中心化交易所 OKX 在上週末被爆出用戶資金被駭,引起社群廣泛討論,安全機構認為本次用戶資金被駭讓 OKX 安全設置的問題浮出水面,同時,或因遭駭事件消息影響,許多用戶在 OKX 的 USDT 提幣白名單中發現不明地址,引發社群恐慌。對此,OKX 執行長徐明星也罕見地在社群平台上用中文回應。
(前情提要:OKX連爆「用戶遭駭盜幣」損失已破100萬鎂,官方回應:調查結果將第一時間公布 )
(背景補充:OKX虧大了》整理錢包燒掉254枚BTC手續費(1760萬鎂),疑歸集程式出包.. )
中心化交易所 OKX 上週末頻繁爆出資金被駭的消息,多位網友在社群平台 X 發文稱,他們存放在 OKX 交易所的資金遭到駭客盜取,這一消息使得眾多 OKX 用戶感到不安。
據動區昨(10)日報導,社群上出現多起手法類似的駭客事件,一名自述遭駭 2,250 萬新台幣的網友「樂顏」表示:
駭客可以在未取得我驗證碼的情況,登陸我的 OKX 交易所帳號,添加白名單提幣。
無獨有偶,網友 Dr.Hash”Wesley“ 也貼出錄影畫面,稱自己的群友被盜 100 萬 USDT。另名網友一顆滷蛋,也拋出有朋友遭盜 80 萬 USDT,並且都是利用手機簡訊、信箱驗證碼將資金轉走。
无独有偶,昨日朋友在同一时间也发生了同样的事件,80万U,请@okx @OKXHelpDesk_cn @okxchinese 尽快跟进,是否存在安全隐患
1. ok关联邮箱被垃圾邮件轰炸
2. 市价疯狂买入以太
3. 通过手机短信验证码提走以太设备信息:iphone,专门交易的设备,未曾点击任何链接。@CryptoApprenti1… https://t.co/MD7FAKW6uS pic.twitter.com/ZYUKWS0rx1
— 一颗卤蛋🥚Call Me Egg (@AsAnEgg) June 9, 2024
隨著事件持續發酵,OKX 官方也發文回應,表示若為自身平台問題,將會主動承擔處理:
關於今日網絡反饋的“交易所用戶資產被盜”情況我們十分重視,已經與相關用戶取得聯系,目前正在就相關情況進行調查,如最終確定為平台責任平台會主動承擔。此外,我們會在相關調查結束後第一時間公布結果,請各位耐心等待並停止不必要的猜測。感謝大家的支持。
安全機構:OKX 安全設置存在問題
在此背景下,安全研究機構 Dilation Effect 昨日發文表示,對 OKX 的用戶安全設置做了快速分析,發現以下問題:
- 儘管用戶綁定 Google 身份驗證(Google Authenticator),但校驗時允許切換至低安全等級的校驗發誓,導致 Google 身份認證被繞過。
- 用戶敏感操作時,均不會觸發 24 小時禁止提幣的風控措施,例如:關閉手機驗證、關閉 Google 身份驗證、修改登入密碼等…。
- 白名單地址提幣,沒有根據提幣額度做動態驗證,一旦地址加入白名單,就可以在提幣額度內無限提領,不像其他交易所會設置限額,超過此限額會要求再次驗證。
另外,Dilation Effect 也提醒用戶,帳戶設置務必綁定 Google 身份驗證,因為信箱和簡訊驗證容易被駭客攻擊。
疑似被添加白名單地址
另一方面,知名安全專家 0xAA 今日凌晨發文表示,許多用戶發現 OKX 帳戶的 USDT 提幣白名單出現不明地址:
在 OKX 交易所,許多帳戶的 USDT 的 TRC20 提幣白名單中出現了不明地址,且每個人的地址都不相同。 我檢查了一下,也發現了這個問題。復現操作步驟如下:
點選提幣 -> 選擇 USDT -> 點選鏈上提幣 -> 點擊 USDT 地址那一欄的電話簿圖標
因為 OKX 正處遭駭事件風暴中,許多用戶對於帳戶內資產的安全感到擔憂。任何關於安全的疑慮都可能引發用戶的恐慌,因此 0xAA 也呼籲 OKX 官方應盡快出面解釋。
OKX 執行長:OKX 地址簿功能需改進
面對 0xAA 的提問,OKX 官方也在社群回應道,新添加的免認證地址會排在最上面,因此該不明地址不可能是新添加的。
隨後 0xAA 也發文澄清傳言,並建議 OKX 更新地址簿,避免用戶誤會:
OKX 的朋友幫我檢查了我的帳戶,發現是幾年前添加的地址,可能是我忘記了。
建議 OKX 更新地址簿,標明哪些地址是白名單,哪些是歷史上轉賬過的地址,最好能標明時間和交易,避免誤會。 真是虛驚一場!
另一方面,針對此次地址簿的傳言,OKX 執行長徐明星也罕見地在社群上用中文回應,OKX 地址簿功能確實需要改進,並再次承諾,若因 OKX 自身問題造成用戶損失,OKX 將會承擔全部責任:
感謝澄清,我也經常忘記自己很久之前添加的地址。各位如果還有疑問,請隨時聯繫客服核實。OKX 地址簿功能確實需要改進,例如展示添加時間等。另外,由於 OKX 自身問題導致的客戶資損,OKX 將一如既往地承擔全部責任,感謝 OKX 的用戶們多年來的支持和包容,我們會珍惜每一份信任!
感谢澄清,我也经常不记得自己之前很久之前添加的地址。各位如果还有疑问,请随时联系客服核实。OKX地址簿功能确实需要改进,比如展示添加时间等。另外由于OKX自身问题导致的客户资损,OKX将一如既往的承担全部责任,感谢OKX的用户们多年来的支持和包容, 我们会珍视每一份信任!🙏 https://t.co/nzoUdFHfgd
— Star (@star_okx) June 10, 2024
📍相關報導📍
OKX Web3錢包遭劫,苦主哭訴痛失5萬U:安全漏洞究竟是什麼?
