看到近期发生的几起 OKX 用户安全事件,作为普通用户,我们对攻击发生的原因充满好奇,于是尝试花了半个小时对 OKX 的用户安全设置做了一遍快速分析,结果让人非常意外。
2、用户敏感操作发生时,比如:关闭手机校验、关闭 GA 校验,修改登录密码,均不会触发24小时禁止提币的风控措施。其中修改登录密码的风控措施采取了折衷的方式,在新设备上登录才会触发。
3、白名单地址提币,没有根据提币额度来做动态的验证,一旦这个地址加入白名单,就可以在提币额度内直接无校验的疯狂提币。不像其它交易所会设置一个限额,超过限额会要求再次做校验。
这是目前快速分析发现的问题,可以看出 OKX 的安全设置是缺少基线设计的。也许是为了提升用户体验,OKX 在安全性上做了大量妥协。这种设计是好是坏,用户会做出自己的评判和选择。
OKX CEO Star 回应:目前没有任何一起用户资损案例是通过 GA (谷歌验证器) 切换到 SMS (短信) 完成的。免认证地址是为 API 用户自动化提币需求设计,设置限额不符合实际需求。可以考虑引入沉默的免认证地址自动过期的机制。GA 安全级别确实略高于 SMS,但不是绝对安全。盗取用户 SMS 的方法有设备木马植入、SIM 卡复制、伪基站、通过 SMS 服务商盗取等手段。黑客盗取用户 GA 可以在用户设备上植入木马或盗取 google 账户(开启云同步)。对于 OKX 自身原因导致的资损将全额赔偿。
Dilation Effect 回应 Star Xu: SMS 还有 SIM SWAP、运营商接口出问题、合法监听问题等等,安全性早已经更不上时代,GA 的安全性并不是略高于 SMS,而是高出很多,GA 应该作为安全校验的基线设置,对于散户来讲,GA 是目前相对最安全最低成本最易用的校验措施,呼吁普通用户能够设置好 GA,习惯用 GA,用好 GA(关闭云端备份功能)。
阅读原文