看到近期发生的几起 OKX 用户安全事件,作为普通用户,我们对攻击发生的原因充满好奇,于是尝试花了半个小时对 OKX 的用户安全设置做了一遍快速分析,结果让人非常意外。
注:本次分析的实施时间为新加坡时间2024年6月10日下午5点。
1、尽管用户绑定了 GA,但校验时允许切换到低安全等级的校验方式,导致 GA 校验被绕过
用户绑定 GA(Google Authenticator),就是考虑到 GA 的安全等级更高更安全。但 OKX 在对用户敏感操作做校验时,比如添加白名单地址、提币、各类验证项设置变更等,可以直接切换为低安全等级的校验方式,比如短信。
2、用户敏感操作发生时,比如:关闭手机校验、关闭 GA 校验,修改登录密码,均不会触发24小时禁止提币的风控措施。其中修改登录密码的风控措施采取了折衷的方式,在新设备上登录才会触发。
3、白名单地址提币,没有根据提币额度来做动态的验证,一旦这个地址加入白名单,就可以在提币额度内直接无校验的疯狂提币。不像其它交易所会设置一个限额,超过限额会要求再次做校验。
这是目前快速分析发现的问题,可以看出 OKX 的安全设置是缺少基线设计的。也许是为了提升用户体验,OKX 在安全性上做了大量妥协。这种设计是好是坏,用户会做出自己的评判和选择。
Dilation Effect 想再次提醒用户,账户设置务必绑定 GA,否则到头来就是给黑客打工,因为邮箱和短信容易被攻击。
OKX CEO Star 回应:目前没有任何一起用户资损案例是通过 GA (谷歌验证器) 切换到 SMS (短信) 完成的。免认证地址是为 API 用户自动化提币需求设计,设置限额不符合实际需求。可以考虑引入沉默的免认证地址自动过期的机制。GA 安全级别确实略高于 SMS,但不是绝对安全。盗取用户 SMS 的方法有设备木马植入、SIM 卡复制、伪基站、通过 SMS 服务商盗取等手段。黑客盗取用户 GA 可以在用户设备上植入木马或盗取 google 账户(开启云同步)。对于 OKX 自身原因导致的资损将全额赔偿。
Dilation Effect 回应 Star Xu: SMS 还有 SIM SWAP、运营商接口出问题、合法监听问题等等,安全性早已经更不上时代,GA 的安全性并不是略高于 SMS,而是高出很多,GA 应该作为安全校验的基线设置,对于散户来讲,GA 是目前相对最安全最低成本最易用的校验措施,呼吁普通用户能够设置好 GA,习惯用 GA,用好 GA(关闭云端备份功能)。
阅读原文
