声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。
DEXX 安全漏洞
DEXX 被盗事件发生后,社区开始审视这个曾被其返佣链接刷屏的 meme 专属交易平台,而为 DEXX 做过推广的 KOL 也被用户迁怒。
安全机构慢雾创始人余弦表示,「被盗人群与用 DEXX 做冲土狗/炒 MEME 有关,私钥属于 DEXX 中心化托管,肯定泄露了,至于泄露方式等调查披露。」
社区发现,根据开发者工具中的 export_wallet 请求信息,在导出 DEXX 私钥时,私钥以明文形式呈现,意味着用户私钥实际上在官方服务器上。如果通信未进行加密保护,攻击者可能在传输过程中截获用户的私钥,即使采用 HTTPS 传输,私钥直接传输也可能因浏览器漏洞或其他安全问题导致隐私数据泄露。
「DEXX 重新定义了非托管钱包」
ps:图片来源于余弦师傅
钱包应用 OneKey 表示 DEXX 一直反复请求上传用户剪贴板内容权限,有可能上传了用户的剪贴板内容,称 如果你在手机上复制过私钥助记词,尽快转移资产。
据余弦师傅称:
分析了 821 份 DEXX 用户有关的被盗信息,总损失接近 2000 万美金,其中 1 位超 100 万美金,2 位在 50-100 万美金范围,28 位在 10-50 万美金范围。被盗信息还在不断采集中。
这里也希望所有资金被盗的受害者积极填写漫雾@SlowMist_Team的信息收集表格,漫雾目前正在帮忙追踪黑客动向,你的信息提供对于追踪黑客的动向有很大的帮助
