OKX用户误点钓鱼链接被盗价值40万U资产事件

2024年6月9日，推特用户 @GraySilvery 爆料称，刷推特时看到 maneki 项目方更新，留言页面有人冒充项目方写了一个常见的“2）”，用户以为是项目方后续内容，没有仔细核实。进入OKX钱包并点击授权，导致钱包中的资产被盗取 40,914,936 个 maneki 代币^[1]。

用户意识到自己被骗后，立即尝试转移资产，但发现无法转出。ScamSniffer 和 OKX 的内置安全功能未能及时拦截此攻击^[2]。用户第一时间联系了 OKX 客服，OKX 客服迅速将问题反馈给技术团队。技术团队发现用户的账户权限被篡改，导致无法控制账户。在朋友们的帮助下，慢雾、GoPLus 等团队也加入了协助行列，帮助用户追回损失。

由于涉及到资产追回，用户第一时间选择报警。在警方的协助下，用户顺利拿到了回执并立案^[3]。

被盗用户的部分资产已被转入Kucoin，23yf4tuTD8gBkUdeB5e5p2ZuUCvioMfJLGpBtuXSEjBQ 转入212sol，TvbmkjGJXCbmjko2phQMYtgdnR71nhfZUHVcnxQBonp 转入234sol，9CSMAiLgBbYN9kSXhoPuynoKMCaRpri4grNiGc2qTCU 转入235sol^[4]。

事后用户称被OKX的水军嘲笑，谩骂等，表达了对OKX平台的不满^[5]。

各方反应[编辑 | 编辑源代码]

被盗用户[编辑 | 编辑源代码]

SilveryGray@GraySilvery[编辑 | 编辑源代码]

• 我现在十分不理解的是，我确实通过web3钱包进入了网站，但是当时真的没有任何提醒和拦截，只是现在加上了提示，我仔细回忆了下，我就是点击链接了下钱包，没有授权，就是这样，我现在授权页面显示还是空的，所以到底问题出在哪，我甚至现在还能看到我的账户资产^[6]。

• 越沟通越生气，我想问下，咱们ok的技术团队，就是这样敷衍了事吗，我上午第一时间联系ok，告诉我已经没戏了，没法帮我挽回资产，但是下午热心网友看到，就给我把钱包剩下的渣渣转出来了，这样的钱包安全和钱包出问题后的处理方式，我如何能接受，这还怎么把资产放在里面^[7]。

• 被盗第二天，请问有什么跟进解决方案或者协助方案吗，如果确定跟ok无任何关系和责任，烦请明确告知，我也好通知各位积极等待结论的粉丝，由于我只要艾特您们，就被秒删，所以我没法艾特贵所，只能在这里希望朋友们帮我艾特一下ok，因为黑客还在不停的转移资产，事关重大，请海涵^[8]。

• 第三天，目前没什么进展，感谢慢雾，感谢goplus还在鼎力相助。有时候，你不得不接受一个你很难接受的结果，准备第五次从零起步了^[9]。

OKX官方[编辑 | 编辑源代码]

OKX 客服迅速将问题反馈给技术团队。技术团队发现用户的账户权限被篡改，称已经没戏了，没法帮我挽回资产^[7]。

海腾@Haiteng_okx[编辑 | 编辑源代码]

海腾回复用户表示真实情况是，用户使用web3钱包的过程中自己粘贴网址进入钓鱼网站，并授权链接钱包导致资产被盗。平台第一时间联动技术，产品帮助查验信息，并对接其他的安全团队，没有不作为的情况^[10]。

币圈KOL[编辑 | 编辑源代码]

Nolan@ma1fan[编辑 | 编辑源代码]

这里可以看出OKX的钱包信任边界并没有做好。按道理不能给用户可以访问任意网址的这种功能，一旦用户直接可以访问任意网站的功能，就是打破了信任边界，形成了潜在的安全风险。用户访问恶意网站，却没有对后续的风险做管控，我觉得这个问题不能全把责任推特用户，用户既然用了你的app，你就有责任为用户的资产安全负责，要不然就干脆别设计这个功能，需要注意的是这里不光是对于钓鱼链接会存在被盗币的可能性，如果用户访问一个浏览器漏洞利用的网站，直接可以盗取用户的私钥或者转走代币，根本不需要点击任何的按钮^[11]。

九妹@Cryptosis9_OKX[编辑 | 编辑源代码]

这个事情在您找到我们的第一时间就已经对接解决，当您说您点击了钓鱼链接的时候，您是清晰知道这个事情发生的原因的，但我看到信息就赶紧拉了可以协助您的所有负责人，同时协助做资产追踪，跨交易所拉对接人，最终还是很遗憾，没有追回资金。 这种情况大家都知道，大家相信在推特上也非常常见。 看到您已经连续发了3天，我非常理解您的心情，可是，OK已经尽最大努力协助您了，至于您说的水军，我相信，因为玩链上和钱包的资深用户也都理解原理，帮助OK做了辩解，但被误认为是水军，包括钱包负责人也在群内给您做了解释^[12]。

参考链接[编辑 | 编辑源代码]