當(dāng)前位置：主頁(yè) > 區(qū)塊鏈 > 交易平臺(tái) > 交易所安全警報(bào)

交易所安全設(shè)置：交易所賬戶被盜事件及其對(duì)行業(yè)的影響

2025-04-18 16:55:24 | 來(lái)源： | 作者：佚名

6 月 3 日某知名社區(qū)成員來(lái)日方長(zhǎng)發(fā)長(zhǎng)文稱，詐騙分子在電報(bào)購(gòu)買了他的所有個(gè)人資料，隨后通過(guò)登陸郵箱號(hào)點(diǎn)開(kāi)忘記密碼，通過(guò) AI 合成的視頻申請(qǐng)更換了手機(jī) 號(hào)、郵箱號(hào)甚至還有谷歌驗(yàn)證器，24 小時(shí)后其 OKX 賬戶丟失超 200 萬(wàn)美元的資產(chǎn)

6 月 3 日某知名社區(qū)成員來(lái)日方長(zhǎng)發(fā)長(zhǎng)文稱，詐騙分子在電報(bào)購(gòu)買了他的所有個(gè)人資料，隨后通過(guò)登陸郵箱號(hào)點(diǎn)開(kāi)忘記密碼，通過(guò) AI 合成的視頻申請(qǐng)更換了手機(jī)號(hào)、郵箱號(hào)甚至還有谷歌驗(yàn)證器，24 小時(shí)后其 OKX 賬戶丟失超 200 萬(wàn)美元的資產(chǎn)。

隨后又有兩名用戶披露其 OKX 賬戶被盜，疑似由于短信與郵箱被劫持。

研究機(jī)構(gòu) Dilation Effect 隨后對(duì) OKX 目前的安全設(shè)置進(jìn)行了分析并提出疑慮：

盡管用戶綁定了 GA，但校驗(yàn)時(shí)允許切換到低安全等級(jí)的校驗(yàn)方式，導(dǎo)致 GA 校驗(yàn)被繞過(guò)，用戶綁定 GA（Google Authenticator），就是考慮到 GA 的安全等級(jí)更高更安全。但 OKX 在對(duì)用戶敏感操作做校驗(yàn)時(shí)，比如添加白名單地址、提幣、各類驗(yàn)證項(xiàng)設(shè)置變更等，可以直接切換為低安全等級(jí)的校驗(yàn)方式，比如短信。

用戶敏感操作發(fā)生時(shí)，比如：關(guān)閉手機(jī)校驗(yàn)、關(guān)閉 GA 校驗(yàn)，修改登錄密碼，均不會(huì)觸發(fā) 24 小時(shí)禁止提幣的風(fēng)控措施。其中修改登錄密碼的風(fēng)控措施采取了折衷的方式，在新設(shè)備上登錄才會(huì)觸發(fā)。

白名單地址提幣，沒(méi)有根據(jù)提幣額度來(lái)做動(dòng)態(tài)的驗(yàn)證，一旦這個(gè)地址加入白名單，就可以在提幣額度內(nèi)直接無(wú)校驗(yàn)的瘋狂提幣。不像其它交易所會(huì)設(shè)置一個(gè)限額，超過(guò)限額會(huì)要求再次做校驗(yàn)?？傊?OKX 的安全設(shè)置是缺少基線設(shè)計(jì)的。也許是為了提升用戶體驗(yàn)，OKX 在安全性上做了大量妥協(xié)。

OKX CEO Star 回應(yīng)：目前沒(méi)有任何一起用戶資損案例是通過(guò) GA (谷歌驗(yàn)證器) 切換到 SMS (短信) 完成的。免認(rèn)證地址是為 API 用戶自動(dòng)化提幣需求設(shè)計(jì)，設(shè)置限額不符合實(shí)際需求?？梢钥紤]引入沉默的免認(rèn)證地址自動(dòng)過(guò)期的機(jī)制。GA 安全級(jí)別確實(shí)略高于 SMS，但不是絕對(duì)安全。盜取用戶 SMS 的方法有設(shè)備木馬植入、SIM 卡復(fù)制、偽基站、通過(guò) SMS 服務(wù)商盜取等手段。黑客盜取用戶 GA 可以在用戶設(shè)備上植入木馬或盜取 google 賬戶（開(kāi)啟云同步）。對(duì)于 OKX 自身原因?qū)е碌馁Y損將全額賠償。

