Vào ngày 3 tháng 6, một thành viên cộng đồng nổi tiếng "Lai Ri Fang Chang" đã đăng một bài đăng dài nói rằng một kẻ lừa đảo đã mua tất cả thông tin cá nhân của anh ta trên Telegram, sau đó sử dụng video do AI tổng hợp để đăng ký thay thế bằng cách đăng nhập vào email của anh ta và nhấp vào "Quên mật khẩu" Anh ta đã mất số điện thoại di động, địa chỉ email và thậm chí cả Google Authenticator, khiến anh ta mất hơn 2 triệu đô la tài sản tài khoản OKX trong vòng 24 giờ.

Sau đó, hai người dùng khác tiết lộ rằng tài khoản OKX của họ đã bị đánh cắp, nghi ngờ bị chiếm đoạt thông qua tin nhắn văn bản và địa chỉ email.

Tổ chức nghiên cứu Dilation Effect đã phân tích cài đặt bảo mật của OKX và đưa ra một số lo ngại:

Mặc dù người dùng bị ràng buộc với Google Authenticator (GA) nhưng khi thực hiện xác minh, người dùng được phép chuyển sang phương thức xác minh ở mức bảo mật thấp hơn, khiến xác minh GA bị bỏ qua. Người dùng chọn liên kết GA vì mức độ bảo mật cao hơn. Tuy nhiên, khi OKX xác minh các hoạt động nhạy cảm của người dùng, chẳng hạn như thêm địa chỉ danh sách trắng, rút ​​tiền, thay đổi cài đặt, v.v., nó có thể trực tiếp chuyển sang các phương thức xác minh bảo mật thấp như xác minh SMS.

Khi người dùng thực hiện các thao tác nhạy cảm, chẳng hạn như tắt xác minh điện thoại di động, tắt xác minh GA, thay đổi mật khẩu đăng nhập, v.v., các biện pháp kiểm soát rủi ro cấm rút tiền trong 24 giờ sẽ không được kích hoạt. Trong số đó, các biện pháp kiểm soát rủi ro khi thay đổi mật khẩu đăng nhập đã bị xâm phạm và sẽ chỉ được kích hoạt khi đăng nhập trên thiết bị mới.

Ngoài ra, việc rút tiền từ các địa chỉ trong danh sách trắng không được xác minh động dựa trên hạn mức rút tiền. Sau khi địa chỉ được thêm vào danh sách trắng, tiền có thể được rút trực tiếp trong hạn mức rút tiền mà không cần xác minh. Không giống như các sàn giao dịch khác, OKX chưa thiết lập cơ chế yêu cầu xác minh lại sau khi vượt quá giới hạn Nói chung, cài đặt bảo mật của OKX thiếu thiết kế cơ bản. Có lẽ để nâng cao trải nghiệm người dùng, OKX đã có rất nhiều thỏa hiệp trong vấn đề bảo mật.

CEO OKX Star trả lời rằng hiện tại không có trường hợp nào mất tài sản người dùng do chuyển từ GA sang SMS. Địa chỉ không cần xác thực được thiết kế cho nhu cầu rút tiền tự động của người dùng API và giới hạn cài đặt không đáp ứng nhu cầu thực tế. Hãy cân nhắc việc giới thiệu một cơ chế tự động hết hạn các địa chỉ không cần xác thực. Mức độ bảo mật của GA thực sự cao hơn SMS một chút, nhưng nó không an toàn tuyệt đối. Các phương thức đánh cắp SMS của người dùng bao gồm cấy Trojan vào thiết bị, sao chép thẻ SIM, trạm gốc giả và đánh cắp thông qua các nhà cung cấp dịch vụ SMS. Tin tặc có thể đánh cắp GA của người dùng bằng cách cài Trojan vào thiết bị của người dùng hoặc đánh cắp tài khoản Google (bật đồng bộ hóa đám mây). OKX sẽ bồi thường đầy đủ mọi tổn thất tài sản do lỗi của chính mình gây ra.

Hiệu ứng giãn nở đã trả lời Star Xu: SMS có các vấn đề như hoán đổi thẻ SIM, các vấn đề về giao diện nhà điều hành và chặn pháp lý. Tính bảo mật của nó đã tụt hậu so với thời đại. GA nên được sử dụng làm cài đặt cơ bản để bảo mật. xác minh. Đối với người dùng thông thường, GA hiện là biện pháp xác minh an toàn nhất, chi phí thấp nhất và dễ sử dụng nhất. Chúng tôi kêu gọi người dùng thông thường thiết lập GA, làm quen với việc sử dụng GA và tắt chức năng sao lưu đám mây.

Ngoài ra còn có tin đồn lan truyền trong cộng đồng rằng “các địa chỉ không xác định xuất hiện trong danh sách trắng rút USDT-TRC20 của nhiều tài khoản OKX”. Các quan chức của OKX đã kiểm tra nhiều địa chỉ và phát hiện ra rằng chúng đã được chủ tài khoản thêm vào vài năm trước. Tài khoản chính thức của OKX cho biết: “Trong chức năng sổ địa chỉ trên Ứng dụng, các địa chỉ không cần xác thực mới được thêm vào sẽ được liệt kê ở trên cùng và các địa chỉ bên dưới không thể được thêm mới”. , "Tôi cũng thường không nhớ những địa chỉ mà tôi đã thêm từ lâu. Nếu bạn vẫn còn thắc mắc, vui lòng liên hệ với bộ phận dịch vụ khách hàng để xác minh. Chức năng sổ địa chỉ OKX cần được cải thiện, chẳng hạn như hiển thị thời gian Ngoài ra, v.v. Do sự mất mát tài sản của khách hàng do các vấn đề riêng của OKX gây ra, OKX sẽ luôn chịu hoàn toàn trách nhiệm.”

