2024-06-11 15:04:27
中心化交易所OKX上周末频繁爆出资金被黑客的消息,多位网友在社群平台X发文称,他们存放在OKX交易所的资金遭到黑客客盗取,这一消息使得众多OKX用户感到不安。
据昨(10)日报导,社群上出现多起手法类似的黑客客事件,一名自述遭黑客2,250万新台币的网友“乐颜”表示:“黑客客可以在未取得我验证码的情况,登陆我的OKX交易所帐号,添加白名单提币。”
无独有偶,网友Dr.Hash”Wesley“也贴出录影画面,称自己的群友被盗100万USDT。另名网友一颗卤蛋,也抛出有朋友遭盗80万USDT,并且都是利用手机简讯、信箱验证码将资金转走。
随着事件持续发酵,OKX官方也发文回应,表示若为自身平台问题,将会主动承担处理:“关于今日网络反馈的“交易所用户资产被盗”情况我们十分重视,已经与相关用户取得联系,目前正在就相关情况进行调查,如最终确定为平台责任平台会主动承担。此外,我们会在相关调查结束后第一时间公布结果,请各位耐心等待并停止不必要的猜测。感谢大家的支持。”
安全机构:OKX安全设置存在问题
在此背景下,安全研究机构Dilation Effect昨日发文表示,对OKX的用户安全设置做了快速分析,发现以下问题:
尽管用户绑定Google身份验证(Google Authenticator),但校验时允许切换至低安全等级的校验发誓,导致Google身份认证被绕过。
用户敏感操作时,均不会触发24小时禁止提币的风控措施,例如:关闭手机验证、关闭Google身份验证、修改登入密码等…。
白名单地址提币,没有根据提币额度做动态验证,一旦地址加入白名单,就可以在提币额度内无限提领,不像其他交易所会设置限额,超过此限额会要求再次验证。
另外,DilationEffect也提醒用户,帐户设置务必绑定Google身份验证,因为信箱和简讯验证容易被黑客客攻击。
疑似被添加白名单地址
另一方面,知名安全专家0xAA今日凌晨发文表示,许多用户发现OKX帐户的USDT提币白名单出现不明地址:“在OKX交易所,许多帐户的USDT的TRC20提币白名单中出现了不明地址,且每个人的地址都不相同。我检查了一下,也发现了这个问题。复现操作步骤如下:点选提币->选择USDT->点选链上提币->点击USDT地址那一栏的电话簿图标”
因为OKX正处遭黑客事件风暴中,许多用户对于帐户内资产的安全感到担忧。任何关于安全的疑虑都可能引发用户的恐慌,因此0xAA也呼吁OKX官方应尽快出面解释。
OKX执行长:OKX地址簿功能需改进
面对0xAA的提问,OKX官方也在社群回应道,新添加的免认证地址会排在最上面,因此该不明地址不可能是新添加的。
随后0xAA也发文澄清传言,并建议OKX更新地址簿,避免用户误会:“OKX的朋友帮我检查了我的帐户,发现是几年前添加的地址,可能是我忘记了。建议OKX更新地址簿,标明哪些地址是白名单,哪些是历史上转账过的地址,最好能标明时间和交易,避免误会。真是虚惊一场!”
另一方面,针对此次地址簿的传言,OKX执行长徐明星也罕见地在社群上用中文回应,OKX地址簿功能确实需要改进,并再次承诺,若因OKX自身问题造成用户损失,OKX将会承担全部责任:“感谢澄清,我也经常忘记自己很久之前添加的地址。各位如果还有疑问,请随时联系客服核实。OKX地址簿功能确实需要改进,例如展示添加时间等。另外,由于OKX自身问题导致的客户资损,OKX将一如既往地承担全部责任,感谢OKX的用户们多年来的支持和包容,我们会珍惜每一份信任!”
3507