Быстрый анализ настроек безопасности пользователей OKX выявил проблемы, которые в случае потенциальной атаки могут обернуться потерей средств. Исследование провела группа энтузиастов Web3-безопасности.
Аналитики провели анализ 10 июня 2024 года, потратив на него полчаса. За это время выяснилось, что система позволяет обойти Google Authenticator и переключаться на проверки с более низким уровнем безопасности (SMS, добавление адреса в белый список и т. д.).
Действия пользователя вроде отключения проверки телефона, Google Authenticator и изменения пароля не приводят к 24-часовой блокировке вывода средств. Запрет срабатывает только при входе в систему на новом устройстве, говорится в отчете.
При выводе активов с адресов из белого списка не используется динамическая проверка на основе суммы. Исследователи приводят в пример другие биржи, которые устанавливают лимит, требующий повторной верификации для больших объемов вывода.
Напомним, в начале июня CISO SlowMist под ником 23pds представил рейтинг причин, по которым индивидуальные и институциональные инвесторы теряют свои цифровые активы.
Тред последовал после подробного разбора инцидента с кражей у трейдера на Binance криптовалюты на $1 млн. Причиной потери стало вредоносное расширение для браузера Chrome, однако пользователь предъявил претензии к бирже.
Соучредительница Binance Йи Хэ не признала ответственности платформы за инцидент. Она отметила, что хакер манипулировал устройством самого трейдера через плагин, и команда биржи не могла повлиять на ситуацию.
Аналитики провели анализ 10 июня 2024 года, потратив на него полчаса. За это время выяснилось, что система позволяет обойти Google Authenticator и переключаться на проверки с более низким уровнем безопасности (SMS, добавление адреса в белый список и т. д.).
Действия пользователя вроде отключения проверки телефона, Google Authenticator и изменения пароля не приводят к 24-часовой блокировке вывода средств. Запрет срабатывает только при входе в систему на новом устройстве, говорится в отчете.
При выводе активов с адресов из белого списка не используется динамическая проверка на основе суммы. Исследователи приводят в пример другие биржи, которые устанавливают лимит, требующий повторной верификации для больших объемов вывода.
Ранее журналист Колин Ву сообщил о клиенте OKX, у которого украли более $2 млн с помощью ИИ.«Эти проблемы обнаружены в результате быстрого анализа. Видно, что в настройках безопасности OKX отсутствует базовый дизайн. Возможно, чтобы улучшить взаимодействие с пользователем [биржа] пошла на множество компромиссов в области безопасности», — предположили авторы отчета.
Напомним, в начале июня CISO SlowMist под ником 23pds представил рейтинг причин, по которым индивидуальные и институциональные инвесторы теряют свои цифровые активы.
Тред последовал после подробного разбора инцидента с кражей у трейдера на Binance криптовалюты на $1 млн. Причиной потери стало вредоносное расширение для браузера Chrome, однако пользователь предъявил претензии к бирже.
Соучредительница Binance Йи Хэ не признала ответственности платформы за инцидент. Она отметила, что хакер манипулировал устройством самого трейдера через плагин, и команда биржи не могла повлиять на ситуацию.
Для просмотра ссылки необходимо нажать
Вход или Регистрация