交易所安全警報：OKX帳戶被盜事件及其對產業的影響

吴说区块链｜2024-06-14 19:00

炒币千万条，安全第一条。

編輯 | 吳說區塊鏈

6 月3 日某知名社區成員來日方長髮長文稱，詐騙分子在電報購買了他的所有個人資料，隨後通過登陸郵箱號點開忘記密碼，通過AI 合成的視頻申請更換了手機號、郵箱號甚至還有Google驗證器，24 小時後其OKX 帳戶失去超200 萬美元的資產。

隨後又有兩名用戶揭露其OKX 帳號被盜，疑似因簡訊與信箱被劫持。

研究機構Dilation Effect 隨後對OKX 目前的安全設定進行了分析並提出疑慮：

儘管使用者綁定了GA，但校驗時允許切換到低安全等級的校驗方式，導致GA 校驗被繞過，用戶綁定GA（Google Authenticator），就是考慮到GA 的安全等級更高更安全。但OKX 在對使用者敏感操作做校驗時，例如新增白名單地址、提幣、各類驗證項設定變更等，可以直接切換為低安全等級的校驗方式，例如簡訊。

使用者敏感操作發生時，例如：關閉手機校驗、關閉GA 校驗，修改登入密碼，均不會觸發24 小時禁止提幣的風控措施。其中修改登入密碼的風控措施採取了折衷的方式，在新裝置上登入才會觸發。

白名單地址提幣，沒有根據提幣額度來做動態的驗證，一旦這個地址加入白名單，就可以在提幣額度內直接無校驗的瘋狂提幣。不像其它交易所會設定一個限額，超過限額會要求再做校驗。總之OKX 的安全設定是缺少基線設計的。也許是為了提升使用者體驗，OKX 在安全性上做了大量妥協。

OKX CEO Star 回應：目前沒有任何一起使用者資損案例是透過GA (Google 驗證器) 切換到SMS (簡訊) 完成的。免認證地址是為API 用戶自動化提幣需求設計，設定限額不符合實際需求。可以考慮引入沉默的免認證地址自動過期的機制。 GA 安全等級確實略高於SMS，但不是絕對安全。盜取用戶SMS 的方法有設備木馬植入、SIM 卡複製、偽基地台、透過SMS 服務商盜取等手段。駭客盜取用戶GA 可以在用戶裝置上植入木馬或盜取google 帳號（開啟雲端同步）。對於OKX 自身原因導致的資損將全額賠償。

Dilation Effect 則回應Star Xu: SMS 還有SIM SWAP、營運商介面出問題、合法監聽問題等等，安全性早已經更不上時代，GA 的安全性並不是略高於SMS，而是高出許多，GA 應該作為安全校驗的基線設置，對於散戶來講，GA 是目前相對最安全最低成本最易用的校驗措施，呼籲普通用戶能夠設置好GA，習慣用GA，用好GA（關閉雲端備份功能）。

中途也出現了社區流傳的“OKX 很多帳號的USDT-TRC20 提幣白名單出現不明地址”，OKX 官方人員檢查多個地址發現系帳戶擁有者幾年前添加，OKX 官方帳號表示“App 上地址簿功能，新添加的免認證地址排在最上面，排在下面的地址，不可能是新添加的”。對此，OKX 創辦人Star Xu 罕見發布中文推特表示，「我也經常不記得自己之前很久之前添加的地址。各位如果還有疑問，請隨時聯繫客服核實。OKX 地址簿功能確實需要改進，例如展示添加時間等。

6 月12 日先前兩位在社群媒體上反映OKX 帳號被盜的用戶已被承諾獲得了全額賠償，他們在推特上也已經刪除了相關資訊。

6 月12 日OKX 最新IOS 6.71.1 版本提幣已取消手機驗證碼，改為信箱與驗證器雙重驗證。不過根據社群發現，在OKX 最新IOS 6.71.1 版本下，點擊修改身分驗證器（Google Authenticator）後無需驗證直接顯示新的GA 金鑰，在進一步的重置中，需要手機驗證碼+新驗證應用碼。相反，在Binance，如果要修改驗證器驗證，則需要透過一層金鑰驗證（面容驗證）才會顯示新的GA 金鑰，在進一步的重設中，需要新驗證應用碼。在重置驗證器後，OKX 和Binance 均在24 小時內無法提幣。

