• <del id="siso2"><dfn id="siso2"></dfn></del> <strike id="siso2"><input id="siso2"></input></strike>
    <strike id="siso2"></strike>
    <ul id="siso2"></ul>
    
    
    <strike id="siso2"></strike>
    <strike id="siso2"></strike>

    DEXX啟示錄:穿越Trading Bot安全困局的鏈上生存法則

    發(fā)布時間 :

    「黑暗森林」,這個脫胎于《三體》的宇宙社會學法則,也是對當下 Web3 安全賽道最赤裸的概括:鏈上有著足夠的想象空間和創(chuàng)新玩法,但同時也正如一個「黑暗森林」,充滿血腥殘忍的零和博弈,而普通投資者更多是扮演「被狩獵者」的信息不對稱角色。

    11 月 16 日,多位社區(qū)用戶反映鏈上交易終端 DEXX 被盜,事后分析表明 DEXX 私鑰管理存在明顯漏洞,甚至曾以明文形式傳輸和存儲,截至目前不完全統(tǒng)計的總損失就在 2000 萬美元以上,

    在此背景下,普通用戶該如何完善鏈上自我保護機制,就成了大家十分關(guān)注的重要話題,SafePal 聯(lián)合創(chuàng)始人兼 CEO Veronica 也參與了 137Labs 舉辦的 ? Space 活動「DEXX 事件引發(fā)的安全思考:如何避免加密投資中的「坑」」,與 BlockSec 創(chuàng)始人 Andy、資深交易員會所哥、137Labs 研究員 OneOne 等共同探討 DEXX 安全事件,并為加密投資者提供實用的安全建議。

    本文為此次 Twitter Space 中各位嘉賓精彩分享的文字摘要,特此整理,以饗讀者。

    搶跑 Bot 工具的「不可承受之重」

    在加密投資中,高收益與絕對安全往往難以兼顧,DEXX、Unibot 等 Trading Bot 工具雖然憑借一鍵跟單和快速資金劃轉(zhuǎn)等贏得用戶青睞,但這種便捷性建立在中心化架構(gòu)之上,要求用戶授權(quán)資金或提供錢包訪問權(quán)限,導致資產(chǎn)風險顯著增加。

    只不過用戶普遍低估了這些交易工具的安全要求,習慣信任大交易所,卻忽略了較小工具平臺的風險,而此次 DEXX 事件就暴露了部分交易工具在私鑰管理上的致命漏洞——真正的「非托管錢包」應確保私鑰只存儲在用戶設(shè)備上,而不是依賴中心化服務器,即便私鑰經(jīng)過加密,缺乏內(nèi)存級安全防護的技術(shù)支持(如 TEE 或 enclave),依然無法避免被盜的可能性。

    與此同時,本次攻擊手法復雜,黑客分散轉(zhuǎn)移資金以增加追蹤難度,這不僅使資金追回難度加大,還預示著未來類似事件可能更復雜難防,也因此催生出兩種可能性:要么平臺因技術(shù)漏洞被攻破,要么內(nèi)部存在監(jiān)守自盜或遭到深度滲透,且若是后者,未來風險可能更為嚴重。

    Dune 數(shù)據(jù)顯示,目前交易量排名前五的 Bot 是:Trojan、BonkBot、Maestro、Banana Gun、Sol Trading Bot,7 日交易量均在 1 億美元以上,累計用戶數(shù)均在 30 萬以上,也正因如此,「要么暴賺、要么歸零」的心態(tài)也讓大部分用戶忽略了潛在的巨大風險。

    DEXX啟示錄:穿越Trading Bot安全困局的鏈上生存法則DEXX啟示錄:穿越Trading Bot安全困局的鏈上生存法則

    Veronica 就認為,幾乎所有這種「搶跑」交易工具都可能面臨類似的安全風險,這類 Bot 之所以能實現(xiàn)超快鏈上交易,避免每次都手動簽名,是因為它們犧牲了部分安全性與非托管特性:

    通常無論使用硬件錢包、APP 錢包還是瀏覽器插件錢包,用戶都需要花幾秒進行手動簽名確認,但為了提高交易速度和優(yōu)化用戶體驗,這些 Bot 通常會妥協(xié),將部分私鑰安全性降至最低,以實現(xiàn)更快速的成交。

    這種設(shè)計并非完全錯誤,也不能簡單地說這些項目都是不安全的,然而這確實對開發(fā)團隊的安全防護能力提出了極高要求,為了實現(xiàn)流暢體驗,如果開發(fā)團隊無法確保強大的安全攻防能力,一旦遭遇攻擊,后果將極為嚴重,用戶和項目方都可能面臨巨大損失。

    除此之外,目前大多數(shù)交易 Bot 的設(shè)計確實面臨一個顯著的安全隱患——為了實現(xiàn)自動化交易,它們通常為每個用戶生成并保管私鑰,這種方式雖然方便用戶進行自動化跟單,卻也帶來了極高的安全風險,如果攻擊者攻破平臺,所有存儲的用戶私鑰都可能被泄露,導致資產(chǎn)損失。

    DEXX啟示錄:穿越Trading Bot安全困局的鏈上生存法則DEXX啟示錄:穿越Trading Bot安全困局的鏈上生存法則

    然而實際上有一種更安全的交易架構(gòu),能夠在不使用用戶私鑰的情況下實現(xiàn)自動化交易:

    這種架構(gòu)依賴于智能合約,通過創(chuàng)建與用戶賬戶關(guān)聯(lián)的「PDA 賬戶」,在無需用戶私鑰簽名的情況下完成交易,平臺可以通過一個受限制的「操作賬戶」來執(zhí)行交易指令,但這個操作賬戶的權(quán)限是嚴格受控的,只能進行交易操作,無法隨意轉(zhuǎn)移用戶資產(chǎn)。

    這種智能合約驅(qū)動的設(shè)計可以顯著提升安全性,因為用戶的私鑰始終掌握在自己手中,不會被存儲在中心化服務器上,雖然這種設(shè)計更復雜,對團隊的工程能力和安全技術(shù)要求更高,但它是完全可行且更安全的。

    目前用戶大多并不清楚這兩種設(shè)計模式的區(qū)別,或是因為追求便捷而忽略了安全性。但隨著安全事件的頻繁發(fā)生,用戶和開發(fā)團隊可能會越來越重視更安全的架構(gòu),這種先進的設(shè)計方案在未來有望逐漸普及,減少類似 DEXX 事件的發(fā)生。

    從交易授權(quán)到私鑰保護的 Web3 安全鏈條

    OneOne 認為,目前可以將鏈上安全風險分為兩大類,涵蓋從交易授權(quán)到私鑰保護等方面。

    第一種常見攻擊方式即「Approve 欺騙」,舉例來說,類似通過「灰塵攻擊」發(fā)送少量的加密資產(chǎn)或空投 NFT,誘使用戶點擊并進行交易授權(quán),這種操作可能會讓攻擊者獲得用戶的錢包權(quán)限,從而盜取用戶的資產(chǎn)(包括加密貨幣和 NFT),用戶要謹慎處理不明來源的代幣和空投,避免輕易進行授權(quán)。

    私鑰被盜則普遍分幾種方式:

    • 第一種是「惡意軟件攻擊」,例如一些攻擊者假裝邀請用戶測試新項目,誘騙用戶下載攜帶木馬病毒的可執(zhí)行文件,一旦中招,用戶的私鑰和賬戶密碼就會被輕松竊取;
    • 第二種是「剪貼板」,攻擊者通過釣魚網(wǎng)站獲取用戶的剪貼板訪問權(quán)限。當用戶復制粘貼私鑰時,這些敏感信息會被攻擊者截獲并利用;
    • 此外有一些「遠程控制攻擊」的案例,例如通過惡意遠程軟件操控用戶電腦,甚至在用戶休息時直接竊取私鑰,譬如擼空投用戶常用的「指紋瀏覽器」等通常涉及云端存儲功能,如果被攻破,用戶的資產(chǎn)便極易被盜,不少用戶在使用這些工具時未設(shè)置二次驗證(2FA),進一步加劇了風險;
    • 最后還有「輸入法隱患」,許多用戶喜歡使用智能輸入法,但這些輸入法可能會收集用戶的輸入數(shù)據(jù)并將其存儲在云端,這也增加了私鑰泄露的可能性,建議用戶盡量使用系統(tǒng)自帶的輸入法,盡管功能較少,但安全性更高;

    總的來看,用戶在鏈上交易時,特別是在使用 DeFi 應用或交易工具時,需要采取額外的安全預防措施,其中授權(quán)管理就是一個需要高度重視的問題——由于以太坊的機制要求用戶向智能合約授予代幣授權(quán),攻擊者可以利用這個授權(quán)機制進行惡意操作,因此用戶應經(jīng)常檢查錢包的授權(quán)列表,及時撤銷不再需要的授權(quán),尤其是那些可能被遺忘的早期授權(quán),以降低風險。

    此外用戶選擇 DeFi 平臺時,應審查平臺的安全措施,包括是否有完善的審計報告、持續(xù)的自動化安全監(jiān)控、以及平臺是否定期升級和修復漏洞。且在使用 Trading Bot 時,建議用戶務必將資產(chǎn)分散管理,不要將大筆資金存放在交易機器人所控制的賬戶中,獲利后應盡快將資金轉(zhuǎn)移到更安全的錢包中,以減少可能的損失。

    會所哥表示,作為一名交易員,熟悉交易工具和平臺的機制至關(guān)重要,當前土狗交易的環(huán)境下,許多人只關(guān)注暴漲暴跌的刺激,忽視了交易工具的安全隱患,用戶應設(shè)立安全警報,比如池子抽空或清算警告,以隨時把控風險。

    Veronica 就強調(diào)了一個簡單而重要的原則:高效追逐利潤和全面安全之間總有妥協(xié),因此最關(guān)鍵的建議是做好資金隔離,如果你發(fā)現(xiàn)自己因投資頭寸過大而焦慮得睡不著、頻繁檢查手機,那很可能說明你的資金配置已經(jīng)超出了你的風險承受能力。

    有哪些實用的鏈上安全查詢工具?

