當(dāng)前位置：主頁 > 區(qū)塊鏈 > 交易平臺 > 交易所安全警報

交易所安全設(shè)置：交易所賬戶被盜事件及其對行業(yè)的影響

2025-04-18 16:55:24 | 來源： | 作者：佚名

6 月 3 日某知名社區(qū)成員來日方長發(fā)長文稱，詐騙分子在電報購買了他的所有個人資料，隨后通過登陸郵箱號點開忘記密碼，通過 AI 合成的視頻申請更換了手機(jī) 號、郵箱號甚至還有谷歌驗證器，24 小時后其 OKX 賬戶丟失超 200 萬美元的資產(chǎn)

6 月 3 日某知名社區(qū)成員來日方長發(fā)長文稱，詐騙分子在電報購買了他的所有個人資料，隨后通過登陸郵箱號點開忘記密碼，通過 AI 合成的視頻申請更換了手機(jī)號、郵箱號甚至還有谷歌驗證器，24 小時后其 OKX 賬戶丟失超 200 萬美元的資產(chǎn)。

隨后又有兩名用戶披露其 OKX 賬戶被盜，疑似由于短信與郵箱被劫持。

研究機(jī)構(gòu) Dilation Effect 隨后對 OKX 目前的安全設(shè)置進(jìn)行了分析并提出疑慮：

盡管用戶綁定了 GA，但校驗時允許切換到低安全等級的校驗方式，導(dǎo)致 GA 校驗被繞過，用戶綁定 GA（Google Authenticator），就是考慮到 GA 的安全等級更高更安全。但 OKX 在對用戶敏感操作做校驗時，比如添加白名單地址、提幣、各類驗證項設(shè)置變更等，可以直接切換為低安全等級的校驗方式，比如短信。

用戶敏感操作發(fā)生時，比如：關(guān)閉手機(jī)校驗、關(guān)閉 GA 校驗，修改登錄密碼，均不會觸發(fā) 24 小時禁止提幣的風(fēng)控措施。其中修改登錄密碼的風(fēng)控措施采取了折衷的方式，在新設(shè)備上登錄才會觸發(fā)。

白名單地址提幣，沒有根據(jù)提幣額度來做動態(tài)的驗證，一旦這個地址加入白名單，就可以在提幣額度內(nèi)直接無校驗的瘋狂提幣。不像其它交易所會設(shè)置一個限額，超過限額會要求再次做校驗。總之 OKX 的安全設(shè)置是缺少基線設(shè)計的。也許是為了提升用戶體驗，OKX 在安全性上做了大量妥協(xié)。

OKX CEO Star 回應(yīng)：目前沒有任何一起用戶資損案例是通過 GA (谷歌驗證器) 切換到 SMS (短信) 完成的。免認(rèn)證地址是為 API 用戶自動化提幣需求設(shè)計，設(shè)置限額不符合實際需求?？梢钥紤]引入沉默的免認(rèn)證地址自動過期的機(jī)制。GA 安全級別確實略高于 SMS，但不是絕對安全。盜取用戶 SMS 的方法有設(shè)備木馬植入、SIM 卡復(fù)制、偽基站、通過 SMS 服務(wù)商盜取等手段。黑客盜取用戶 GA 可以在用戶設(shè)備上植入木馬或盜取 google 賬戶（開啟云同步）。對于 OKX 自身原因?qū)е碌馁Y損將全額賠償。

Dilation Effect 則回應(yīng) Star Xu: SMS 還有 SIM SWAP、運營商接口出問題、合法監(jiān)聽問題等等，安全性早已經(jīng)更不上時代，GA 的安全性并不是略高于 SMS，而是高出很多，GA 應(yīng)該作為安全校驗的基線設(shè)置，對于散戶來講，GA 是目前相對最安全最低成本最易用的校驗措施，呼吁普通用戶能夠設(shè)置好 GA，習(xí)慣用 GA，用好 GA（關(guān)閉云端備份功能）。

