資安分析 OKX 漏洞在「簡訊驗證」?OKX 創辦人徐明星:並不是,若因 OKX 損失會全賠
在近期發生的幾起 OKX 用戶安全事件引起了廣泛關注後,網路社群對這些事件的原因進行了一次深入分析,並收到了 OKX 創辦人徐明星的詳細回應。本文將全面報導這次事件,從安全漏洞到官方回應,幫助用戶更好地了解和保護自己的資產。
分析:OKX 資安設置存在的漏洞
Web3 安全社群 @dilationeffect 表示,對 OKX 的用戶安全設置進行快速分析後,發現了一些令人驚訝的安全漏洞。(分析於時間 2024 年 6 月 10 日下午 5 點進行)
1. Google Authenticator 驗證可被繞過
儘管用戶綁定了 Google Authenticator (GA),但在驗證時可以切換到低安全等級的驗證方式,例如簡訊驗證 (SMS),這使得 GA 驗證被輕易繞過。也就是即使用戶啟用了 GA,進行敏感操作時仍可選擇安全性較低的簡訊驗證。
廣告 - 內文未完請往下捲動
2. 敏感操作缺乏風控措施
在進行一些敏感操作時,例如關閉手機驗證、關閉 GA 驗證或修改登錄密碼,均不會觸發 24 小時禁止提幣的風控措施。這些操作在新設備上登錄才會觸發風控,存在較大風險。
3. 白名單地址提幣的安全隱患
白名單地址的提幣操作未根據提幣額度進行動態驗證。一旦地址加入白名單,即可在提幣額度內,無需再驗證地進行提幣,這與其他交易所設置限額並要求再次驗證的做法有所不同。
這些發現顯示,OKX 的安全設置缺乏基準線設計 (baseline design)。雖然這可能是為了提升用戶體驗,但在安全性上做了大量妥協。用戶需謹慎設置帳戶,務必綁定 GA 以提升安全性。
創辦人徐明星的回應
針對這些安全問題,OKX 創辦人徐明星作出了詳細回應:
1. 對 GA 切換到 SMS 的說明
徐明星表示,沒有任何一起用戶資產損失案例是通過 GA 切換到 SMS 完成的,感謝大家的關注。
2. 免認證地址的設計
免認證地址是為了 API 用戶自動化提幣需求設計的,設置限額並不符合實際需求。此外,添加免驗證地址的安全驗證與提幣操作的安全等級是一致的,未來會考慮引入免認證地址自動過期的機制。
3. GA 與 SMS 的安全性比較
GA 和 SMS 各有優劣,雖然 GA 的安全級別略高於 SMS,但並非絕對安全。駭客可以透過在用戶設備上植入木馬或盜取 Google 帳戶來獲取 GA;而 SMS 也可能通過木馬、SIM 卡複製、偽基地台或 SMS 服務商的漏洞被盜取。
4. OKX 對安全的信心
OKX 對產品的安全有充分的信心,對於因 OKX 自身原因導致的資損,將一如既往地全額賠償。
用戶安全提示
再次提醒交易所用戶,在設置帳戶安全時務必綁定 GA,以免成為駭客攻擊的目標。郵箱和簡訊驗證相對容易被攻擊,只有加強安全措施,才能更好地保護自己的資產。
