早前加密货币交易所币安有投资者巨额资产被盗,当时这名使用者部署的扩展程序带毒盗取了登陆的 Cookies,而币安的可靠策略存在难题并没有绑定 IP 地址,假如登陆顺利 Cookies 绑定 IP 地址则黑客盗取 Cookies 也无法持续操纵账户。
可是币安这起投资者资产被盗最首要的则是还是在使用者,由于部署了恶意扩展程序导致黑客经由对敲方式窃取了巨额资金。
而这周加密货币交易所欧易 (OKX) 发生的数起使用者资产被盗就有些扑朔迷离了,使用者没有部署恶意扩展程序、SIM 卡也没有被劫持,深圳网友热议复出消息而欧易方面当下态度也较为强硬让使用者寻求执法机构合作,该交易所仅响应来自司法机关的请求合作调研。
欧易如今并没有对外答复此事另外也没有亮相任何公告开展说明,所以暂时不清楚是欧易渠道存在漏洞还是完全是使用者的责任,但基于可靠考虑提议使用者不要将众多资产放在交易所,假如可以最好还是提现到设备钱包中。
当下已知的信息含有:
1. 使用者没有遭遇 SIM 换卡攻击,即移动电话号还是自己掌控的;
2. 已知的使用者约 60 万 USDT 的资产被提出,约合人民币 435 万元;
3. 在资产被转走前 / 转走时,使用者收到众多来自欧易的短信测试码;
4. 在资产被转走前 / 转走时,使用者收到众多来自欧易的邮件测试码;
5. 黑客的登陆 IP 归归于新加坡,黑客经由未知方式添加了提币授权地址;
6. 另一名已知的使用者约 80 万 USDT 的资产被提出,约合人民币 580 万元,经由移动电话测试码达成提币测试。刚刚热搜话题排行
未知的信息太多:
欧易当下的提币逻辑是针对白名单地址无需任何测试,访问后即可提币,但添加白名单地址时需要测试邮箱 + 2FA 测试码或短信测试码;若是非白名单地址提币那就是后者,需要开展两个参数的测试才可以。
已知的两名被盗使用者是否绑定谷歌测试器等 2FA 测试工具当下还不清楚,而欧易本身可以跳过 2FA 挑选使用短信测试码替代,所以这里是一个可靠弱点。
其次有被盗使用者被开通了包含交易和提现权限的 API 地址,开通 API 后黑客可以直接操控,但想要开通同样需要经过身份测试。
所以当下的难题是,黑客从哪里获得使用者的邮箱测试码和 2FA 测试码或短信测试码的呢?在没有测试码的状况下不管是提币还是开通 API 都是做不到的。
至于使用者本身的信息例如登陆的邮箱或者移动电话号之类的这种研究已然司空见惯,显然黑客是具有目标性的,即提前筛选使用者后再开展针对性的攻击确保能够一次顺利。
或许的缘由:
至少如今还没法说欧易渠道本身存在可靠漏洞被黑客运用,现阶段被盗使用者提供的信息还不足以证明渠道存在漏洞,但这里还有个坑就是测试码的发送方。
此前就曾呈现过有交易所的电子邮件和短信供应商被黑导致研究了使用者信息,从某些价值上说假如黑客入侵了这些供应商或者经由内鬼勾结,的确可以获得测试码,这种操控难度较大但也是一个可以参考的方向。
所以除了欧易自己下场出来答复否则我们或许永远不得知这些难题的真相,期盼欧易不要再开展鸵鸟行为,毕竟如今币圈都在研究着这几次被盗事情的截图。
还有伪造人脸影像骗过欧易拿到账户:
稍早些时候欧易还发生过一起使用者资产被盗难题,当时黑客的操控似乎是运用 AI 伪造了使用者的影像,欧易绑定 2FA 的状况下丢失后必须联系人工客服处理。
黑客运用的就是这个环节,运用伪造的人脸影像骗了欧易重置了 2FA 信息,2FA 都被黑客掌控了账户资产自然不可幸免,这种状况下欧易应该负全责。
限时促销推荐:软购618多款正版使用2折购、阿里云办事器仅36元/年、腾讯云轻量办事器82元/年、B站大会员88元。