中途還出現(xiàn)了社區(qū)流傳的 “OKX 很多賬號的 USDT-TRC20 提幣白名單出現(xiàn)不明地址”，OKX 官方人員檢查多個地址發(fā)現(xiàn)系賬戶擁有者幾年前添加，OKX 官方賬號表示 “App 上地址簿功能，新添加的免認(rèn)證地址排在最上面，排在下面的地址，不可能是新添加的”。對此，OKX 創(chuàng)始人 Star Xu 罕見發(fā)布中文推特表示，“我也經(jīng)常不記得自己之前很久之前添加的地址。各位如果還有疑問，請隨時聯(lián)系客服核實。OKX 地址簿功能確實需要改進(jìn)，比如展示添加時間等。另外由于 OKX 自身問題導(dǎo)致的客戶資損，OKX 將一如既往的承擔(dān)全部責(zé)任。”

6 月 12 日此前兩位在社交媒體上反映 OKX 賬戶被盜的用戶已被承諾獲得了全額賠償，他們在推特上也已經(jīng)刪除了相關(guān)信息。

6 月 12 日 OKX 最新 IOS 6.71.1 版本提幣已取消手機(jī)驗證碼，改為郵箱與驗證器雙重驗證。不過據(jù)社區(qū)發(fā)現(xiàn)，在OKX 最新 IOS 6.71.1 版本下，點擊修改身份驗證器（Google Authenticator）后無需驗證直接顯示新的 GA 密鑰，在進(jìn)一步的重置中，需要手機(jī)驗證碼+新身份驗證應(yīng)用碼。相反，在 Binance，如果要修改身份驗證器驗證，則需要通過一層密鑰驗證（面容驗證）才會顯示新的 GA 密鑰，在進(jìn)一步的重置中，需要新身份驗證應(yīng)用碼。在重置身份驗證器后，OKX 和 Binance 均在 24 小時內(nèi)無法提幣。

然而隨后社區(qū)又爆出可能存在內(nèi)外勾結(jié)的傳聞，尤其是一些用戶信息被披露。

OKX 海騰表示，客戶信息泄露是“有人偽造司法調(diào)證文書，獲取了極個別客戶的信息”。目前沒有發(fā)現(xiàn)“內(nèi)鬼”情況。。

OKX 發(fā)布關(guān)于近期個別客戶賬戶出現(xiàn)安全事件的情況說明: 已經(jīng)核實有人偽造司法調(diào)證文書，獲取了極個別客戶的信息。此事已經(jīng)在司法機(jī)關(guān)立案調(diào)查中，具體細(xì)節(jié)我們無法透露更多。我們已經(jīng)優(yōu)化了司法協(xié)作的流程，引入核實機(jī)制，加強了 AI 刷臉的安全級別，后續(xù)會對地址薄里認(rèn)證地址引入過期機(jī)制，杜絕此類事件再次發(fā)生。

Star Xu 表示，OKX已經(jīng)對重置安全項升級了新一代的AI刷臉檢測，同時對于余額大于某個限額的賬戶所有重置安全項的請求引入雙重人工復(fù)核，可以確保這類AI 換臉攻擊不會再發(fā)生。對于偽造調(diào)證手續(xù)獲取用戶信息的幾位客戶，我們已經(jīng)實施了對客戶賬戶的監(jiān)控，確保資產(chǎn)安全。

事情還沒有結(jié)束。新加坡做市商 QuantMatter 自稱其 OKX 機(jī)構(gòu)賬戶 1160 萬美元在 5 月 30 日突然被盜，黑客新增了多個白名單地址，資金被換成 BTC ETH USDC USDT 轉(zhuǎn)走至鏈上地址，目前資金沒有移動。與此前多起案件不同，該做市商對吳說表示設(shè)置了離線谷歌驗證器，提幣需要郵箱與 GA 雙認(rèn)證，由創(chuàng)始人與合伙人兩人保管。這也意味著大概率黑客盜幣使用了離線 GA 驗證以及做市商的 GA 被盜。盡管經(jīng)過了十多天，被盜原因目前做市商自身、安全機(jī)構(gòu)、OKX 等均無法確定，還需要進(jìn)一步調(diào)查。該做市商已經(jīng)在新加坡報警，并且聯(lián)系了超過 5 家安全機(jī)構(gòu)進(jìn)行檢查。

Star Xu 對此回應(yīng)：該賬戶與其他案例沒有共同點，時間也完全不一樣，目前還在深入調(diào)查中?？梢源_定的是，有完整的日志表明提幣由網(wǎng)頁端發(fā)起，提幣請求輸入了完整的GA和email驗證碼。

