DEXX事件引发的安全思考：如何避免加密投资中的“坑”？

近日，137Labs举办了一场备受瞩目的X Space活动，主题为【DEXX事件引发的安全思考：如何避免加密投资中的“坑”？】。此次活动邀请了加密领域多位资深专家，包括BlockSec创始人Andy、SafePai联合创始人兼CEO Veronica、资深交易员会所哥，以及137Labs研究员OneOne，共同深度探讨近期发生的DEXX安全事件，并为加密投资者提供实用的安全建议。

活动中，嘉宾们回顾了DEXX遭遇的私钥被盗事件，并剖析了此类交易工具在私钥管理与系统设计上的潜在风险。同时，嘉宾们探讨了近年来频发的链上安全事故背后的共同点，揭示了用户如何更科学地管理加密资产、保护个人隐私，以及有效应对新型诈骗手法。讨论涵盖从分仓策略、资金隔离，到使用安全工具和培养良好安全习惯的多重视角，为加密社区带来了深刻的安全启示。

本文将带您回顾这场极具干货的交流，全面解读DEXX事件背后的安全警示，帮助您在复杂多变的加密市场中更好地规避风险、保护资产。

事件回顾

DEXX事件的核心问题集中在其中心化安全漏洞上。OneOne简要回顾了事件经过，指出DEXX是一个为Meme币交易提供优先抢购功能的Bot工具，近期在$ACT等项目引发的市场狂热中用户量激增。然而，11月13日早上，多个用户报告其在Solana链上的资金被盗，调查发现攻击源自DEXX的中心化服务器被黑。

具体而言，DEXX要求用户提交私钥，并将其存储在一个中心化的服务器上。该服务器遭到攻击，攻击者成功获取用户私钥并转移了资产。进一步分析表明，DEXX的私钥管理存在明显漏洞，私钥甚至曾以明文形式传输和存储。这种设计缺陷导致了用户资金的重大损失。

Q1

类似的安全事件屡次发生，链上盗窃事故的共同点是什么？为什么这些事件总是接二连三地出现？

Andy指出，链上安全事故并非首次发生，过去如 UniBot 等交易工具也曾遭遇攻击，暴露了在用户私钥管理上的致命问题。他解释道，所谓“非托管钱包”应该将私钥仅存储在用户设备上，而不是在平台服务器。然而，DEXX未能实现这一点，用户私钥被存储在中心化后台，增加了被攻击的风险。即使这些私钥被加密，一旦服务器被攻陷，缺乏内存级安全防护（如 TE 或 enclave 技术）仍可能导致私钥被盗。

随着 DEXX、Unibot 等工具因高效交易速度而走红，用户忽视了其安全设计上的短板。与大型交易所的成熟安全团队相比，这些快速发展的工具平台在安全能力上往往不足，导致资产风险显著增加。Andy指出，用户普遍低估了这些交易工具的安全要求，习惯信任大交易所，却忽略了较小工具平台的风险。他呼吁加密社区提高安全意识，重视私钥管理漏洞，并推动更好的安全实践，以减少未来类似事件的发生。

Veronica指出，在加密投资中，追求高收益与绝对安全难以兼顾。像 Dexx 和 UniBot 这样的交易工具之所以受到欢迎，是因为它们提供了流畅的用户体验，比如一键跟单和快速划转资金。然而，这种便捷性往往依赖中心化架构，要求用户提前授权资金或提供钱包访问权限。

她解释，Dexx 虽宣称为“去中心化”和“非托管”平台，但实际情况是用户的私钥被存储在中心化服务器上。这次安全事件中，慢雾团队已经确认私钥泄露，导致大量用户资产被盗。不管是平台的能力不足还是设计缺陷，甚至可能的监守自盗行为，最终都暴露了这种设计的巨大风险。

Veronica强调，这次攻击手法复杂，黑客将资金分散转移到多个新钱包，而不是集中到几个地址进行混币操作。这种策略增加了追踪难度，表明黑客手段不断升级，具备更强的隐蔽性。这不仅使资金难以追回，还反映出攻击者愈加高明的策略。

她提出两种可能性：要么是平台因技术能力不足而被攻破，要么更糟糕，内部存在监守自盗或遭黑客深度渗透。如果后者为真，未来的骗局可能会更复杂和难以防范。Veronica感到遗憾，这次事件使许多投资者遭遇“黑色星期六”，慢雾团队已经收到超过500例受害报告，总损失超1300万美元。她提醒用户提高安全意识，尤其在涉及私钥时需格外谨慎，以防类似事件再次发生。

会所哥指出，冲土狗市场中的很多玩家并不关注安全问题。通常情况有人在群里喊出某个合约地址，无论项目本身是否靠谱，大家都争先恐后地复制粘贴到交易工具里冲进去，希望能赚上一笔。这种“要么暴赚、要么归零”的心态让大部分用户忽略了潜在的巨大风险，结果还没来得及提现，资产就可能被盗一空。

