Vào ngày 3/6, một thành viên cộng đồng có tiếng đã đến Nhật Bản và đăng một bài viết dài nói rằng những kẻ lừa đảo đã mua tất cả thông tin cá nhân của anh ta trên Telegram, sau đó nhấp vào quên mật khẩu thông qua số email đăng nhập và đăng ký đổi số điện thoại di động. , địa chỉ email và thậm chí qua video do AI tổng hợp. Ngoài ra còn có Google Authenticator, tài khoản OKX mất hơn 2 triệu USD tài sản sau 24 giờ.
Sau đó, hai người dùng khác tiết lộ rằng tài khoản OKX của họ đã bị đánh cắp và họ bị nghi ngờ bị chiếm đoạt thông qua tin nhắn văn bản và địa chỉ email.
Công ty nghiên cứu Dilation Effect sau đó đã phân tích các cài đặt bảo mật hiện tại của OKX và đưa ra mối lo ngại:
Mặc dù người dùng bị ràng buộc với GA nhưng được phép chuyển sang phương thức xác minh mức độ bảo mật thấp trong quá trình xác minh, dẫn đến việc xác minh GA bị bỏ qua. an toàn hơn. . Tuy nhiên, khi OKX xác minh các hoạt động nhạy cảm của người dùng, chẳng hạn như thêm địa chỉ danh sách trắng, rút tiền, thay đổi cài đặt mục xác minh khác nhau, v.v., nó có thể trực tiếp chuyển sang phương thức xác minh bảo mật thấp, chẳng hạn như SMS.
Khi các hoạt động nhạy cảm với người dùng xảy ra, chẳng hạn như tắt xác minh điện thoại di động, tắt xác minh GA hoặc thay đổi mật khẩu đăng nhập, các biện pháp kiểm soát rủi ro cấm rút tiền trong 24 giờ sẽ không được kích hoạt. Trong số đó, biện pháp kiểm soát rủi ro khi thay đổi mật khẩu đăng nhập áp dụng phương pháp thỏa hiệp và nó sẽ chỉ được kích hoạt khi đăng nhập trên thiết bị mới.
Khi rút tiền từ một địa chỉ trong danh sách trắng, không có xác minh động dựa trên giới hạn rút tiền. Sau khi địa chỉ này được thêm vào danh sách trắng, nó có thể rút tiền trực tiếp trong giới hạn rút tiền mà không cần xác minh. Không giống như các sàn giao dịch khác đặt giới hạn, nếu vượt quá giới hạn, việc xác minh sẽ được yêu cầu lại. Nói tóm lại, cài đặt bảo mật của OKX thiếu thiết kế cơ bản. Có lẽ để nâng cao trải nghiệm người dùng, OKX đã có rất nhiều thỏa hiệp trong vấn đề bảo mật.
CEO OKX Star trả lời: Hiện tại không có trường hợp nào mất tài sản người dùng do chuyển từ GA (Google Authenticator) sang SMS (SMS). Địa chỉ không cần xác thực được thiết kế cho nhu cầu rút tiền tự động của người dùng API và giới hạn cài đặt không đáp ứng nhu cầu thực tế. Hãy cân nhắc việc giới thiệu một cơ chế tự động hết hạn các địa chỉ không cần xác thực im lặng. GA có mức độ bảo mật cao hơn một chút so với SMS nhưng không hoàn toàn an toàn. Các phương thức đánh cắp SMS của người dùng bao gồm cấy Trojan vào thiết bị, sao chép thẻ SIM, trạm gốc giả và đánh cắp thông qua các nhà cung cấp dịch vụ SMS. Tin tặc đánh cắp GA của người dùng có thể cài Trojan trên thiết bị của người dùng hoặc đánh cắp tài khoản Google (bật đồng bộ hóa đám mây). OKX sẽ bồi thường đầy đủ mọi khoản lỗ vốn do chính nó gây ra.
Hiệu ứng giãn nở đã phản hồi với Star Xu: SMS, SIM SWAP, vấn đề về giao diện nhà điều hành, vấn đề chặn pháp lý, v.v., tính bảo mật của GA không cao hơn một chút so với SMS, nhưng phải cao hơn nhiều. Được sử dụng làm cài đặt cơ bản để xác minh bảo mật Đối với các nhà đầu tư bán lẻ, GA hiện là biện pháp xác minh an toàn nhất, chi phí thấp nhất và dễ sử dụng nhất. Chúng tôi kêu gọi người dùng thông thường thiết lập GA tốt, làm quen và tận dụng tốt. GA (tắt chức năng sao lưu đám mây).