Vào ngày 12 tháng 6, hai người dùng trước đó đã báo cáo trên mạng xã hội rằng tài khoản OKX của họ bị đánh cắp đã được hứa bồi thường đầy đủ và họ cũng đã xóa thông tin liên quan trên Twitter.

Vào ngày 12 tháng 6, phiên bản iOS 6.71.1 mới nhất của OKX đã hủy mã xác minh điện thoại di động và thay thế bằng xác minh kép qua email và trình xác thực. Tuy nhiên, theo cộng đồng, trong phiên bản OKX iOS 6.71.1 mới nhất, sau khi nhấp để sửa đổi trình xác thực (Google Authenticator), khóa GA mới sẽ được hiển thị trực tiếp mà không cần xác minh. được yêu cầu và mã ứng dụng xác thực mới. Trên Binance, nếu bạn muốn sửa đổi trình xác thực, bạn cần phải vượt qua một lớp xác minh khóa (xác minh khuôn mặt) trước khi khóa GA mới được hiển thị và mã ứng dụng xác thực mới sẽ được yêu cầu trong các lần đặt lại tiếp theo. Sau khi đặt lại trình xác thực, cả OKX và Binance đều không thể rút tiền trong vòng 24 giờ.

Tuy nhiên, tin đồn về khả năng thông đồng nội bộ và bên ngoài sau đó đã nổ ra trong cộng đồng, đặc biệt là khi một số thông tin người dùng bị tiết lộ.

Hai Teng của OKX cho biết việc rò rỉ thông tin khách hàng là do “ai đó giả mạo tài liệu xác minh tư pháp và lấy được thông tin của rất ít khách hàng”. Cho đến nay không có tình huống "nội bộ" nào được tìm thấy.

OKX đã đưa ra tuyên bố về các sự cố bảo mật gần đây trong tài khoản khách hàng cá nhân: Đã xác minh được rằng ai đó đã giả mạo tài liệu xác minh tư pháp và lấy được thông tin của chính khách hàng cá nhân. Vấn đề này đang được cơ quan tư pháp điều tra và chúng tôi không thể tiết lộ chi tiết cụ thể hơn. Chúng tôi đã tối ưu hóa quy trình hợp tác tư pháp, giới thiệu cơ chế xác minh và tăng cường mức độ bảo mật của nhận dạng khuôn mặt AI. Sau đó, chúng tôi sẽ giới thiệu cơ chế hết hạn cho các địa chỉ được chứng nhận trong sổ địa chỉ để ngăn những sự cố như vậy xảy ra lần nữa.

Star Xu cho biết OKX đã nâng cấp tính năng phát hiện vuốt khuôn mặt AI thế hệ mới để đặt lại các mục bảo mật. Đồng thời, đối với các tài khoản có số dư lớn hơn một giới hạn nhất định, việc xem xét thủ công kép sẽ được áp dụng đối với tất cả các yêu cầu đặt lại các mục bảo mật. đảm bảo kiểu hoán đổi khuôn mặt AI này sẽ không xảy ra nữa. Đối với một số khách hàng giả mạo quy trình xác minh để lấy thông tin người dùng, chúng tôi đã triển khai giám sát tài khoản khách hàng để đảm bảo an toàn tài sản.

Nó vẫn chưa kết thúc. Nhà tạo lập thị trường Singapore QuantMatter tuyên bố rằng 11,6 triệu đô la trong tài khoản tổ chức OKX của họ đã bất ngờ bị đánh cắp vào ngày 30 tháng 5. Tin tặc đã thêm nhiều địa chỉ vào danh sách trắng và số tiền đã được chuyển đổi thành BTC, ETH, USDC, USDT và chuyển sang các địa chỉ trên chuỗi. đang di chuyển vào lúc này. Khác với nhiều trường hợp trước đây, nhà tạo lập thị trường cho biết họ đã thiết lập trình xác thực ngoại tuyến của Google. Việc rút tiền yêu cầu xác thực kép qua email và GA và được người sáng lập và đối tác lưu giữ. Điều này có nghĩa là tin tặc có thể đã lợi dụng xác minh GA ngoại tuyến hoặc GA của nhà tạo lập thị trường đã bị đánh cắp. Dù đã hơn mười ngày trôi qua nhưng bản thân nhà tạo lập thị trường, cơ quan an ninh và OKX vẫn chưa thể xác định được nguyên nhân vụ trộm và cần phải điều tra thêm. Nhà tạo lập thị trường đã gọi cảnh sát Singapore và liên hệ với hơn 5 cơ quan an ninh để kiểm tra.

Star Xu trả lời: Câu chuyện này không có điểm gì chung với những vụ án khác, thời điểm hoàn toàn khác. Điều chắc chắn là có nhật ký đầy đủ cho thấy việc rút tiền được bắt đầu từ trang web và mã xác minh GA và email hoàn chỉnh đã được nhập vào yêu cầu rút tiền. #内容挖矿 #BTC #BNB

Nhấp vào hình đại diện của tôi để theo dõi tôi⭐WEB3 radar để nhận thông tin nhanh hơn~