#加密货币 加密货币交易所欧易接连发生用户账号被黑资产被盗事件,目前尚不清楚是用户问题还是欧易平台存在漏洞,欧易到现在还没有回应。对于大户,如非必要建议还是将资产转移到硬件钱包中,这样可以大幅度提高资产的安全性。查看全文:https://ourl.co/104383
早前加密货币交易所币安有投资者巨额资产被盗,当时这名用户安装的扩展程序带毒盗取了登录的 Cookies,而币安的安全策略存在问题并没有绑定 IP 地址,如果登录成功 Cookies 绑定 IP 地址则黑客盗取 Cookies 也无法继续操纵账户。
不过币安这起投资者资产被盗最主要的则是还是在用户,因为安装了恶意扩展程序导致黑客通过对敲方式窃取了巨额资金。
而本周加密货币交易所欧易 (OKX) 发生的数起用户资产被盗就有些扑朔迷离了,用户没有安装恶意扩展程序、SIM 卡也没有被劫持,而欧易方面目前态度也比较强硬让用户寻求执法机构帮助,该交易所仅响应来自司法机关的请求配合调查。
欧易现在并没有对外回应此事同时也没有发布任何公告进行说明,所以暂时不清楚是欧易平台存在漏洞还是完全是用户的责任,但基于安全考虑建议用户不要将大量资产放在交易所,如果可以最好还是提现到硬件钱包中。
目前已知的信息包括:
1. 用户没有遭遇 SIM 换卡攻击,即手机号还是自己掌控的;
2. 已知的用户约 60 万 USDT 的资产被提出,约合人民币 435 万元;
3. 在资产被转走前 / 转走时,用户收到大量来自欧易的短信验证码;
4. 在资产被转走前 / 转走时,用户收到大量来自欧易的邮件验证码;
5. 黑客的登录 IP 归属于新加坡,黑客通过未知防止添加了提币授权地址;
6. 另一名已知的用户约 80 万 USDT 的资产被提出,约合人民币 580 万元,通过手机验证码完成提币验证。
未知的信息太多:
欧易目前的提币逻辑是对于白名单地址无需任何验证,点击后即可提币,但添加白名单地址时需要验证邮箱 + 2FA 验证码或短信验证码;若是非白名单地址提币那就是后者,需要进行两个参数的验证才可以。
已知的两名被盗用户是否绑定谷歌验证器等 2FA 验证工具目前还不清楚,而欧易本身可以跳过 2FA 选择使用短信验证码替代,因此这里是一个安全弱点。
其次有被盗用户被开通了包含交易和提现权限的 API 地址,开通 API 后黑客可以直接操作,但想要开通同样需要经过身份验证。
所以目前的问题是,黑客从哪里获得用户的邮箱验证码和 2FA 验证码或短信验证码的呢?在没有验证码的情况下无论是提币还是开通 API 都是做不到的。
至于用户本身的信息例如登录的邮箱或者手机号之类的这种泄露已经司空见惯,显然黑客是具有目标性的,即提前筛选用户后再进行针对性的攻击确保能够一次成功。
可能的原因:
至少现在还没法说欧易平台本身存在安全漏洞被黑客利用,现阶段被盗用户提供的信息还不足以证明平台存在漏洞,但这里还有个坑就是验证码的发送方。
此前就曾出现过有交易所的电子邮件和短信供应商被黑导致泄露了用户信息,从某些意义上说如果黑客入侵了这些供应商或者通过内鬼勾结,确实可以获得验证码,这种操作难度较大但也是一个可以参考的方向。
所以除了欧易自己下场出来回应否则我们可能永远不知道这些问题的真相,希望欧易不要再进行鸵鸟行为,毕竟现在币圈都在流传着这几次被盗事件的截图。
还有伪造人脸视频骗过欧易拿到账户:
稍早些时候欧易还发生过一起用户资产被盗问题,当时黑客的操作似乎是利用 AI 伪造了用户的视频,欧易绑定 2FA 的情况下丢失后必须联系人工客服处理。
黑客利用的就是这个环节,利用伪造的人脸视频骗了欧易重置了 2FA 信息,2FA 都被黑客掌控了账户资产自然不可幸免,这种情况下欧易应该负全责。