Dilation Effect 則回應(yīng) Star Xu: SMS 還有 SIM SWAP、運(yùn)營(yíng)商接口出問(wèn)題、合法監(jiān)聽(tīng)問(wèn)題等等，安全性早已經(jīng)更不上時(shí)代，GA 的安全性并不是略高于 SMS，而是高出很多，GA 應(yīng)該作為安全校驗(yàn)的基線設(shè)置，對(duì)于散戶來(lái)講，GA 是目前相對(duì)最安全最低成本最易用的校驗(yàn)措施，呼吁普通用戶能夠設(shè)置好 GA，習(xí)慣用 GA，用好 GA（關(guān)閉云端備份功能）。

中途還出現(xiàn)了社區(qū)流傳的 “OKX 很多賬號(hào)的 USDT-TRC20 提幣白名單出現(xiàn)不明地址”，OKX 官方人員檢查多個(gè)地址發(fā)現(xiàn)系賬戶擁有者幾年前添加，OKX 官方賬號(hào)表示 “App 上地址簿功能，新添加的免認(rèn)證地址排在最上面，排在下面的地址，不可能是新添加的”。對(duì)此，OKX 創(chuàng)始人 Star Xu 罕見(jiàn)發(fā)布中文推特表示，“我也經(jīng)常不記得自己之前很久之前添加的地址。各位如果還有疑問(wèn)，請(qǐng)隨時(shí)聯(lián)系客服核實(shí)。OKX 地址簿功能確實(shí)需要改進(jìn)，比如展示添加時(shí)間等。另外由于 OKX 自身問(wèn)題導(dǎo)致的客戶資損，OKX 將一如既往的承擔(dān)全部責(zé)任。”

6 月 12 日此前兩位在社交媒體上反映 OKX 賬戶被盜的用戶已被承諾獲得了全額賠償，他們?cè)谕铺厣弦惨呀?jīng)刪除了相關(guān)信息。

6 月 12 日 OKX 最新 IOS 6.71.1 版本提幣已取消手機(jī)驗(yàn)證碼，改為郵箱與驗(yàn)證器雙重驗(yàn)證。不過(guò)據(jù)社區(qū)發(fā)現(xiàn)，在OKX 最新 IOS 6.71.1 版本下，點(diǎn)擊修改身份驗(yàn)證器（Google Authenticator）后無(wú)需驗(yàn)證直接顯示新的 GA 密鑰，在進(jìn)一步的重置中，需要手機(jī)驗(yàn)證碼+新身份驗(yàn)證應(yīng)用碼。相反，在 Binance，如果要修改身份驗(yàn)證器驗(yàn)證，則需要通過(guò)一層密鑰驗(yàn)證（面容驗(yàn)證）才會(huì)顯示新的 GA 密鑰，在進(jìn)一步的重置中，需要新身份驗(yàn)證應(yīng)用碼。在重置身份驗(yàn)證器后，OKX 和 Binance 均在 24 小時(shí)內(nèi)無(wú)法提幣。

然而隨后社區(qū)又爆出可能存在內(nèi)外勾結(jié)的傳聞，尤其是一些用戶信息被披露。

OKX 海騰表示，客戶信息泄露是“有人偽造司法調(diào)證文書，獲取了極個(gè)別客戶的信息”。目前沒(méi)有發(fā)現(xiàn)“內(nèi)鬼”情況。。

