6月3日,一位知名社区成员“来日方长”发长文称,有诈骗分子在电报上购买了他的所有个人资料,随后通过登录邮箱并点击“忘记密码”,利用AI合成的视频申请更换了手机号、邮箱号甚至谷歌验证器,导致他在24小时内丢失了超过200万美元的OKX账户资产。
随后,又有两名用户披露他们的OKX账户被盗,疑似由于短信和邮箱被劫持。
研究机构Dilation Effect对OKX的安全设置进行了分析,并提出了一些疑虑:
尽管用户绑定了Google Authenticator(GA),但在进行验证时,允许切换到较低安全等级的验证方式,导致GA验证被绕过。用户选择绑定GA是因为其安全等级更高。然而,OKX在对用户的敏感操作进行验证时,例如添加白名单地址、提币、设置变更等,可以直接切换为短信验证等低安全等级的验证方式。
在用户进行敏感操作时,例如关闭手机验证、关闭GA验证、修改登录密码等操作,均不会触发24小时禁止提币的风控措施。其中,修改登录密码的风控措施采取了折衷的方式,仅在新设备上登录时才会触发。
此外,白名单地址的提币没有根据提币额度进行动态验证,一旦地址加入白名单,就可以在提币额度内直接无验证提币。与其他交易所不同,OKX没有设置一个超过限额后需要再次验证的机制,总体来说,OKX的安全设置缺乏基线设计。可能是为了提升用户体验,OKX在安全性上做了大量妥协。
OKX的CEO Star回应称,目前没有任何一起用户资产损失案例是通过GA切换到SMS完成的。免认证地址是为API用户自动化提币需求设计的,设置限额不符合实际需求。可以考虑引入免认证地址自动过期的机制。GA的安全级别确实略高于SMS,但不是绝对安全。盗取用户SMS的方法有设备木马植入、SIM卡复制、伪基站以及通过SMS服务商盗取等手段。黑客可以通过在用户设备上植入木马或盗取Google账户(开启云同步)来盗取用户的GA。对于OKX自身原因导致的资产损失将全额赔偿。
Dilation Effect则回应Star Xu:SMS存在SIM卡调换、运营商接口问题和合法监听等问题,安全性早已落后于时代,GA的安全性远高于SMS,GA应该作为安全验证的基线设置。对于普通用户来说,GA是目前相对最安全、最低成本、最易用的验证措施,呼吁普通用户设置好GA,习惯使用GA,并关闭云端备份功能。
社区还流传着“OKX很多账号的USDT-TRC20提币白名单出现不明地址”的说法,OKX官方人员检查多个地址后发现是账户拥有者几年前添加的。OKX官方账号表示,“App上的地址簿功能,新添加的免认证地址排在最上面,下面的地址不可能是新添加的。”对此,OKX创始人Star Xu罕见发布中文推特表示,“我也经常不记得自己很久之前添加的地址。如果还有疑问,请随时联系客服核实。OKX地址簿功能确实需要改进,比如展示添加时间等。由于OKX自身问题导致的客户资产损失,OKX将一如既往承担全部责任。”
6月12日,此前在社交媒体上反映OKX账户被盗的两位用户已被承诺获得全额赔偿,他们在推特上也已经删除了相关信息。
6月12日,OKX最新的IOS 6.71.1版本提币已取消手机验证码,改为邮箱与验证器双重验证。不过,据社区发现,在OKX最新的IOS 6.71.1版本中,点击修改身份验证器(Google Authenticator)后无需验证即可直接显示新的GA密钥,在进一步的重置中,需要手机验证码和新身份验证应用码。而在Binance,如果要修改身份验证器,则需要通过一层密钥验证(面容验证)才会显示新的GA密钥,在进一步的重置中需要新身份验证应用码。重置身份验证器后,OKX和Binance均在24小时内无法提币。
然而,社区随后又爆出可能存在内外勾结的传闻,尤其是一些用户信息被披露。
OKX的海腾表示,客户信息泄露是由于“有人伪造司法调证文书,获取了极个别客户的信息”。目前没有发现“内鬼”情况。
OKX发布关于近期个别客户账户出现安全事件的情况说明:已经核实有人伪造司法调证文书,获取了极个别客户的信息。此事已经在司法机关立案调查中,具体细节我们无法透露更多。我们已经优化了司法协作的流程,引入核实机制,加强了AI刷脸的安全级别,后续会对地址簿中的认证地址引入过期机制,杜绝此类事件再次发生。
Star Xu表示,OKX已经对重置安全项升级了新一代的AI刷脸检测,同时对于余额大于某个限额的账户,所有重置安全项的请求引入双重人工复核,以确保这类AI换脸攻击不会再发生。对于伪造调证手续获取用户信息的几位客户,我们已经实施了对客户账户的监控,确保资产安全。
事情还没有结束。新加坡做市商QuantMatter自称其OKX机构账户1160万美元在5月30日突然被盗,黑客新增了多个白名单地址,资金被换成BTC、ETH、USDC、USDT并转至链上地址,目前资金没有移动。与此前多起案件不同,该做市商表示其设置了离线Google验证器,提币需要邮箱和GA双重认证,由创始人和合伙人两人保管。这意味着黑客可能利用了离线GA验证,或者做市商的GA被盗。尽管经过了十多天,做市商自身、安全机构和OKX等仍无法确定被盗原因,还需要进一步调查。该做市商已经在新加坡报警,并联系了超过五家安全机构进行检查。
Star Xu对此回应称:该账户与其他案例没有共同点,时间也完全不同,目前还在深入调查中。可以确定的是,有完整的日志表明提币是由网页端发起,提币请求输入了完整的GA和邮箱验证码。#内容挖矿 #BTC #BNB
点我头像关注我⭐WEB3雷达更快获得资讯哦~