2024-06-05 09:03:54
前日,一名币安用户疑下载到浏览器恶意扩充功能,导致帐户资金被盗窃一空,损失100万美元的灾情。结果今天早上,一名X用户(0xNing0x)也透露,另一家全球知名的交易所OKX,也惊传用户在使用OKXWeb3钱包的兑换页面时“遭遇劫持”,损失5万USDT。
遭黑经过
受害者还原事发经过,表示一个新地址刚从波场链接收USDT,但要转出时因没有TRX,很可能会使用OKX Web3钱包内提供的兑换功能。如下图左所示,左上角会提示TRX余额不足,并会给一个【补充TRX】的跳转连接。
进入该连结后,受害者强调,黑客的窃盗行为发生在此页面(下图右),黑客会劫持此页面,在极短的时间内,向使用者转帐一笔100个TRX,当使用者点击兑换后,会跳转出一个权限授权的确定框,使用者会以为这个是兑换TRX的确认提示。点选确认后,该使用者位址的权限便被黑客窃取。
受害者强调,黑客的犯案行为直到昨天还在持续进行中,作案手法全部一样:
1.先确认目标用户
2.向目标用户地址转帐100个TRX
3.然后劫持使用者兑换页面,使用者点选假的兑换及确认按钮,实际是权限更新的确认按钮
4.黑客拿到用户地址的权限,之后将币转走。
受还者还表示,最后一步的转帐行为不一定会马上发生,因为此时使用者的帐号权限已经被黑客盗走,但是使用者并不知情(使用者只有在转帐的时候,才会提示使用者权限不足,此时使用者才会发现自己被黑客盗了)。
在不知情的情况下,仍然有可能继续往此地址充值,因为用户可以看到币仍然在自己的地址上,所以这也是黑客并不着急把用户的币提走的原因。
受害者声称,当用户将大额的波场链的USDT充值进入OKXWeb3钱包,就会被黑客监控并取得此资讯。他指出其中一个黑客地址:THDkuJMo2DeKoDzZfaKnNjepuziCbu75ej,表示该地址的盗窃行为从去年12月7日开始,至今已经发生几10笔了。
而@0xNing0x也提醒,根据链上动态,这个黑客应该是一个机构化实体,直到今天仍然在作恶,受害者人数众多,需要提高警觉。
使用OKXWeb3钱包补充TRX(兑换Gas)画面
OKX官方回应:疑似助记词泄漏、慢雾:疑似遭钓鱼
这起事件引起社群的广泛担忧。不过,OKX高管海腾对此回应,没有明确迹象显示钱包遭遇劫持:“经分析后,都是app内原生介面,不是网页,除非安装到假app,否则不可能发生劫持。依照使用者所述,从官方网站下载,所以排除假app嫌疑。同时从链上资料来看,从22:45:33到22:45:42,仅9秒内完成usdt转入以及帐户权限修改两笔交易,使用者描述自己保存助记词是透过截图的方式,有存在助记词泄漏并被监控的可能。”
海腾表示,安全是OKX一直非常重视的议题,虽然没有明确的指向,但对于受害着所质疑的“app劫持”,他们将会继续核查。
慢雾资安长对此也回应道:“感觉这位受害者的描述是不准确的,页面劫持夸张了。可能就是扫了骗子的码或访问了钓鱼DApp。”
2916