OKX 發(fā)布關(guān)于近期個(gè)別客戶賬戶出現(xiàn)安全事件的情況說(shuō)明: 已經(jīng)核實(shí)有人偽造司法調(diào)證文書，獲取了極個(gè)別客戶的信息。此事已經(jīng)在司法機(jī)關(guān)立案調(diào)查中，具體細(xì)節(jié)我們無(wú)法透露更多。我們已經(jīng)優(yōu)化了司法協(xié)作的流程，引入核實(shí)機(jī)制，加強(qiáng)了 AI 刷臉的安全級(jí)別，后續(xù)會(huì)對(duì)地址薄里認(rèn)證地址引入過(guò)期機(jī)制，杜絕此類事件再次發(fā)生。

Star Xu 表示，OKX已經(jīng)對(duì)重置安全項(xiàng) 升級(jí)了新一代的AI刷臉檢測(cè)，同時(shí)對(duì)于余額大于某個(gè)限額的賬戶所有重置安全項(xiàng)的請(qǐng)求引入雙重人工復(fù)核，可以確保這類AI 換臉攻擊不會(huì)再發(fā)生。對(duì)于偽造調(diào)證手續(xù)獲取用戶信息的幾位客戶，我們已經(jīng)實(shí)施了對(duì)客戶賬戶的監(jiān)控，確保資產(chǎn)安全。

事情還沒(méi)有結(jié)束。新加坡做市商 QuantMatter 自稱其 OKX 機(jī)構(gòu)賬戶 1160 萬(wàn)美元在 5 月 30 日突然被盜，黑客新增了多個(gè)白名單地址，資金被換成 BTC ETH USDC USDT 轉(zhuǎn)走至鏈上地址，目前資金沒(méi)有移動(dòng)。與此前多起案件不同，該做市商對(duì)吳說(shuō)表示設(shè)置了離線谷歌驗(yàn)證器，提幣需要郵箱與 GA 雙認(rèn)證，由創(chuàng)始人與合伙人兩人保管。這也意味著大概率黑客盜幣使用了離線 GA 驗(yàn)證以及做市商的 GA 被盜。盡管經(jīng)過(guò)了十多天，被盜原因目前做市商自身、安全機(jī)構(gòu)、OKX 等均無(wú)法確定，還需要進(jìn)一步調(diào)查。該做市商已經(jīng)在新加坡報(bào)警，并且聯(lián)系了超過(guò) 5 家安全機(jī)構(gòu)進(jìn)行檢查。

Star Xu 對(duì)此回應(yīng)：該賬戶與其他案例沒(méi)有共同點(diǎn)，時(shí)間也完全不一樣，目前還在深入調(diào)查中?？梢源_定的是，有完整的日志表明提幣由網(wǎng)頁(yè)端發(fā)起，提幣請(qǐng)求輸入了完整的GA和email驗(yàn)證碼。

6 月 7 日 OKX 曾因?yàn)槟_本錯(cuò)誤導(dǎo)致比特幣網(wǎng)絡(luò)擁堵。Bitcoin 網(wǎng)絡(luò)費(fèi)用飆升至 520 sat/vb（~$52），處于擁堵?tīng)顟B(tài)，疑似是 OKX（bc1quh...0r8l2d）正在整理和歸集用戶錢包。Bitcoin 網(wǎng)絡(luò)上現(xiàn)有超過(guò) 33 萬(wàn)筆未確認(rèn)交易，內(nèi)存使用量達(dá) 1.35 GB。異常的歸集手續(xù)費(fèi)引發(fā)社區(qū)的質(zhì)疑，對(duì)此 OKX 表示是團(tuán)隊(duì)在測(cè)試一個(gè)歸集程序，目前已停止。

6 月 11 日數(shù)據(jù)顯示，OKX 出現(xiàn)明顯的資金流出，Defillama 顯示，OKX 過(guò)去 24 小時(shí)凈流出 2.04 億美元，過(guò)去 7 天凈流出 6.3 億美元，超過(guò)其他交易所流出總額，總儲(chǔ)備資產(chǎn)為 216.4 億美元。而幣安過(guò)去 7 天凈流入 13.64 億美元。

