DEXX竊盜事件鏈上追蹤及分析報告

本文Hash (SHA1):540b80ff028998e26a6e5b85396bb02c467d4dbb1d4d5ddfc8bb94b26f57f8ce

編號: 鏈源科技PandaLY Security AnalysisNo.006

11月16日dexx突發安全事件,截止目前,官方並未公佈具體被盜金額,被盜代幣類型包括但不限於,SOL,ETH以及各類Meme。為了方便幫助遺失的使用者進行權益,我們進行了相關的資料整合與分析。

駭客盜竊手法

盜竊原理:

DEXX資產被盜的罪魁禍首就是“私鑰洩露”,DEXX最開始聲明自己是“非託管錢包”,而實際上,他們本身就擁有用戶群體的全部私鑰,並且在傳輸私鑰數據時,選擇明文傳輸,意味著駭客截取到有關私鑰的資料後,無需解密,可以直接拿到你的私鑰並進行作惡。

DEXX竊盜事件鏈上追蹤及分析報告

雖然DEXX並未公佈駭客盜竊手法,但可以明確的一點是,DEXX並非將私鑰放在用戶手裡,而是自身掌管著錢包的所有私鑰,即錢包私鑰都存儲在DEXX伺服器的資料庫中。

故駭客犯案手法有可能很多種,一種是攻破DEXX伺服器取得資料庫中的私鑰,一種是監聽用戶和DEXX的資訊互動中的私鑰。最後也不排除官方內部犯案的可能性。

轉移手法:

根據我們對鏈上數據的分析,鏈上的數據有多線程轉幣的特徵,並且目前查看的地址有按照價值降序進行轉賬的行為,故我們猜測,黑客是通過多線程腳本對私鑰進行控制,根據受害者的指定的代幣餘額,換算後按價值降序進行代幣轉帳。

轉移方式有以下幾種:

第一種,分發GAS+代幣轉移:

如下圖,首先,駭客產生一批新位址,並往每個新位址裡轉入0.2SOL的GAS。隨後,將代幣轉移到了分發的新地址。

DEXX竊盜事件鏈上追蹤及分析報告

第二種,直接轉移代幣及SOL:

駭客產生一批新地址,先將受害者地址的代幣轉出,再將受害者地址的SOL轉出,而不分發GAS。

DEXX竊盜事件鏈上追蹤及分析報告

第三種,只轉移SOL:

駭客產生一批新地址,只轉移受害者地址的SOL。

DEXX竊盜事件鏈上追蹤及分析報告

分發0.2SOL

比較有趣一點是,駭客地址8m3MqBrYMxrQGv6QnxiTFDTYzz5gpfEAHki9YkdtYjHg,在轉移完受害者代幣後,向每個受害者轉入了0.2SOL,隨後將其轉入到新地址中。就如下圖受害者,首先騙子先將其錢包SOL地址進行轉移,在3小時後,騙子打入了受害者錢包0.2SOL,並在5秒後轉移到盜竊錢包的新地址。

DEXX竊盜事件鏈上追蹤及分析報告

DEXX竊盜事件鏈上追蹤及分析報告

據發現,大部分轉入和轉出的時間在5秒左右,還有少部分轉入轉出的時間在1小時左右。

我方猜測,這一步操作的原因是,為了確保盜竊錢包有足夠的GAS將錢轉出。

追蹤

至今為止,駭客的皮夾仍未匯集。資產都停留在了新地址。我們根據了駭客分發GAS的地址進行了追蹤。

我們發現,駭客分發GAS的SOL資金來源都源自於受害者地址。

其中,最右側標紅地址為黑客地址,標藍的為受害者地址,標黃的為黑客地址,並且黑客對以上除最上方的標紅地址:

HbPnGmn1cuBXWUnMzEk5vcCKTk2P6rrgankhaknsHETm的受害者地址,都進行了上述轉移0.2SOL的操作。

DEXX竊盜事件鏈上追蹤及分析報告

根據鏈上資料分析,最上方的位址首次上鍊時間為2024/11/13 21:51:20,SOL來自FixedFloat。資金進帳後,買了SOLDOGE,USDT,RAY,其中USDT和RAY和SOL都轉到了駭客分發的地址。據鏈上行為分析,該位址大機率仍為使用者位址。

找回

DEXX聲明,有部分資產被他們隔離到了安全地址。但據鏈上資料分析,隔離手法與駭客盜取手法完全相同,使用者無法判斷自己的位址是被隔離或是盜取。

至今為止,DEXX僅發布聲明,聲稱與多個安全機構合作,發表了英文推特希望能與黑客協商,並希望SolScan幫忙標記黑客地址,但有邏輯漏洞的一點是,DEXX並未使用任何方式收集用戶被盜取資產的地址,也沒有公佈被盜數額及信息,相反,只有安全公司們在不斷努力進行收集信息及跟進黑客地址,並且安全公司們也沒有正式發布聲明與DEXX合作找回,僅出於公益性質幫助社區進行資料整理。

目前DEXX事件仍未有司法部門介入,只有司法部門介入後,安全公司才能配合提供詳細的用戶被盜信息,司法部門可以以此為證據幫助用戶進行找回。

DEXX竊盜事件鏈上追蹤及分析報告

結語

目前許多類型的bot,網站,只要網站取得了你的私鑰,那麼請一定不要將大額的資金放在被取得私鑰的錢包中。

這邊為各位提供一個策略,雖然有些許麻煩,但不妨為簡單有效的防盜方式。

創建一個新錢包作為安全錢包,導入私鑰至bot的錢包則作為“打狗”錢包,當買入大資金meme要長拿或盈利了大資金的利潤,將meme或利潤轉到安全錢包中。如此,即使「打狗」錢包被偷了,也是小額的資產遺失,而非所有。

對於DEXX案件,我們也會持續跟進,我們監控了提交表單給我們的地址,雖然我們不能保證事件的結果是好的,但我們會盡力而為。如果你是受害者,仍未填寫表單,請點擊以下鏈接,或者關注公眾號“鏈源安全”,主頁面點擊“Dexx登記”進行表單填寫。