然而隨後社群又爆出可能存在內外勾結的傳聞，尤其是一些用戶資訊被揭露。

OKX 海騰表示，客戶資訊外洩是「有人偽造司法調證文書，取得了極個別客戶的資訊」。目前沒有發現「內鬼」情況。。

OKX 發布關於近期個別客戶帳戶出現安全事件的情況說明: 已經核實有人偽造司法調證文書，獲取了極個別客戶的資訊。此事已經在司法機關立案調查中，具體細節我們無法透露更多。我們已經優化了司法協作的流程，引入核實機制，加強了AI 刷臉的安全級別，後續會對地址薄裡認證地址引入過期機制，杜絕此類事件再次發生。

Star Xu 表示，OKX已經對重置安全項升級了新一代的AI刷臉檢測，同時對於餘額大於某個限額的帳戶所有重置安全項的請求引入雙重人工複核，可以確保這類AI換臉攻擊不會再發生。對於偽造調證手續取得使用者資訊的幾位客戶，我們已經實施了對客戶帳戶的監控，確保資產安全。

事情還沒結束。新加坡做市商QuantMatter 自稱其OKX 機構帳戶1160 萬美元在5 月30 日突然被盜，駭客新增了多個白名單地址，資金被換成BTC ETH USDC USDT 轉走至鏈上地址，目前資金沒有移動。與先前多起案件不同，該做市商對吳說表示設置了離線谷歌驗證器，提幣需要郵箱與GA 雙認證，由創始人與合夥人兩人保管。這也意味著大概率駭客盜幣使用了離線GA 驗證以及做市商的GA 被盜。儘管經過了十多天，被盜原因目前做市商本身、安全機構、OKX 等都無法確定，還需要進一步調查。該做市商已經在新加坡報警，並且聯繫了超過5 家安全機構進行檢查。

Star Xu 對此回應：該帳號與其他案例沒有共同點，時間也完全不一樣，目前仍在深入調查中。可以確定的是，有完整的日誌顯示提幣由網頁端發起，提幣請求輸入了完整的GA和email驗證碼。

6 月7 日OKX 曾經因為腳本錯誤導致比特幣網路擁塞。 Bitcoin 網路費用飆升至520 sat/vb（~$52），處於擁塞狀態，疑似是OKX（bc1quh...0r8l2d）正在整理和歸集用戶錢包。 Bitcoin 網路上現有超過33 萬筆未確認交易，記憶體使用量達1.35 GB。異常的歸集手續費引發社群的質疑，對此OKX 表示是團隊在測試歸集程序，目前已停止。

6 月11 日數據顯示，OKX 出現明顯的資金流出，Defillama 顯示，OKX 過去24 小時淨流出2.04 億美元，過去7 天淨流出6.3 億美元，超過其他交易所流出總額，總儲備資產為216.4 億美元。而幣安過去7 天淨流入13.64 億美元。

另一個交易所幣安近期也有一起事故。

2024 年6 月3 日，推特用戶發文講述其因下載惡意的Chrome 擴展Aggr 導致100 萬美金被盜的經過，引起廣大加密社區用戶對擴展風險的關注和自己加密資產安全性的擔憂。此事主要是用戶自身責任。何一回應：幣安目前對突發價格波動已經疊加大數據警報和人工雙重確認，也會給用戶增加提醒；在插件運行、cookie的授權上即將增加驗證頻率，幣安會根據用戶的差異增加安全驗證環節。此外幣安也對受損用戶進行了一定的補償。

關於先前發生的對敲事件，幣安聯合創始人何一表示，產品上更多考慮了用戶易用性，做得不是足夠嚴格，這次的經驗和教訓後，會提高目前的風控標準與等級；當時抓到了價格波動，但風控覺得問題不大就放過了；但她不認為「友商」存在堅守自盜。