OKX账户安全测试及建议

本文作者：Dilation Effect 膨胀效应@dilationeffect。发文时间：下午6:43 · 2024年6月10日

看到近期发生的几起 OKX 用户安全事件，作为普通用户，我们对攻击发生的原因充满好奇，于是尝试花了半个小时对 OKX 的用户安全设置做了一遍快速分析，结果让人非常意外。

注：本次分析的实施时间为新加坡时间2024年6月10日下午5点。

1、尽管用户绑定了 GA，但校验时允许切换到低安全等级的校验方式，导致 GA 校验被绕过

用户绑定GA（Google Authenticator），就是考虑到GA的安全等级更高更安全。但 OKX 在对用户敏感操作做校验时，比如添加白名单地址、提币、各类验证项设置变更等，可以直接切换为低安全等级的校验方式，比如短信。

OKX交易所地址白名单测试

2、用户敏感操作发生时，比如：关闭手机校验、关闭GA校验，修改登录密码，均不会触发24小时禁止提币的风控措施。其中修改登录密码的风控措施采取了折衷的方式，在新设备上登录才会触发。

OKX交易所更改密码测试

3、白名单地址提币，没有根据提币额度来做动态的验证，一旦这个地址加入白名单，就可以在提币额度内直接无校验的疯狂提币。不像其它交易所会设置一个限额，超过限额会要求再次做校验。

OKX交易所白名单提币数量限制测试

这是目前快速分析发现的问题，可以看出 OKX 的安全设置是缺少基线设计的。也许是为了提升用户体验，OKX 在安全性上做了大量妥协。这种设计是好是坏，用户会做出自己的评判和选择。

Dilation Effect 想再次提醒用户，账户设置务必绑定GA，否则到头来就是给黑客打工，因为邮箱和短信容易被攻击。