在近期发生的几起 OKX 用户安全事件引起了广泛关注后,网路社群对这些事件的原因进行了一次深入分析,并收到了 OKX 创办人徐明星的详细回应。本文将全面报导这次事件,从安全漏洞到官方回应,帮助用户更好地了解和保护自己的资产。
分析:OKX 资安设置存在的漏洞
Web3 安全社群 @dilationeffect 表示,对 OKX 的用户安全设置进行快速分析后,发现了一些令人惊讶的安全漏洞。(分析于时间 2024 年 6 月 10 日下午 5 点进行)
1. Google Authenticator 验证可被绕过
尽管用户绑定了 Google Authenticator (GA),但在验证时可以切换到低安全等级的验证方式,例如简讯验证 (SMS),这使得 GA 验证被轻易绕过。也就是即使用户启用了 GA,进行敏感操作时仍可选择安全性较低的简讯验证。
在进行一些敏感操作时,例如关闭手机验证、关闭 GA 验证或修改登录密码,均不会触发 24 小时禁止提币的风控措施。这些操作在新设备上登录才会触发风控,存在较大风险。
3. 白名单地址提币的安全隐患
白名单地址的提币操作未根据提币额度进行动态验证。一旦地址加入白名单,即可在提币额度内,无需再验证地进行提币,这与其他交易所设置限额并要求再次验证的做法有所不同。
这些发现显示,OKX 的安全设置缺乏基准线设计 (baseline design)。虽然这可能是为了提升用户体验,但在安全性上做了大量妥协。用户需谨慎设置帐户,务必绑定 GA 以提升安全性。
创办人徐明星的回应
针对这些安全问题,OKX 创办人徐明星作出了详细回应:
1. 对 GA 切换到 SMS 的说明
徐明星表示,没有任何一起用户资产损失案例是通过 GA 切换到 SMS 完成的,感谢大家的关注。
2. 免认证地址的设计
免认证地址是为了 API 用户自动化提币需求设计的,设置限额并不符合实际需求。此外,添加免验证地址的安全验证与提币操作的安全等级是一致的,未来会考虑引入免认证地址自动过期的机制。
3. GA 与 SMS 的安全性比较
GA 和 SMS 各有优劣,虽然 GA 的安全级别略高于 SMS,但并非绝对安全。骇客可以透过在用户设备上植入木马或盗取 Google 帐户来获取 GA;而 SMS 也可能通过木马、SIM 卡复制、伪基地台或 SMS 服务商的漏洞被盗取。
4. OKX 对安全的信心
OKX 对产品的安全有充分的信心,对于因 OKX 自身原因导致的资损,将一如既往地全额赔偿。
用户安全提示
再次提醒交易所用户,在设置帐户安全时务必绑定 GA,以免成为骇客攻击的目标。邮箱和简讯验证相对容易被攻击,只有加强安全措施,才能更好地保护自己的资产。
(骇客 15 分钟卷走 500 万人民币:OKX 交易所安全漏洞引发用户恐慌)