6 月 3 日某知名社區成員來日方長髮長文稱,詐騙分子在電報購買了他的所有個人資料,隨後通過登陸郵箱號點開忘記密碼,通過 AI 合成的視頻申請更換了手機號、郵箱號甚至還有谷歌驗證器,24 小時後其 OKX 賬戶丟失超 200 萬美元的資產。

隨後又有兩名用戶披露其 OKX 賬戶被盜,疑似由於短信與郵箱被劫持。

研究機構 Dilation Effect 隨後對 OKX 目前的安全設置進行了分析並提出疑慮:

儘管用戶綁定了 GA,但校驗時允許切換到低安全等級的校驗方式,導致 GA 校驗被繞過,用戶綁定 GA(Google Authenticator),就是考慮到 GA 的安全等級更高更安全。但 OKX 在對用戶敏感操作做校驗時,比如添加白名單地址、提幣、各類驗證項設置變更等,可以直接切換爲低安全等級的校驗方式,比如短信。

用戶敏感操作發生時,比如:關閉手機校驗、關閉 GA 校驗,修改登錄密碼,均不會觸發 24 小時禁止提幣的風控措施。其中修改登錄密碼的風控措施採取了折衷的方式,在新設備上登錄纔會觸發。

白名單地址提幣,沒有根據提幣額度來做動態的驗證,一旦這個地址加入白名單,就可以在提幣額度內直接無校驗的瘋狂提幣。不像其它交易所會設置一個限額,超過限額會要求再次做校驗。總之 OKX 的安全設置是缺少基線設計的。也許是爲了提升用戶體驗,OKX 在安全性上做了大量妥協。

OKX CEO Star 迴應:目前沒有任何一起用戶資損案例是通過 GA (谷歌驗證器) 切換到 SMS (短信) 完成的。免認證地址是爲 API 用戶自動化提幣需求設計,設置限額不符合實際需求。可以考慮引入沉默的免認證地址自動過期的機制。GA 安全級別確實略高於 SMS,但不是絕對安全。盜取用戶 SMS 的方法有設備木馬植入、SIM 卡複製、僞基站、通過 SMS 服務商盜取等手段。黑客盜取用戶 GA 可以在用戶設備上植入木馬或盜取 google 賬戶(開啓雲同步)。對於 OKX 自身原因導致的資損將全額賠償。

Dilation Effect 則迴應 Star Xu: SMS 還有 SIM SWAP、運營商接口出問題、合法監聽問題等等,安全性早已經更不上時代,GA 的安全性並不是略高於 SMS,而是高出很多,GA 應該作爲安全校驗的基線設置,對於散戶來講,GA 是目前相對最安全最低成本最易用的校驗措施,呼籲普通用戶能夠設置好 GA,習慣用 GA,用好 GA(關閉雲端備份功能)。

中途還出現了社區流傳的 “OKX 很多賬號的 USDT-TRC20 提幣白名單出現不明地址”,OKX 官方人員檢查多個地址發現系賬戶擁有者幾年前添加,OKX 官方賬號表示 “App 上地址簿功能,新添加的免認證地址排在最上面,排在下面的地址,不可能是新添加的”。對此,OKX 創始人 Star Xu 罕見發佈中文推特表示,“我也經常不記得自己之前很久之前添加的地址。各位如果還有疑問,請隨時聯繫客服覈實。OKX 地址簿功能確實需要改進,比如展示添加時間等。另外由於 OKX 自身問題導致的客戶資損,OKX 將一如既往的承擔全部責任。”

6 月 12 日此前兩位在社交媒體上反映 OKX 賬戶被盜的用戶已被承諾獲得了全額賠償,他們在推特上也已經刪除了相關信息。

6 月 12 日 OKX 最新 IOS 6.71.1 版本提幣已取消手機驗證碼,改爲郵箱與驗證器雙重驗證。不過據社區發現,在OKX 最新 IOS 6.71.1 版本下,點擊修改身份驗證器(Google Authenticator)後無需驗證直接顯示新的 GA 密鑰,在進一步的重置中,需要手機驗證碼+新身份驗證應用碼。相反,在 Binance,如果要修改身份驗證器驗證,則需要通過一層密鑰驗證(面容驗證)纔會顯示新的 GA 密鑰,在進一步的重置中,需要新身份驗證應用碼。在重置身份驗證器後,OKX 和 Binance 均在 24 小時內無法提幣。