6 月 7 日 OKX 曾因為腳本錯誤導(dǎo)致比特幣網(wǎng)絡(luò)擁堵。Bitcoin 網(wǎng)絡(luò)費用飆升至 520 sat/vb（~$52），處于擁堵狀態(tài)，疑似是 OKX（bc1quh...0r8l2d）正在整理和歸集用戶錢包。Bitcoin 網(wǎng)絡(luò)上現(xiàn)有超過 33 萬筆未確認(rèn)交易，內(nèi)存使用量達(dá) 1.35 GB。異常的歸集手續(xù)費引發(fā)社區(qū)的質(zhì)疑，對此 OKX 表示是團(tuán)隊在測試一個歸集程序，目前已停止。

6 月 11 日數(shù)據(jù)顯示，OKX 出現(xiàn)明顯的資金流出，Defillama 顯示，OKX 過去 24 小時凈流出 2.04 億美元，過去 7 天凈流出 6.3 億美元，超過其他交易所流出總額，總儲備資產(chǎn)為 216.4 億美元。而幣安過去 7 天凈流入 13.64 億美元。

另一個交易所幣安近期也有一起事故。

2024 年 6 月 3 日，推特用戶發(fā)文講述其因下載惡意的 Chrome 擴(kuò)展 Aggr 導(dǎo)致 100 萬美金被盜的經(jīng)過，引起廣大加密社區(qū)用戶對擴(kuò)展風(fēng)險的關(guān)注和自己加密資產(chǎn)安全性的擔(dān)憂。此事主要是用戶自身責(zé)任。何一回應(yīng)：幣安目前對突發(fā)價格波動已經(jīng)疊加大數(shù)據(jù)報警和人工雙重確認(rèn)，也會給用戶增加提醒；在插件運行、cookie的授權(quán)上即將增加驗證頻率，幣安會根據(jù)用戶的差異增加安全驗證環(huán)節(jié)。此外幣安也對受損用戶進(jìn)行了一定的補償。

關(guān)于此前發(fā)生的對敲事件，幣安聯(lián)合創(chuàng)始人何一表示，產(chǎn)品上更多考慮了用戶易用性，做得不是足夠嚴(yán)格，這次的經(jīng)驗和教訓(xùn)后，會提高目前的風(fēng)控標(biāo)準(zhǔn)與等級；當(dāng)時抓到了價格波動，但風(fēng)控覺得問題不大就放過了；但她不認(rèn)為“友商”存在堅守自盜。

幣安與歐易交易所安全設(shè)置

下面是兩大頭部交易所的一些設(shè)置方法，簡單分享一下

下面是兩大頭部交易所的一些設(shè)置方法，簡單分享一下，首先下載Google身份驗證器(Google Authenticator)，這個必須要設(shè)置更安全，iphone用戶可以直接搜索Google Authenticator，注意看圖標(biāo)與開發(fā)公司是google的。

某交易所用戶資金被盜了，據(jù)說被盜資金是通過 API 接口授權(quán)之后被盜的，而且未開啟谷歌或短信驗證碼的第三方認(rèn)證。

在加密貨幣這個叢林世界里，安全問題的重要性再怎么強調(diào)都不為過，我們要為自己的資產(chǎn)安全負(fù)責(zé)，在設(shè)置賬戶安全時，千萬不要怕麻煩，一些簡單的設(shè)置，往往就可以大大降低被盜的概率，提兩點安全小建議。

1）一定要開啟谷歌驗證、短信驗證，無論是谷歌驗證碼還是短信碼，這些都是動態(tài)變化的，驗證碼的有效時間較短，這可以大大增強賬戶的安全性。
2）對于絕大多數(shù)普通用戶來說，都是不需要調(diào)用 API 接口功能的，既然不用，那就干脆關(guān)閉掉 API 功能，以免被黑客利用。

所以，不要怕麻煩，把自己的交易所賬戶趕緊都檢查一遍，把一些安全漏洞給堵上。

用什么手機(jī)的比較好而且安全呢

最近幣圈比較火熱，很多剛?cè)霂湃Φ呐笥讯贾澜陙砗芏嗳说奶摂M幣容易被偷盜，不只是手機(jī)一些官方的app都會存在風(fēng)險，更別提那些非官方的app了，有些人使用安卓手機(jī)還喜歡安裝看盤、行情類app,最好這類app單獨買個手機(jī)，不安全交易所、不安裝驗證，就是純粹看數(shù)據(jù)，推薦這類工具使用蘋果手機(jī)。大家都用是什么手機(jī)的比較好而且安全呢，這里小編就為大家分享一下，? 你們覺得什么手機(jī)在幣圈要方便點，安全些?

