在近期發生的幾起 OKX 用戶安全事件引起了廣泛關注後，網路社群對這些事件的原因進行了一次深入分析，並收到了 OKX 創辦人徐明星的詳細回應。本文將全面報導這次事件，從安全漏洞到官方回應，幫助用戶更好地瞭解和保護自己的資產。

內容目錄

分析：OKX 資安設置存在的漏洞

Web3 安全社群 @dilationeffect 表示，對 OKX 的用戶安全設置進行快速分析後，發現了一些令人驚訝的安全漏洞。(分析於時間 2024 年 6 月 10 日下午 5 點進行)

 1. Google Authenticator 驗證可被繞過

儘管用戶綁定了 Google Authenticator (GA)，但在驗證時可以切換到低安全等級的驗證方式，例如簡訊驗證 (SMS)，這使得 GA 驗證被輕易繞過。也就是即使用戶啟用了 GA，進行敏感操作時仍可選擇安全性較低的簡訊驗證。

廣告 - 內文未完請往下捲動

2. 敏感操作缺乏風控措施

在進行一些敏感操作時，例如關閉手機驗證、關閉 GA 驗證或修改登錄密碼，均不會觸發 24 小時禁止提幣的風控措施。這些操作在新設備上登錄才會觸發風控，存在較大風險。

3. 白名單地址提幣的安全隱患

白名單地址的提幣操作未根據提幣額度進行動態驗證。一旦地址加入白名單，即可在提幣額度內，無需再驗證地進行提幣，這與其他交易所設置限額並要求再次驗證的做法有所不同。

這些發現顯示，OKX 的安全設置缺乏基準線設計 (baseline design)。雖然這可能是為了提升用戶體驗，但在安全性上做了大量妥協。用戶需謹慎設置帳戶，務必綁定 GA 以提升安全性。

創辦人徐明星的回應

針對這些安全問題，OKX 創辦人徐明星作出了詳細回應：

1. 對 GA 切換到 SMS 的說明

徐明星表示，沒有任何一起用戶資產損失案例是通過 GA 切換到 SMS 完成的，感謝大家的關注。

2. 免認證地址的設計

免認證地址是為了 API 用戶自動化提幣需求設計的，設置限額並不符合實際需求。此外，新增免驗證地址的安全驗證與提幣操作的安全等級是一致的，未來會考慮引入免認證地址自動過期的機制。

3. GA 與 SMS 的安全性比較

GA 和 SMS 各有優劣，雖然 GA 的安全級別略高於 SMS，但並非絕對安全。駭客可以透過在用戶設備上植入木馬或盜取 Google 帳戶來獲取 GA；而 SMS 也可能通過木馬、SIM 卡複製、偽基地臺或 SMS 服務商的漏洞被盜取。

 4. OKX 對安全的信心

OKX 對產品的安全有充分的信心，對於因 OKX 自身原因導致的資損，將一如既往地全額賠償。

用戶安全提示

再次提醒交易所用戶，在設置帳戶安全時務必綁定 GA，以免成為駭客攻擊的目標。郵箱和簡訊驗證相對容易被攻擊，只有加強安全措施，才能更好地保護自己的資產。

(駭客 15 分鐘捲走 500 萬人民幣：OKX 交易所安全漏洞引發用戶恐慌)