OKX账户安全测试及建议

本文作者:Dilation Effect 膨胀效应@dilationeffect。发文时间:下午6:43 · 2024年6月10日


看到近期发生的几起 OKX 用户安全事件,作为普通用户,我们对攻击发生的原因充满好奇,于是尝试花了半个小时对 OKX 的用户安全设置做了一遍快速分析,结果让人非常意外。

注:本次分析的实施时间为新加坡时间2024年6月10日下午5点。

1、尽管用户绑定了 GA,但校验时允许切换到低安全等级的校验方式,导致 GA 校验被绕过

用户绑定GA(Google Authenticator),就是考虑到GA的安全等级更高更安全。但 OKX 在对用户敏感操作做校验时,比如添加白名单地址、提币、各类验证项设置变更等,可以直接切换为低安全等级的校验方式,比如短信。

OKX账户安全测试及建议

OKX交易所地址白名单测试

2、用户敏感操作发生时,比如:关闭手机校验、关闭GA校验,修改登录密码,均不会触发24小时禁止提币的风控措施。其中修改登录密码的风控措施采取了折衷的方式,在新设备上登录才会触发。

OKX账户安全测试及建议

OKX交易所更改密码测试

3、白名单地址提币,没有根据提币额度来做动态的验证,一旦这个地址加入白名单,就可以在提币额度内直接无校验的疯狂提币。不像其它交易所会设置一个限额,超过限额会要求再次做校验。

OKX账户安全测试及建议

OKX交易所白名单提币数量限制测试

这是目前快速分析发现的问题,可以看出 OKX 的安全设置是缺少基线设计的。也许是为了提升用户体验,OKX 在安全性上做了大量妥协。这种设计是好是坏,用户会做出自己的评判和选择。

Dilation Effect 想再次提醒用户,账户设置务必绑定GA,否则到头来就是给黑客打工,因为邮箱和短信容易被攻击。

© 版权声明

相关文章

暂无评论

暂无评论...