把常用操作機(jī)與驗證機(jī)分開來

什么是操作機(jī)

就是一部蘋果手機(jī)從官方下載應(yīng)用，安裝一些錢包與交易所app。一些操作買賣等都在這臺機(jī)器上操作。

什么是驗證機(jī)

另外一臺手機(jī)(蘋果或安卓)用來獲取短信、郵箱驗證碼、google身份驗證碼。

切記千萬不要一臺安卓機(jī)同時用來操作與驗證，特別容易出問題。

歐易安全設(shè)置

點擊左上角的九個點

點擊進(jìn)入下一頁

點擊右側(cè)的箭頭 > 進(jìn)入 > 用戶中心

這里看到安全設(shè)置

一般身份驗證應(yīng)用、雙重驗證、放釣魚碼、App鎖定都需要設(shè)置一下，依次進(jìn)入設(shè)置一下就可以了

幣安安全設(shè)置

幣安的設(shè)置與歐易都差不多

進(jìn)入賬戶安全

點擊賬戶安全進(jìn)入

這三個都設(shè)置一下，當(dāng)然那個支付PIN碼也可以設(shè)置一下。

聲明：文章內(nèi)容不代表本站觀點及立場，不構(gòu)成本平臺任何投資建議。本文內(nèi)容僅供參考，風(fēng)險自擔(dān)！

Tag：交易所安全警報

你可能感興趣的文章

幣圈快訊

InvescoGalaxySolanaETF已在特拉華州注冊
2025-06-13 21:55
ChainCatcher消息，據(jù)市場消息，InvescoGalaxySolanaETF已在特拉華州注冊。
TritemiusCapital推出Web3基金“TritemiusFundFCREI”，初始募集資金為2100萬歐元
2025-06-13 21:52
金色財經(jīng)報道，西班牙Web3生態(tài)系統(tǒng)和數(shù)字資產(chǎn)投資公司TritemiusCapital宣布推出Web3基金“TritemiusFundFCREI”，初始募集資金為2100萬歐元，該基金的管理機(jī)構(gòu)為金融咨詢和財富管理公司Abante，目前主要專注于DeFi、區(qū)塊鏈基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、隱私和代幣化等領(lǐng)域的早期階段初創(chuàng)公司，單筆投資規(guī)模預(yù)計為50萬歐元，該公司聲稱其是西班牙唯一一家專門從事Web3的風(fēng)險投資基金。
美國SEC：BrianDaly被任命為投資管理部門主管
2025-06-13 21:45
金色財經(jīng)報道，美國SEC：BrianDaly被任命為投資管理部門主管。
??摩根大通上調(diào)多家比特幣礦企目標(biāo)價?
2025-06-13 21:45
ChainCatcher消息，據(jù)CoinDesk報道，摩根大通在6月13日發(fā)布的研究報告中，上調(diào)了多家比特幣礦企的目標(biāo)股價。其中，CleanSpark（CLSK）目標(biāo)價從12美元上調(diào)至14美元，RiotPlatforms（RIOT）從13美元調(diào)至14美元，MARAHoldings（MARA）從18美元調(diào)至19美元。該行分析師表示，此次調(diào)整基于比特幣價格上漲24%及全網(wǎng)算力增長9%的預(yù)期。報告重申對CleanSpark、IREN和RiotPlatforms的"增持"評級，維持對CipherMining和MARAHoldings的"中性"評級。
美聯(lián)社：美國開始在中東地區(qū)調(diào)整軍事資源部署
2025-06-13 21:41
金色財經(jīng)報道，據(jù)美聯(lián)社報道，美國開始在中東地區(qū)調(diào)整軍事資源部署。美國官員稱，美國將轉(zhuǎn)移中東軍事資源，以應(yīng)對以色列的襲擊和伊朗可能的報復(fù)。

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

交易所安全設(shè)置：交易所賬戶被盜事件及其對行業(yè)的影響