Q2

是否可以认定所有类似的抢跑 bot 工具或抢先交易工具都可能存在相似的安全问题和隐患？

Veronica指出，几乎所有这种“抢跑”交易工具都可能面临类似的安全风险。她解释，这类 bot 之所以能实现超快链上交易，避免每次都手动签名，是因为它们牺牲了部分安全性与非托管特性。通常，无论使用硬件钱包、APP钱包还是浏览器插件钱包，用户都需要花几秒进行手动签名确认。但为了提高交易速度和优化用户体验，这些 bot 通常会妥协，将部分私钥安全性降至最低，以实现更快速的成交。

Veronica指出，这种设计并非完全错误，也不能简单地说这些项目都是不安全的。然而，这确实对开发团队的安全防护能力提出了极高要求。为了实现流畅体验，如果开发团队无法确保强大的安全攻防能力，一旦遭遇攻击，后果将极为严重，用户和项目方都可能面临巨大损失。因此，Veronica强调，虽然这些工具为用户带来了便捷性，但潜在的风险也显而易见，尤其在团队安全防御能力不足的情况下。

Andy补充道，目前大多数交易 bot 的设计确实面临一个显著的安全隐患：为了实现自动化交易，它们通常为每个用户生成并保管私钥。这种方式虽然方便用户进行自动化跟单，却也带来了极高的安全风险。如果攻击者攻破平台，所有存储的用户私钥都可能被泄露，导致资产损失。

然而Andy指出，实际上有一种更安全的交易架构，能够在不使用用户私钥的情况下实现自动化交易。这种架构依赖于智能合约，通过创建与用户账户关联的“PDA账户”，在无需用户私钥签名的情况下完成交易。平台可以通过一个受限制的“操作账户”来执行交易指令，但这个操作账户的权限是严格受控的，只能进行交易操作，无法随意转移用户资产。

这种智能合约驱动的设计可以显著提升安全性，因为用户的私钥始终掌握在自己手中，不会被存储在中心化服务器上。他指出，虽然这种设计更复杂，对团队的工程能力和安全技术要求更高，但它是完全可行且更安全的。

目前用户大多并不清楚这两种设计模式的区别，或是因为追求便捷而忽略了安全性。但Andy表示，随着安全事件的频繁发生，用户和开发团队可能会越来越重视更安全的架构。他相信，这种先进的设计方案在未来有望逐渐普及，减少类似 DEXX 事件的发生。

Q3

除了今天 DEXX 事件中暴露的私钥管理问题，还有哪些潜在的安全隐患需要用户特别关注？

OneOne将安全风险分为两大类，涵盖从交易授权到私钥保护等方面。

首先，他提到一种常见攻击方式——“Approve 欺骗”。举例来说，类似 通过“灰尘攻击”发送少量的加密资产或空投 NFT，诱使用户点击并进行交易授权。这种操作可能会让攻击者获得用户的钱包权限，从而盗取用户的资产，包括加密货币和 NFT。他提醒用户要谨慎处理不明来源的代币和空投，避免轻易进行授权。

对于私钥被盗的几种方式。第一种是“恶意软件攻击”，例如一些攻击者假装邀请用户测试新项目，诱骗用户下载携带木马病毒的可执行文件。一旦中招，用户的私钥和账户密码就会被轻松窃取。第二种是“剪贴板”，攻击者通过钓鱼网站获取用户的剪贴板访问权限。当用户复制粘贴私钥时，这些敏感信息会被攻击者截获并利用。

此外，他还提到“远程控制攻击”的案例，例如通过恶意远程软件操控用户电脑，甚至在用户休息时直接窃取私钥。他强调，一些撸空投的用户可能使用“指纹浏览器”来管理多个账号。然而，这类浏览器通常涉及云端存储功能，存在较高的安全风险。如果这些云存储账户被攻破，用户的资产便极易被盗。他特别提到，不少用户在使用这些工具时未设置二次验证（2FA），进一步加剧了风险。

最后，他提到“输入法隐患”。许多用户喜欢使用智能输入法，但这些输入法可能会收集用户的输入数据并将其存储在云端，这也增加了私钥泄露的可能性。OneOne建议用户尽量使用系统自带的输入法，尽管功能较少，但安全性更高。

他总结道，为了保护自己的加密资产，用户应做好隔离措施。例如，将大额资产存储在冷钱包中，只用来交互而不能直接转移资金。此外，他强调，避免在与空投和交易相关的操作中使用可能泄露私钥的工具，并推荐使用冷钱包作为一种更安全的解决方案，尤其是在需要高安全性保护的场合。

