El 3 de junio, un conocido miembro de la comunidad llegó a Japón y publicó un largo artículo diciendo que los estafadores compraron toda su información personal en Telegram, luego hicieron clic en la contraseña olvidada a través del número de correo electrónico de inicio de sesión y solicitaron un cambio de número de teléfono móvil. , dirección de correo electrónico e incluso a través del vídeo sintetizado por IA También está Google Authenticator, cuya cuenta OKX perdió más de 2 millones de dólares en activos después de 24 horas.
Posteriormente, dos usuarios más revelaron que sus cuentas OKX habían sido robadas, sospechosas de haber sido secuestradas a través de mensajes de texto y direcciones de correo electrónico.
Posteriormente, la firma de investigación Dilation Effect analizó la configuración de seguridad actual de OKX y expresó sus preocupaciones:
Aunque el usuario está vinculado a GA, se le permite cambiar a un método de verificación de nivel de seguridad bajo durante la verificación, lo que hace que se omita la verificación de GA. El usuario está vinculado a GA (Google Authenticator) porque el nivel de seguridad de GA es más alto y. más seguro. . Sin embargo, cuando OKX verifica operaciones confidenciales del usuario, como agregar una dirección a la lista blanca, retirar monedas, cambiar varias configuraciones de elementos de verificación, etc., puede cambiar directamente a un método de verificación de baja seguridad, como SMS.
Cuando se produzcan operaciones sensibles al usuario, como desactivar la verificación del teléfono móvil, desactivar la verificación de GA o cambiar la contraseña de inicio de sesión, no se activarán las medidas de control de riesgos de prohibir los retiros de moneda durante 24 horas. Entre ellas, las medidas de control de riesgos para cambiar la contraseña de inicio de sesión están comprometidas y solo se activarán al iniciar sesión en un nuevo dispositivo.
Al retirar monedas de una dirección de la lista blanca, no hay verificación dinámica basada en el límite de retiro. Una vez que esta dirección se agrega a la lista blanca, puede retirar monedas directamente dentro del límite de retiro sin verificación. A diferencia de otros intercambios que establecen un límite, si se excede el límite, se requerirá verificación nuevamente. En resumen, la configuración de seguridad de OKX carece de un diseño básico. Quizás para mejorar la experiencia del usuario, OKX ha hecho muchos compromisos en materia de seguridad.
Star, CEO de OKX, respondió: Actualmente no hay ningún caso de pérdida de activos de usuario causada por el cambio de GA (Google Authenticator) a SMS (SMS). Las direcciones sin autenticación están diseñadas para las necesidades de retiro automatizado de moneda de los usuarios de API, y el establecimiento de límites no satisface las necesidades reales. Considere la posibilidad de introducir un mecanismo para la caducidad automática de direcciones silenciosas sin autenticación. GA tiene un nivel de seguridad ligeramente más alto que los SMS, pero no es completamente seguro. Los métodos para robar SMS de usuarios incluyen la implantación de troyanos en el dispositivo, la duplicación de tarjetas SIM, estaciones base falsas y el robo a través de proveedores de servicios de SMS. Los piratas informáticos que roban el GA de los usuarios pueden instalar troyanos en los dispositivos de los usuarios o robar cuentas de Google (activar la sincronización en la nube). OKX compensará íntegramente cualquier pérdida de capital causada por sus propios motivos.
Dilation Effect respondió a Star Xu: SMS, SIM SWAP, problemas de interfaz del operador, problemas de interceptación legal, etc., la seguridad ya está desactualizada. La seguridad de GA no es ligeramente mayor que la de SMS, pero sí mucho mayor, GA debería serlo. Utilizado como configuración de referencia para la verificación de seguridad, para los inversores minoristas, GA es actualmente la medida de verificación más segura, de menor costo y más fácil de usar. Hacemos un llamado a los usuarios comunes para que configuren bien GA, se acostumbren a él y lo utilicen bien. GA (apaga la función de copia de seguridad en la nube).
También circuló en la comunidad el rumor de que "aparecen direcciones desconocidas en la lista blanca de retiros USDT-TRC20 de muchas cuentas de OKX. El personal oficial de OKX verificó varias direcciones y descubrió que fueron agregadas por el propietario de la cuenta hace unos años". La cuenta oficial indicó que "la libreta de direcciones en la función de la aplicación, las direcciones sin autenticación recién agregadas se enumeran en la parte superior y las direcciones que se enumeran a continuación no se pueden agregar nuevamente". En respuesta, el fundador de OKX, Star Xu, rara vez tuiteaba en chino y decía: "A menudo no recuerdo las direcciones que agregué hace mucho tiempo. Si aún tiene preguntas, no dude en comunicarse con el servicio de atención al cliente para verificarlas. La libreta de direcciones de OKX Es necesario mejorar la función, como Mostrar el tiempo de adición, etc. Además, OKX seguirá asumiendo toda la responsabilidad por la pérdida de fondos de los clientes debido a los propios problemas de OKX”.
El 12 de junio, a dos usuarios que informaron en las redes sociales que sus cuentas OKX habían sido robadas se les prometió una compensación completa y también eliminaron información relevante en Twitter.
El 12 de junio, la última versión IOS 6.71.1 de OKX canceló el código de verificación del teléfono móvil para retiros de moneda y lo reemplazó con verificación dual por correo electrónico y validador. Sin embargo, según la comunidad, en la última versión IOS 6.71.1 de OKX, después de hacer clic para modificar el autenticador (Google Authenticator), la nueva clave GA se muestra directamente sin verificación. En un reinicio adicional, el código de verificación del teléfono móvil + nueva identidad. Se requiere verificación. Por el contrario, en Binance, si desea modificar la verificación del autenticador, debe pasar una capa de verificación de clave (verificación facial) antes de que se revele la nueva clave GA y, en posteriores reinicios, se requiere un nuevo código de aplicación de autenticación. Tanto OKX como Binance no pueden retirar monedas durante 24 horas después de restablecer el autenticador.
Sin embargo, surgieron rumores de posible colusión interna y externa en la comunidad, especialmente cuando se reveló cierta información de los usuarios.
OKX Haiteng dijo que la filtración de información de los clientes fue causada por "alguien falsificó documentos de verificación judicial y obtuvo la información de muy pocos clientes". Hasta el momento no se ha encontrado ninguna situación "interna". .
OKX emitió un comunicado sobre los recientes incidentes de seguridad en cuentas de clientes individuales: Se ha verificado que alguien falsificó documentos de verificación judicial y obtuvo información sobre clientes muy individuales. Este asunto está siendo investigado por las autoridades judiciales y no podemos revelar detalles más específicos. Hemos optimizado el proceso de cooperación judicial, introducido un mecanismo de verificación y fortalecido el nivel de seguridad del reconocimiento facial de IA. Más adelante introduciremos un mecanismo de caducidad para las direcciones autenticadas en la libreta de direcciones para evitar que tales incidentes vuelvan a ocurrir.
Star Xu dijo que OKX ha actualizado una nueva generación de detección de deslizamiento facial de IA para restablecer elementos de seguridad e introdujo una doble revisión manual para todas las solicitudes de restablecimiento de elementos de seguridad para cuentas con saldos superiores a un cierto límite, lo que puede garantizar este tipo de IA. Los ataques de intercambio de caras no volverán a suceder. Para varios clientes que falsificaron procedimientos de verificación para obtener información del usuario, hemos implementado el monitoreo de las cuentas de los clientes para garantizar la seguridad de los activos.
