管账户:自托管账户则是利用去中心化的钱包解决方案,用户完全掌握自己资产所有权的解决方案。用户在可信环境中生成助记词或私钥后,可以在无需任何人许可的情况下转移地址内的资产。
其中用户是否排他性地掌握地址的私钥或助记词是区分托管与自托管的关键特征。
DEXX被盗与交易所被盗区别
交易所账户被盗通常分为两种情况:用户的平台托管账户控制权限暴露,导致资产被非法转移,或者平台本身被黑客攻击,热钱包中的资产被直接转出,甚至冷钱包的私钥、助记词被盗。
DEXX采用了类似的中心化账户架构,允许用户在平台上创建地址,并与用户共享地址操作权限,但不同于 CEX 的是,前者并不会将用户的托管资金归集到若干个集中地址中进行安全管理——例如冷、热钱包隔离,多重签名管理等,这也为单点故障的发生创造了条件。
用户应如何规避托管风险
-
安全性与便利性的权衡:虽然传统链上交易步骤繁琐,但为了追求交易机会而绕开这些步骤会增加风险。因此,建议用户在充分认知风险的基础上,适当采用托管服务,将风险敞口限制在可承受范围内。
-
不要盲目信任:不要轻易将自己的地址权限交给他人或工具。日常使用中应管理好自己的权限,避免使用可疑的应用程序或点击不明链接。
-
学习Web3反欺诈知识:了解常见的欺诈手法可以帮助投资者规避大部分潜在的风险。Bitrace 编写了一份Web3反欺诈手册,旨在帮助普通投资者提高安全意识,您可以访问这条链接以获取:https://bitrace.io/en/blog
结语
DEXX事件表明,在享受区块链技术带来的便利时,必须时刻保持警惕,通过理解托管钱包的风险并采取相应的防范措施,投资者将能够更好地保护自己的数字资产。
