OKX用户误点钓鱼链接被盗价值40万U资产事件
2024年6月9日,推特用户 @GraySilvery 爆料称,刷推特时看到 maneki 项目方更新,留言页面有人冒充项目方写了一个常见的“2)”,用户以为是项目方后续内容,没有仔细核实。进入OKX钱包并点击授权,导致钱包中的资产被盗取 40,914,936 个 maneki 代币[1]。
用户意识到自己被骗后,立即尝试转移资产,但发现无法转出。ScamSniffer 和 OKX 的内置安全功能未能及时拦截此攻击[2]。用户第一时间联系了 OKX 客服,OKX 客服迅速将问题反馈给技术团队。技术团队发现用户的账户权限被篡改,导致无法控制账户。在朋友们的帮助下,慢雾、GoPLus 等团队也加入了协助行列,帮助用户追回损失。
由于涉及到资产追回,用户第一时间选择报警。在警方的协助下,用户顺利拿到了回执并立案[3]。
被盗用户的部分资产已被转入Kucoin,23yf4tuTD8gBkUdeB5e5p2ZuUCvioMfJLGpBtuXSEjBQ 转入212sol,TvbmkjGJXCbmjko2phQMYtgdnR71nhfZUHVcnxQBonp 转入234sol,9CSMAiLgBbYN9kSXhoPuynoKMCaRpri4grNiGc2qTCU 转入235sol[4]。
各方反应
被盗用户
SilveryGray@GraySilvery
- 我现在十分不理解的是,我确实通过web3钱包进入了网站,但是当时真的没有任何提醒和拦截,只是现在加上了提示,我仔细回忆了下,我就是点击链接了下钱包,没有授权,就是这样,我现在授权页面显示还是空的,所以到底问题出在哪,我甚至现在还能看到我的账户资产[5]。
- 越沟通越生气,我想问下,咱们ok的技术团队,就是这样敷衍了事吗,我上午第一时间联系ok,告诉我已经没戏了,没法帮我挽回资产,但是下午热心网友看到,就给我把钱包剩下的渣渣转出来了,这样的钱包安全和钱包出问题后的处理方式,我如何能接受,这还怎么把资产放在里面[6]。
- 被盗第二天,请问有什么跟进解决方案或者协助方案吗,如果确定跟ok无任何关系和责任,烦请明确告知,我也好通知各位积极等待结论的粉丝,由于我只要艾特您们,就被秒删,所以我没法艾特贵所,只能在这里希望朋友们帮我艾特一下ok,因为黑客还在不停的转移资产,事关重大,请海涵[7]。
- 第三天,目前没什么进展,感谢慢雾,感谢goplus还在鼎力相助。有时候,你不得不接受一个你很难接受的结果,准备第五次从零起步了[8]。
OKX官方
OKX 客服迅速将问题反馈给技术团队。技术团队发现用户的账户权限被篡改,称已经没戏了,没法帮我挽回资产[6]。
币圈KOL
Nolan@ma1fan
这里可以看出OKX的钱包信任边界并没有做好。按道理不能给用户可以访问任意网址的这种功能,一旦用户直接可以访问任意网站的功能,就是打破了信任边界,形成了潜在的安全风险。用户访问恶意网站,却没有对后续的风险做管控,我觉得这个问题不能全把责任推特用户,用户既然用了你的app,你就有责任为用户的资产安全负责,要不然就干脆别设计这个功能,需要注意的是这里不光是对于钓鱼链接会存在被盗币的可能性,如果用户访问一个浏览器漏洞利用的网站,直接可以盗取用户的私钥或者转走代币,根本不需要点击任何的按钮[9]。
参考链接
- ↑ https://x.com/GraySilvery/status/1799756268485415205
- ↑ 某社区用户因钓鱼链接损失价值数百万人民币的 maneki 代币 - 安全 - 吴说 (wublock123.com)
- ↑ https://x.com/GraySilvery/status/1799756328635957384
- ↑ https://x.com/GraySilvery/status/1799792597965345266
- ↑ https://x.com/GraySilvery/status/1799803202470302055
- ↑ 6.0 6.1 https://x.com/GraySilvery/status/1799834204794187846
- ↑ https://x.com/GraySilvery/status/1800016904377295010
- ↑ https://x.com/GraySilvery/status/1800336498908352817
- ↑ https://x.com/ma1fan/status/1800072971534622815/history