Aún no ha terminado. El creador de mercado de Singapur, QuantMatter, afirmó que el 30 de mayo se robaron repentinamente 11,6 millones de dólares de su cuenta institucional de OKX. Los piratas informáticos agregaron varias direcciones a la lista blanca y los fondos se convirtieron en BTC ETH USDC USDT y se transfirieron a direcciones en cadena. Actualmente, no hay fondos. mover. A diferencia de muchos casos anteriores, el creador de mercado le dijo a Wu Shuo que había configurado un validador de Google fuera de línea. El retiro de monedas requiere autenticación dual por correo electrónico y GA, y lo conserva el fundador y el socio. Esto también significa que existe una alta probabilidad de que los piratas informáticos utilicen la verificación GA fuera de línea para robar monedas y que roben la GA del creador de mercado. Aunque han pasado más de diez días, el propio creador de mercado, las agencias de seguridad, OKX, etc. no pueden determinar la causa del robo, y es necesario realizar más investigaciones. El creador de mercado alertó a la policía de Singapur y se puso en contacto con más de cinco agencias de seguridad para realizar inspecciones.
Star Xu respondió: Esta cuenta no tiene nada en común con otros casos y el momento es completamente diferente. Todavía está bajo investigación en profundidad. Lo que es seguro es que hay registros completos que muestran que el retiro se inició desde la página web y que los códigos completos de verificación de correo electrónico y GA se ingresaron en la solicitud de retiro.
El 7 de junio, OKX provocó congestión en la red Bitcoin debido a un error de script. La tarifa de la red Bitcoin se ha disparado a 520 sat/vb (~$52) y se encuentra en un estado congestionado. Se sospecha que OKX (bc1quh...0r8l2d) está clasificando y recopilando carteras de usuarios. Actualmente hay más de 330.000 transacciones no confirmadas en la red Bitcoin, con un uso de memoria que alcanza los 1,35 GB. Las tarifas de cobro anormales han despertado dudas en la comunidad. OKX dijo que el equipo está probando un programa de cobro y actualmente lo ha detenido.
Los datos del 11 de junio mostraron que OKX experimentó importantes salidas de fondos. Defillama mostró que OKX tuvo una salida neta de 204 millones de dólares en las últimas 24 horas y una salida neta de 630 millones de dólares en los últimos siete días, superando las salidas totales de otros intercambios. Los activos de reserva totales ascendieron a 21.640 millones de dólares. Binance ha experimentado una entrada neta de 1.364 millones de dólares en los últimos siete días.
Otro intercambio, Binance, también tuvo un incidente recientemente.
El 3 de junio de 2024, un usuario de Twitter publicó acerca de cómo le robaron $1 millón debido a la descarga de la extensión maliciosa de Chrome Aggr, lo que provocó que la mayoría de los usuarios de la comunidad criptográfica prestaran atención al riesgo de la extensión y se preocuparan por la seguridad de sus criptoactivos. . Este asunto es principalmente responsabilidad del usuario. He Yi respondió: Binance actualmente ha superpuesto alarmas de big data y confirmaciones dobles manuales para fluctuaciones repentinas de precios, y también agregará recordatorios a los usuarios; la frecuencia de verificación aumentará para la operación de complementos y la autorización de cookies, y Binance aumentará la frecuencia; basado en las diferencias de usuario. Además, Binance también proporcionó cierta compensación a los usuarios dañados.
Con respecto al incidente anterior, He Yi, cofundador de Binance, dijo que el producto ha prestado más atención a la facilidad de uso del usuario y no ha sido lo suficientemente estricto después de esta experiencia y las lecciones aprendidas, los estándares actuales de control de riesgos y. Se mejorará el nivel de las regulaciones; en ese momento, se detectó la fluctuación de precios, pero el control de riesgos pensó que no era un gran problema y lo dejó pasar, pero ella no pensó que los "amigos" insistieran en robar;
Es hora de que comience el mercado alcista en la segunda mitad. Recientemente he implementado muchas monedas de alta calidad, la mayoría de las cuales son criptomonedas duplicadas. Si quieres ser testigo de mi fuerza, ven al círculo de mis buenos amigos y haz clic en mi. foto de perfil, y echa un vistazo a la información. Código de prostitución gratuito
#币安合约锦标赛 #币安用户数突破2亿