然而隨後社區又爆出可能存在內外勾結的傳聞,尤其是一些用戶信息被披露。

OKX 海騰表示,客戶信息泄露是“有人僞造司法調證文書,獲取了極個別客戶的信息”。目前沒有發現“內鬼”情況。。

OKX 發佈關於近期個別客戶賬戶出現安全事件的情況說明: 已經覈實有人僞造司法調證文書,獲取了極個別客戶的信息。此事已經在司法機關立案調查中,具體細節我們無法透露更多。我們已經優化了司法協作的流程,引入覈實機制,加強了 AI 刷臉的安全級別,後續會對地址薄裏認證地址引入過期機制,杜絕此類事件再次發生。

Star Xu 表示,OKX已經對重置安全項 升級了新一代的AI刷臉檢測,同時對於餘額大於某個限額的賬戶所有重置安全項的請求引入雙重人工複覈,可以確保這類AI換臉攻擊不會再發生。對於僞造調證手續獲取用戶信息的幾位客戶,我們已經實施了對客戶賬戶的監控,確保資產安全。

事情還沒有結束。新加坡做市商 QuantMatter 自稱其 OKX 機構賬戶 1160 萬美元在 5 月 30 日突然被盜,黑客新增了多個白名單地址,資金被換成 BTC ETH USDC USDT 轉走至鏈上地址,目前資金沒有移動。與此前多起案件不同,該做市商對吳說表示設置了離線谷歌驗證器,提幣需要郵箱與 GA 雙認證,由創始人與合夥人兩人保管。這也意味着大概率黑客盜幣使用了離線 GA 驗證以及做市商的 GA 被盜。儘管經過了十多天,被盜原因目前做市商自身、安全機構、OKX 等均無法確定,還需要進一步調查。該做市商已經在新加坡報警,並且聯繫了超過 5 家安全機構進行檢查。

Star Xu 對此迴應:該賬戶與其他案例沒有共同點,時間也完全不一樣,目前還在深入調查中。可以確定的是,有完整的日誌表明提幣由網頁端發起,提幣請求輸入了完整的GA和email驗證碼。

6 月 7 日 OKX 曾因爲腳本錯誤導致比特幣網絡擁堵。Bitcoin 網絡費用飆升至 520 sat/vb(~$52),處於擁堵狀態,疑似是 OKX(bc1quh...0r8l2d)正在整理和歸集用戶錢包。Bitcoin 網絡上現有超過 33 萬筆未確認交易,內存使用量達 1.35 GB。異常的歸集手續費引發社區的質疑,對此 OKX 表示是團隊在測試一個歸集程序,目前已停止。

6 月 11 日數據顯示,OKX 出現明顯的資金流出,Defillama 顯示,OKX 過去 24 小時淨流出 2.04 億美元,過去 7 天淨流出 6.3 億美元,超過其他交易所流出總額,總儲備資產爲 216.4 億美元。而幣安過去 7 天淨流入 13.64 億美元。

另一個交易所幣安近期也有一起事故。

2024 年 6 月 3 日,推特用戶發文講述其因下載惡意的 Chrome 擴展 Aggr 導致 100 萬美金被盜的經過,引起廣大加密社區用戶對擴展風險的關注和自己加密資產安全性的擔憂。此事主要是用戶自身責任。何一回應:幣安目前對突發價格波動已經疊加大數據報警和人工雙重確認,也會給用戶增加提醒;在插件運行、cookie的授權上即將增加驗證頻率,幣安會根據用戶的差異增加安全驗證環節。此外幣安也對受損用戶進行了一定的補償。

關於此前發生的對敲事件,幣安聯合創始人何一表示,產品上更多考慮了用戶易用性,做得不是足夠嚴格,這次的經驗和教訓後,會提高目前的風控標準與等級;當時抓到了價格波動,但風控覺得問題不大就放過了;但她不認爲“友商”存在堅守自盜。

下半場牛市要啓動該了,我最近佈局了不少優質幣種,大部分都是翻倍的密碼,想見證實力的,來我的好朋友的圈子裏,點我頭像,瞧瞧資料。白嫖密碼
#币安合约锦标赛 #币安用户数突破2亿