Andy指出，用户在链上交易时，特别是在使用 DeFi 应用或交易工具时，需要采取额外的安全预防措施。他提到，用户经常在以太坊兼容链上进行交易时，授权管理是一个需要高度重视的问题。由于以太坊的机制要求用户向智能合约授予代币授权，攻击者可以利用这个授权机制进行恶意操作。因此，用户应经常检查钱包的授权列表，及时撤销不再需要的授权，尤其是那些可能被遗忘的早期授权，以降低风险。

他还强调，用户选择 DeFi 平台时，应审查平台的安全措施，包括是否有完善的审计报告、持续的自动化安全监控、以及平台是否定期升级和修复漏洞。他指出，尽管了解这些安全信息需要一定的专业知识，但这是在 DeFi 领域获利所必需的学习成本。

在使用trading bot时，他建议用户务必将资产分散管理，不要将大笔资金存放在交易机器人所控制的账户中。获利后，应尽快将资金转移到更安全的钱包中，以减少可能的损失。

会所哥提到，作为一名交易员，熟悉交易工具和平台的机制至关重要。当前土狗交易的环境下，许多人只关注暴涨暴跌的刺激，忽视了交易工具的安全隐患。他坦言，自己在 DEXX 平台上的资产被盗并非偶然，而是源于多方面的疏忽。他承认自己对平台有初步了解，知道把钱转入他人控制的钱包有风险，但对 DEXX 的具体安全机制却未进行深入审核。

会所哥提到，他本以为资金安全无虞，因为没有导入助忆词。但他低估了平台私钥存储方式的漏洞：DEXX 实际上将用户私钥明文存储在前端，这使攻击者可以轻松读取并盗走资产。这个隐患被揭露时，他才意识到自己在交易工具背调上的疏忽。

他反思道，追逐高回报时，交易员应设立安全警报，比如池子抽空或清算警告，以随时把控风险。他强调，盲目追逐土狗币涨跌的快感而不关注安全，只会让人陷入更大损失。他建议每个交易者在选择工具时，先审慎评估安全性，理性操作，避免被市场情绪左右。

Veronica想强调一个简单而重要的原则：高效追逐利润和全面安全之间总有妥协。因此，她最关键的建议是做好资金隔离。并且如果你发现自己因投资头寸过大而焦虑得睡不着、频繁检查手机，那很可能说明你的资金配置已经超出了你的风险承受能力。

她提醒大家，炒币是一方面，但保持健康和平衡的生活也同样重要。尤其是在高风险资产类别中，特别是Meme币，它们的价格变化非常剧烈。

此外，她建议投资者定期评估自己的头寸，并及时撤销不必要的授权。同时，她鼓励大家多关注安全类账号，这些账户会持续更新新的诈骗手段和安全案例。随着诈骗手法不断演变，保持信息更新能帮助每个人提高安全意识，逐步形成警惕和理智的投资习惯。

Q4

使用哪些实用工具快速查询项目安全性？请分享推荐一些链上安全查询工具给听众。

Veronica推荐用户使用一些非托管钱包内置的功能。例如，定期检查授权的功能，用户可以扫描自己在多条链上的所有授权记录，并一键撤销不必要的授权，以减少被黑客利用的风险。

还有一些钱包功能，用来应对不断更新的诈骗手法。她提到，骗子常会撒播助记词，诱导用户通过假装无辜的对话而充入资金。钱包还能够识别“首尾钓鱼”骗局，即骗子通过小额转账伪装成用户的转账地址，以骗取资金。Veronica建议大家使用老牌的非托管钱包，因为它们在防范这些新型诈骗上更有经验和保护机制。

此外，她建议用户定期将大额资产归集到更安全的冷钱包或独立账户中。尤其在参与高风险项目时，如投资Meme币，及时归集浮盈可以降低因账户被黑而造成的损失。

最后，她分享了一个较少人知道但非常实用的功能——密码短语（Passphrase）。这个功能特别适合有多个炒币账户的用户。密码短语作为第13个词，与原本的12个助记词组合生成全新的钱包地址。即使有人获取了你的助记词，没有密码短语也无法访问你的资产。用户可以通过这种方式创建多个钱包账户，确保安全性。这种方法不仅增加了私钥的安全性，还允许用户在多个账户间灵活管理资产，且密码短语可以只存在于用户的脑海中，进一步提升安全保障。

OneOne推荐了一个常用的链上安全工具，Scam Sniffer，适合在浏览器或社交媒体平台上使用。他提到，Scam Sniffer在用户访问网站或进行链上交互时，会提醒用户是否遇到钓鱼地址或风险网站。认为它可以在一定程度上保护用户免受钓鱼攻击。

此外，他强调，最好的安全工具其实是用户自身的防范意识。Web3中的许多安全威胁都源于用户对自身数字资产安全的疏忽，而在Web2中养成的良好安全习惯，如防范钓鱼网站和谨慎授权等，应该继续在Web3世界中坚持。OneOne提醒大家，保持高度警惕和定期更新安全知识，才是应对链上安全风险的核心。