Ngoài ra còn có tin đồn lan truyền trong cộng đồng rằng “các địa chỉ không xác định xuất hiện trong danh sách trắng rút USDT-TRC20 của nhiều tài khoản OKX”. Nhân viên chính thức của OKX đã kiểm tra nhiều địa chỉ và phát hiện ra rằng chúng đã được chủ tài khoản thêm vào vài năm trước. tài khoản chính thức cho biết "sổ địa chỉ trên Chức năng ứng dụng, các địa chỉ không cần xác thực mới được thêm vào được liệt kê ở trên cùng và các địa chỉ được liệt kê bên dưới không thể được thêm mới." Đáp lại, người sáng lập OKX, Star Xu hiếm khi tweet bằng tiếng Trung, nói rằng: "Tôi thường không nhớ những địa chỉ mà tôi đã thêm từ lâu. Nếu bạn vẫn còn thắc mắc, vui lòng liên hệ với bộ phận dịch vụ khách hàng để xác minh. Sổ địa chỉ OKX chức năng cần được cải thiện, chẳng hạn như Hiển thị thời gian thêm, v.v. Ngoài ra, OKX sẽ tiếp tục chịu hoàn toàn trách nhiệm về tổn thất vốn của khách hàng do các vấn đề của chính OKX gây ra.”
Vào ngày 12 tháng 6, hai người dùng đã báo cáo trên mạng xã hội rằng tài khoản OKX của họ bị đánh cắp đã được hứa bồi thường đầy đủ và họ cũng đã xóa thông tin liên quan trên Twitter.
Vào ngày 12 tháng 6, phiên bản iOS 6.71.1 mới nhất của OKX đã hủy mã xác minh điện thoại di động để rút tiền và thay thế bằng xác minh kép qua email và trình xác thực. Tuy nhiên, theo cộng đồng, theo phiên bản OKX iOS 6.71.1 mới nhất, sau khi nhấp để sửa đổi trình xác thực (Google Authenticator), khóa GA mới được hiển thị trực tiếp mà không cần xác minh thêm, mã xác minh điện thoại di động + danh tính mới. cần phải xác minh mã ứng dụng. Ngược lại, tại Binance, nếu bạn muốn sửa đổi xác minh trình xác thực, bạn cần phải vượt qua một lớp xác minh khóa (xác minh khuôn mặt) trước khi khóa GA mới được tiết lộ và trong những lần đặt lại tiếp theo, cần phải có mã ứng dụng xác thực mới. Cả OKX và Binance đều không thể rút tiền trong 24 giờ sau khi đặt lại trình xác thực.
Tuy nhiên, tin đồn về khả năng thông đồng nội bộ và bên ngoài đã nổ ra trong cộng đồng, đặc biệt khi một số thông tin người dùng bị tiết lộ.
OKX Haiteng cho rằng vụ rò rỉ thông tin khách hàng là do “ai đó giả mạo giấy tờ xác minh tư pháp và lấy được thông tin của rất ít khách hàng”. Cho đến nay không có tình huống "nội bộ" nào được tìm thấy. .
OKX đã đưa ra tuyên bố về các sự cố bảo mật gần đây trong tài khoản khách hàng cá nhân: Đã xác minh được rằng ai đó đã giả mạo tài liệu xác minh tư pháp và lấy được thông tin của chính khách hàng cá nhân. Vấn đề này hiện đang được cơ quan tư pháp điều tra và chúng tôi không thể tiết lộ thêm chi tiết cụ thể. Chúng tôi đã tối ưu hóa quy trình hợp tác tư pháp, giới thiệu cơ chế xác minh và tăng cường mức độ bảo mật của nhận dạng khuôn mặt AI. Sau đó, chúng tôi sẽ giới thiệu cơ chế hết hạn đối với các địa chỉ được xác thực trong sổ địa chỉ để ngăn những sự cố như vậy xảy ra lần nữa.
Star Xu cho biết OKX đã nâng cấp thế hệ phát hiện vuốt khuôn mặt AI mới để đặt lại các mục bảo mật và giới thiệu xem xét thủ công kép đối với tất cả các yêu cầu đặt lại các mục bảo mật cho các tài khoản có số dư lớn hơn một giới hạn nhất định, có thể đảm bảo loại AI này các cuộc tấn công hoán đổi khuôn mặt sẽ không xảy ra nữa. Đối với một số khách hàng giả mạo quy trình xác minh để lấy thông tin người dùng, chúng tôi đã triển khai giám sát tài khoản khách hàng để đảm bảo an toàn tài sản.