另一個(gè)交易所幣安近期也有一起事故。

2024 年 6 月 3 日，推特用戶發(fā)文講述其因下載惡意的 Chrome 擴(kuò)展 Aggr 導(dǎo)致 100 萬(wàn)美金被盜的經(jīng)過(guò)，引起廣大加密社區(qū)用戶對(duì)擴(kuò)展風(fēng)險(xiǎn)的關(guān)注和自己加密資產(chǎn)安全性的擔(dān)憂。此事主要是用戶自身責(zé)任。何一回應(yīng)：幣安目前對(duì)突發(fā)價(jià)格波動(dòng)已經(jīng)疊加大數(shù)據(jù)報(bào)警和人工雙重確認(rèn)，也會(huì)給用戶增加提醒；在插件運(yùn)行、cookie的授權(quán)上即將增加驗(yàn)證頻率，幣安會(huì)根據(jù)用戶的差異增加安全驗(yàn)證環(huán)節(jié)。此外幣安也對(duì)受損用戶進(jìn)行了一定的補(bǔ)償。

關(guān)于此前發(fā)生的對(duì)敲事件，幣安聯(lián)合創(chuàng)始人何一表示，產(chǎn)品上更多考慮了用戶易用性，做得不是足夠嚴(yán)格，這次的經(jīng)驗(yàn)和教訓(xùn)后，會(huì)提高目前的風(fēng)控標(biāo)準(zhǔn)與等級(jí)；當(dāng)時(shí)抓到了價(jià)格波動(dòng)，但風(fēng)控覺(jué)得問(wèn)題不大就放過(guò)了；但她不認(rèn)為“友商”存在堅(jiān)守自盜。

幣安與歐易交易所安全設(shè)置

下面是兩大頭部交易所的一些設(shè)置方法，簡(jiǎn)單分享一下

下面是兩大頭部交易所的一些設(shè)置方法，簡(jiǎn)單分享一下，首先下載Google身份驗(yàn)證器(Google Authenticator)，這個(gè)必須要設(shè)置更安全，iphone用戶可以直接搜索Google Authenticator，注意看圖標(biāo)與開(kāi)發(fā)公司是google的。

某交易所用戶資金被盜了，據(jù)說(shuō)被盜資金是通過(guò) API 接口授權(quán)之后被盜的，而且未開(kāi)啟谷歌或短信驗(yàn)證碼的第三方認(rèn)證。

在加密貨幣這個(gè)叢林世界里，安全問(wèn)題的重要性再怎么強(qiáng)調(diào)都不為過(guò)，我們要為自己的資產(chǎn)安全負(fù)責(zé)，在設(shè)置賬戶安全時(shí)，千萬(wàn)不要怕麻煩，一些簡(jiǎn)單的設(shè)置，往往就可以大大降低被盜的概率，提兩點(diǎn)安全小建議。

1）一定要開(kāi)啟谷歌驗(yàn)證、短信驗(yàn)證，無(wú)論是谷歌驗(yàn)證碼還是短信碼，這些都是動(dòng)態(tài)變化的，驗(yàn)證碼的有效時(shí)間較短，這可以大大增強(qiáng)賬戶的安全性。
2）對(duì)于絕大多數(shù)普通用戶來(lái)說(shuō)，都是不需要調(diào)用 API 接口功能的，既然不用，那就干脆關(guān)閉掉 API 功能，以免被黑客利用。

所以，不要怕麻煩，把自己的交易所賬戶趕緊都檢查一遍，把一些安全漏洞給堵上。

用什么手機(jī)的比較好而且安全呢

最近幣圈比較火熱，很多剛?cè)霂湃Φ呐笥讯贾澜陙?lái)很多人的虛擬幣容易被偷盜，不只是手機(jī)一些官方的app都會(huì)存在風(fēng)險(xiǎn)，更別提那些非官方的app了，有些人使用安卓手機(jī)還喜歡安裝看盤、行情類app,最好這類app單獨(dú)買個(gè)手機(jī)，不安全交易所、不安裝驗(yàn)證，就是純粹看數(shù)據(jù)，推薦這類工具使用蘋果手機(jī)。大家都用是什么手機(jī)的比較好而且安全呢，這里小編就為大家分享一下，? 你們覺(jué)得什么手機(jī)在幣圈要方便點(diǎn)，安全些?