会所哥坦言，许多加密投资者往往在吃亏后才真正提高安全意识。在日常的投资中，常见的安全问题包括合约是否丢失权限、有无蜜罐、老鼠仓、是否存在修改代币余额的风险，以及合约是否调用了其他不安全的合约。他强调，许多用户上当受骗，通常都是因为忽视了这些合约层面的安全细节。甚至有些合约可能套用其他合约，导致代币被恶意转移，或者在交易中暗藏高额税费。

会所哥也自我反思了在 DEXX 事件中的损失。他表示，尽管自己对交易风险有足够的理解，并在方法论上储备了一定的知识，但如果没有经历这类事件，安全意识仍然可能不够警醒。对于他来说，这个 Space 的最大意义并不是学习更多的方法论，而是再次强化安全意识。他提醒大家，在冲动地参与“土狗”投资前，哪怕看见项目方发布了合约地址，也要冷静思考，仔细检查可能存在的风险。他总结道，保持警惕并不断复盘，是投资者应从这些教训中汲取的最大收获。

Andy指出，很多时候用户遭遇安全事件，除了项目本身存在风险外，还可能与用户自身的安全习惯不足有关。即使用户意识到手中持有的加密资产较多，或明知投资交易有风险，仍常因不良习惯而让资产暴露在危险之中。

他分享了一个他认为非常有效的安全习惯：使用一部专门的手机来管理和交易加密资产。Andy建议，投资者可以购买一部专用的设备，比如一部iPhone，只用它来进行加密货币交易或私钥管理，不在这台设备上安装其他与交易无关的软件或进行其他活动。这样做可以显著降低私钥泄露的风险，因为专用设备不会被日常使用中可能带来的安全威胁所影响。他强调，这种隔离策略虽然看似简单，但确实是一个能大幅度提高安全性的有效做法。

Q5

如何科学的配置分仓策略管理个人资产？您认为的最安全的保护措施是什么？

OneOne分享了他在加密投资中的分仓策略。他表示，他的投资组合最初是按“6-3-1”的比例配置的：60%的资金配置在比特币和以太坊等核心资产上，30%投入到一些他认为具有高价值或确定性的代币项目，剩下的10%则用于风险更高的投资，比如炒作土狗币或进行杠杆交易。

此外，OneOne会从其中一部分资金中拿出来专门用于撸空投和套利操作。他承认，这样的投资风格导致仓位分配相对复杂和混乱，但也更具灵活性。他的一个关键策略是，在每次投资翻倍后立即取出本金，确保锁定收益并降低风险。正因如此，他原本的“6-3-1”分仓比例已经逐渐转变为更均衡的“5-5”配置。他强调，合理的分仓和及时锁定收益是保护个人资产的重要措施。

会所哥认为，分仓策略的科学管理需要根据市场环境和个人投资目标动态调整。他指出，资产配置并不仅仅是“翻倍出本金”这么简单，而需要结合市场阶段来优化策略。

会所哥还强调，分仓管理不仅要考虑宏观经济背景，还需依据板块发展预期。例如，当加密市场的某一板块达到特定的增长预期或面临技术升级时，就可以调整仓位，向具有更高潜力的新兴领域转移。

最后，他提到，新叙事或政策变化也可能影响分仓决策。例如，随着监管政策或技术升级的变化（如以太坊质押机制的改进或新型基础设施的兴起），投资者应做好应对和仓位调整。他总结道，分仓管理是一门复杂的学问，投资者需要根据市场变化持续优化策略，以实现收益最大化并控制风险。

分享

OneOne分享了自己经历诈骗后成功报案并追回损失的一些实际操作方法。他指出，报案的关键是找到合适的部门——反诈中心，这是目前立案和处理效率最高的地方，而不是普通派出所。OneOne详细描述了他如何准备材料：在法院公开网上找到涉及加密货币诈骗的相关案例，打印成册，带着这些资料去反诈中心要求立案。

他还建议配合国内有链上追踪能力的机构，如与公安合作的“链安”，帮助追踪和提供证据，进一步提高报案的成功率。此外，他提醒在报案时要强调自己确实是在本地被骗。OneOne坦言，这只是他个人的经验，可能不适用于所有人。

结  语

在本次X Space活动中，嘉宾们围绕DEXX事件展开了深入的安全讨论，不仅剖析了交易工具常见的安全漏洞，还分享了丰富的实战经验和实用的防护措施。面对愈发复杂的加密市场，保护个人资产和提升安全意识尤为重要。希望这些宝贵的建议能帮助每位投资者在追逐机遇的同时，更加稳健地守护自己的财富。

文章仅作分享交流，不构成投资建议。

—— END ——