选择
法币
虚拟币
"" 没有结果
找不到符合您搜索条件的任何内容。请使用其他关键词再试一次。
用户报告称OKX加密交易平台二次验证存严重漏洞,用户资产遭受黑客攻击
近日,我们接收到了一位用户的投诉,称其在OKX加密交易平台上的账户资产被黑客盗走。经过我们的调查和核实,我们发现OKX交易平台存在两个较大的安全漏洞:
- OKX加密交易平台存在严重的安全漏洞,其二次验证机制可以被黑客绕过,导致用户账户被非法登录和操作。
- OKX加密交易平台的P2P交易流程存在设计缺陷,其验证方式可以被黑客选择和利用,导致用户资产被非法出售和转移。
具体的事件经过如下:
- 该用户在访问某加密资讯网站时,被诱导下载了一个浏览器木马插件。该插件窃取了用户的谷歌浏览器自动填充的账号密码信息,包括OKX的账户密码和绑定的邮箱密码。
- 黑客利用窃取的信息,伪造了用户的设备信息和浏览器信息,成功登录了用户的OKX账户。该用户并没有收到任何短信提醒,而是在邮箱中发现了一封来自OKX的登录通知邮件。该邮件显示登录设备为美国IP地址和Firefox浏览器,与用户实际使用的设备和浏览器不符。
- 黑客尝试提取用户账户中的全部USDT,但由于用户设置了提币二次验证,需要同时输入短信验证码和邮件验证码,黑客未能完成提币操作。
- 黑客改用P2P交易的方式,出售用户账户中的USDT。由于P2P交易只需要选择短信或邮件验证其中一种,黑客可以利用窃取的邮箱密码进行验证。黑客还通过贿赂商家,以低价出售USDT。
- 该用户在发现异常邮件后,立即转移了剩余资产,并申请冻结了OKX账户。
黑客通过P2P出售被盗资金(2笔成功,6笔失败)
该用户就被盗情况向OKX提出了如下疑问:
- 为什么用户账户开启了二次验证,绑定了手机短信验证,无论是登录还是提币都需要输入短信验证码,但是黑客却能够不经过短信验证就登录账户?
- 为什么提币必须需要输入短信验证码和邮件验证码才能完成,但是黑客提币全部USDT不成功,却能够以P2P交易的方式出售用户的USDT资产,绕过了提币短信验证?
该用户多次与OKX客服沟通反馈,但OKX客服却给出了以下不负责,不专业的回复:
- OKX不存在安全漏洞,一切正常运行。
- 黑客登录的设备是受信任设备,不需要短信验证。但实际上该设备上一次登录是一年多前,并且使用了不同的浏览器。
- OKX的登录可以切换验证方式,譬如网页上可以切换到邮件接收短信登录验证码,但实际上用户操作后无法切换,客服又称App登录才能切换。但实际上App登录需要人脸识别验证,黑客无法通过这种方式完成。
- OKX的P2P交易用户可自行选择短信或邮件验证,因此黑客可以通过P2P出售USDT。但实际上这是一个严重的产品安全漏洞,却没有得到OKX的重视和改进。
黑客通过FireFox登录OKX
针对此次事件,我们作为一个第三方平台,对OKX加密交易平台的安全漏洞和客服态度表示关切。根据客户反馈的情况,我们认为OKX加密交易平台确实存在严重损害了用户的合法权益,侵犯了用户的隐私和财产安全,违反了加密行业的基本原则和道德的事实。我们呼吁OKX加密交易平台重视此安全事件,并对其平台进行全面检查和优化,消除所有的安全隐患和漏洞。同时,我们也提醒广大用户注意保护自己的个人信息和账户安全,不要轻信任何来路不明的链接或插件,不要泄露自己的密码或验证码给任何人。
加入CoinCarp社群:
X (Twitter) | Telegram | Reddit
立即下载 CoinCarp 应用程序: https://www.coincarp.com/app/
Up to $6,045 Bonuses
SponsoredJoin Bybit and receive up to $6,045 in Bonuses! Register Now!
Trending Coins and Tokens
Rainbet Casino
Up To 70% rewards + 15% rakeboost on sign up
Sign up Now Sponsored