Nó vẫn chưa kết thúc. Nhà tạo lập thị trường Singapore QuantMatter tuyên bố rằng 11,6 triệu đô la trong tài khoản tổ chức OKX của họ đã bất ngờ bị đánh cắp vào ngày 30 tháng 5. Tin tặc đã thêm nhiều địa chỉ vào danh sách trắng và số tiền đã được chuyển đổi thành BTC ETH USDC USDT và được chuyển đến các địa chỉ trên chuỗi. di chuyển. Khác với nhiều trường hợp trước đây, nhà tạo lập thị trường nói với Wu Shuo rằng họ đã thiết lập trình xác thực ngoại tuyến của Google. Việc rút tiền yêu cầu xác thực kép qua email và GA, đồng thời được người sáng lập và đối tác lưu giữ. Điều này cũng có nghĩa là có khả năng cao tin tặc sử dụng xác minh GA ngoại tuyến để đánh cắp tiền và GA của nhà tạo lập thị trường đã bị đánh cắp. Mặc dù đã hơn mười ngày trôi qua nhưng nguyên nhân của vụ trộm vẫn chưa thể được xác định bởi chính nhà tạo lập thị trường, cơ quan an ninh, OKX, v.v. và cần phải điều tra thêm. Nhà tạo lập thị trường đã báo cảnh sát Singapore và liên hệ với hơn 5 cơ quan an ninh để kiểm tra.
Star Xu trả lời: Câu chuyện này không có điểm gì chung với những vụ án khác, thời điểm hoàn toàn khác. Điều chắc chắn là có nhật ký đầy đủ cho thấy việc rút tiền được bắt đầu từ trang web và mã xác minh GA và email hoàn chỉnh đã được nhập vào yêu cầu rút tiền.
Vào ngày 7 tháng 6, OKX đã gây tắc nghẽn trên mạng Bitcoin do lỗi tập lệnh. Phí mạng Bitcoin đã tăng vọt lên 520 sat/vb (~$52) và đang ở trạng thái tắc nghẽn. Người ta nghi ngờ rằng OKX (bc1quh...0r8l2d) đang phân loại và thu thập ví của người dùng. Hiện có hơn 330.000 giao dịch chưa được xác nhận trên mạng Bitcoin, với mức sử dụng bộ nhớ đạt 1,35 GB. Phí thu thập bất thường đã làm dấy lên nghi ngờ trong cộng đồng OKX cho biết nhóm đang thử nghiệm một chương trình thu phí và hiện đã dừng nó.
Dữ liệu vào ngày 11 tháng 6 cho thấy OKX đã trải qua dòng tiền chảy ra đáng kể, Defillama cho thấy OKX có dòng tiền ra ròng là 204 triệu USD trong 24 giờ qua và dòng tiền ra ròng là 630 triệu USD trong bảy ngày qua, vượt quá tổng dòng tiền ra từ các sàn giao dịch khác. Tổng tài sản dự trữ là 21,64 tỷ USD. Binance đã chứng kiến dòng vốn ròng 1,364 tỷ USD trong bảy ngày qua.
Một sàn giao dịch khác là Binance cũng gặp sự cố gần đây.
Vào ngày 3 tháng 6 năm 2024, một người dùng Twitter đã đăng về việc anh ta đã bị đánh cắp 1 triệu đô la do tải xuống tiện ích mở rộng Aggr độc hại của Chrome, khiến phần lớn người dùng cộng đồng tiền điện tử chú ý đến rủi ro tiện ích mở rộng và lo lắng về tính bảo mật của tài sản tiền điện tử của họ . Vấn đề này chủ yếu là trách nhiệm của người dùng. He Yi trả lời: Binance hiện đang áp dụng các cảnh báo dữ liệu lớn và xác nhận kép thủ công đối với những biến động giá đột ngột, đồng thời sẽ thêm lời nhắc cho người dùng sẽ tăng tần suất xác minh đối với hoạt động của plug-in và ủy quyền cookie, đồng thời Binance sẽ tăng tần suất. dựa trên sự khác biệt của người dùng. Ngoài ra, Binance cũng đưa ra khoản bồi thường nhất định cho người dùng bị thiệt hại.
Về sự cố hàng nhái trước đó, He Yi, đồng sáng lập Binance, cho biết sản phẩm đã chú trọng nhiều hơn đến tính dễ sử dụng của người dùng và chưa đủ nghiêm ngặt sau kinh nghiệm và bài học rút ra, các tiêu chuẩn và quy trình kiểm soát rủi ro hiện tại. Quy định sẽ được nâng cao;
Đã đến lúc thị trường tăng giá bắt đầu vào nửa cuối năm. Gần đây tôi đã triển khai rất nhiều loại tiền tệ chất lượng cao, hầu hết trong số đó là tiền điện tử gấp đôi. Nếu bạn muốn chứng kiến sức mạnh của tôi, hãy đến với vòng kết nối của người bạn tốt của tôi, hãy nhấp vào của tôi. ảnh hồ sơ và xem thông tin. Mã gái điếm miễn phí
#币安合约锦标赛 #币安用户数突破2亿