    Veronica 推薦用戶使用 SafePal 等非托管錢包內(nèi)置的安全小工具,例如定期檢查授權(quán)的功能——用戶可以掃描自己在多條鏈上的所有授權(quán)記錄,并一鍵撤銷不必要的授權(quán),以減少被黑客利用的風險。

    DEXX啟示錄:穿越Trading Bot安全困局的鏈上生存法則DEXX啟示錄:穿越Trading Bot安全困局的鏈上生存法則

    圖源:SafePal「Approval Manager」功能

    此外目前詐騙者往往會通過小額轉(zhuǎn)賬偽裝成用戶的轉(zhuǎn)賬地址,以騙取資金,目前 OKX Web3 錢包、SafePal 等主流錢包都已添加針對「首尾攻擊」的風險交易攔截服務。同時硬件錢包 + 密碼短語(Passphrase)也是一個較少人知道但非常實用的功能,特別適合有多個炒幣賬戶的用戶:

    密碼短語作為第 13 個詞,與原本的 12 個助記詞組合生成全新的錢包地址,即使有人獲取了你的助記詞,沒有密碼短語也無法訪問資產(chǎn),這就意味著用戶可以通過這種方式創(chuàng)建多個錢包賬戶,確保安全性。

    這種方法不僅增加了私鑰的安全性,還允許用戶在多個賬戶間靈活管理資產(chǎn),且密碼短語可以只存在于用戶的腦海中,進一步提升安全保障。

    Andy 也強調(diào),很多時候用戶遭遇安全事件,除了項目本身存在風險外,還可能與用戶自身的安全習慣不足有關(guān),即使用戶意識到手中持有的加密資產(chǎn)較多,或明知投資交易有風險,仍常因不良習慣而讓資產(chǎn)暴露在危險之中。

    建議用戶保持隔離的安全意識與習慣,例如將大額資產(chǎn)存儲在冷錢包中,只用來交互而不能直接轉(zhuǎn)移資金,同時使用一部專門的手機(如 iPhone)來管理加密資產(chǎn),只用它來進行加密貨幣交易或私鑰管理,不在這臺設(shè)備上安裝其他與交易無關(guān)的軟件或進行其他活動,這樣做可以顯著降低私鑰泄露的風險。

    結(jié)語

    DEXX 安全事件揭示了鏈上交易工具領(lǐng)域的核心困境:如何在便捷性與安全性之間找到平衡?

    在追求高效交易和用戶體驗的同時,平臺的安全設(shè)計不能成為犧牲品,無論是私鑰的中心化存儲,還是缺乏內(nèi)存級別防護的技術(shù)短板,都會讓用戶資產(chǎn)暴露在高風險中。

    「高收益和絕對安全之間總有妥協(xié)」,對于投資者而言,理解交易工具背后的風險邏輯,培養(yǎng)良好的安全習慣,是穿越鏈上「黑暗森林」的基礎(chǔ),在這個去中心化且充滿不確定性的生態(tài)中,只有掌控自己的私鑰,才能真正掌控自己的資產(chǎn),推動整個鏈上生態(tài)更健康地發(fā)展。

    主站蜘蛛池模板: 国产精品水嫩水嫩| 精品久久人妻av中文字幕| 人妻少妇看A偷人无码精品视频| 久久亚洲精品国产精品| 国产欧美日本亚洲精品一5| 国产国产精品人在线观看| 欧美久久亚洲精品| 国产精品麻豆欧美日韩ww| 国产成人精品久久免费动漫| 日韩精品亚洲人成在线观看| 久久久久国产精品嫩草影院| 隔壁老王国产在线精品| 99久久伊人精品综合观看| 精品少妇无码AV无码专区| 亚洲av无码国产精品色在线看不卡| 91精品国产自产在线老师啪| 97精品伊人久久大香线蕉app| 亚洲欧美日韩另类精品一区二区三区| 国产精品手机在线观看你懂的 | 日韩精品无码免费视频| 欧美亚洲精品中文字幕乱码免费高清| 久久精品国产99国产电影网| 精品9E精品视频在线观看| 亚洲欧美日韩久久精品第一区| avtt天堂网久久精品| 亚洲欧洲国产精品香蕉网| 日韩美女18网站久久精品| 精品第一国产综合精品蜜芽| 四虎成人www国产精品| 日本精品一区二区三区在线视频一| 人精品影院| 国产精品欧美亚洲韩国日本久久 | 国产乱子伦精品无码专区| 成人一区二区三区精品| 国产精品99久久久久久猫咪| 桃花岛精品亚洲国产成人| 久久精品国产一区| 亚洲国产精品婷婷久久| 1区1区3区4区产品芒果精品| 99热亚洲精品6码| 国产精品极品|