登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

资安分析 OKX 漏洞在「短信验证」?OKX 创办人徐明星:并不是,若因 OKX 损失会全赔

分享

支付動態

2024-06-11

资安分析 OKX 漏洞在「短信验证」?OKX 创办人徐明星:并不是,若因 OKX 损失会全赔

在近期发生的几起 OKX 用户安全事件引起了广泛关注后,网络社群对这些事件的原因进行了一次深入分析,并收到了 OKX 创办人徐明星的详细回应。本文将全面报导这次事件,从安全漏洞到官方回应,帮助用户更好地了解和保护自己的资产

内容目录

分析:OKX 资安设置存在的漏洞

Web3 安全社群 @dilationeffect 表示,对 OKX 的用户安全设置进行快速分析后,发现了一些令人惊讶的安全漏洞。(分析于时间 2024 年 6 月 10 日下午 5 点进行)

 1. Google Authenticator 验证可被绕过

尽管用户绑定了 Google Authenticator (GA),但在验证时可以切换到低安全等级的验证方式,例如短信验证 (SMS),这使得 GA 验证被轻易绕过。也就是即使用户激活了 GA,进行敏感操作时仍可选择安全性较低的短信验证。

广告 - 内文未完请往下卷动

2. 敏感操作缺乏风控措施

在进行一些敏感操作时,例如关闭手机验证、关闭 GA 验证或修改登录密码,均不会触发 24 小时禁止提币的风控措施。这些操作在新设备上登录才会触发风控,存在较大风险。

3. 白名单地址提币的安全隐患

白名单地址的提币操作未根据提币额度进行动态验证。一旦地址加入白名单,即可在提币额度内,无需再验证地进行提币,这与其他交易所设置限额并要求再次验证的做法有所不同。

这些发现显示,OKX 的安全设置缺乏基准线设计 (baseline design)。虽然这可能是为了提升用户体验,但在安全性上做了大量妥协。用户需谨慎设置帐户,务必绑定 GA 以提升安全性。

创办人徐明星的回应

针对这些安全问题,OKX 创办人徐明星作出了详细回应:

1. 对 GA 切换到 SMS 的说明

徐明星表示,没有任何一起用户资产损失案例是通过 GA 切换到 SMS 完成的,感谢大家的关注。

2. 免认证地址的设计

免认证地址是为了 API 用户自动化提币需求设计的,设置限额并不符合实际需求。此外,添加免验证地址的安全验证与提币操作的安全等级是一致的,未来会考虑引入免认证地址自动过期的机制。

3. GA 与 SMS 的安全性比较

GA 和 SMS 各有优劣,虽然 GA 的安全级别略高于 SMS,但并非绝对安全。黑客可以通过在用户设备上植入木马或盗取 Google 帐户来获取 GA;而 SMS 也可能通过木马、SIM 卡拷贝、伪基地台或 SMS 服务商的漏洞被盗取。

 4. OKX 对安全的信心

OKX 对产品的安全有充分的信心,对于因 OKX 自身原因导致的资损,将一如既往地全额赔偿。

用户安全提示

再次提醒交易所用户,在设置帐户安全时务必绑定 GA,以免成为黑客攻击的目标。邮箱和短信验证相对容易被攻击,只有加强安全措施,才能更好地保护自己的资产

(黑客 15 分钟卷走 500 万人民币:OKX 交易所安全漏洞引发用户恐慌)

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu