暗号資産取引所大手OKXは11日、過去7日間で6億3300万ドル以上の資金流出が発覚した。これは、電子メールとSIM認証でのプラットフォーム上に脆弱性があるという噂の中で、セキュリティ上の懸念が原因とされている。
同プラットフォームは、この問題について調査中であり、その結果、障害が社内にあることが証明されれば責任を取るとしている。
OKX取引所、大量の資金流出に見舞われる
OKX取引プラットフォームは過去7日間で6億3300万ドル以上の流出を記録した。 DefiLlamaのデータによると、過去24時間の流出額は2億500万ドルに達し、累計では3億4000万ドルに達している。
中央集権型取引所の集計によると、OKXは他社よりも流出している。これは、同取引所のセキュリティー上の抜け穴により、一部のユーザーがハッカーに保有資産を奪われたとの懸念の後である。
「今朝、2人の異なる被害者が取引所のアカウントを盗まれましたが、盗まれたコインの方法と特徴は驚くほど似ていました」とSlowMistのエグゼクティブCosは書いている。
関連記事:Web3ウォレット16選
報告書によると、被害者は “香港 “からSMSリスク通知を受け取った。攻撃者はその後、出金と取引の権限を持つ新しいAPIキーを作成し、調査官はクロス取引の意図を疑うに至った。
Dilation EffectのWeb3セキュリティ・マニアは、OKXへの攻撃を分析し、同プラットフォームのユーザー・セキュリティ設定を調査した。同チームによれば、その結果は非常に驚くべきものだった。
- ユーザーは自分のアカウントをGoogle Authenticator (GA)にバインドしているが、電子メールやSMSのようなセキュリティの低い方法に検証を切り替えることができ、攻撃者はGAの検証をバイパスすることができる。
- 携帯電話の電源を切ったり、GA認証をオフにしたり、ログインやパスワードを変更したりするような機密性の高いユーザー操作中であっても、24時間の通貨引き出し禁止というリスク管理措置のトリガーはない。リスク管理措置が発動するのは、同じアカウントが新しいデバイスでログインしたときだけである。
- ホワイトリストに登録されたアドレスからの引き出しについては、引き出し限度額に基づく動的な検証は行われない。つまり、利用者は、そのアドレスからの引き出しが許可されると、引き出し限度額の範囲内で確認なしにお金を引き出すことになる。
調査チームは、OKXのセキュリティ設定には基本設計が欠けていると結論づけた。彼らは、同プラットフォームがユーザーエクスペリエンスを向上させるためにいくつかのセキュリティの妥協を行っていると指摘した。ダイレーション・エフェクトは、すべてのユーザーに対し、より良いセキュリティのためにアカウントをGoogle Authenticatorにバインドすることを推奨している。
関連記事:Web3ウォレット16選
OKXのユーザー資産に対する攻撃を調査する捜査当局に対し、同取引所は、プラットフォームに非があると判断された場合、責任を取り、損失を負担することを顧客に保証している。
Follow us on:
X(Twitter):@BeInCryptoJapan
Telegramチャンネル:@BeInCrypto Japan オフィシャルチャンネル
免責事項 - Disclaimers
当ウェブサイトに掲載されているすべての情報は、誠意をもって作成され、一般的な情報提供のみを目的としています。当ウェブサイトに掲載されている情報に基づいて行う一切の行為については、読者ご自身の責任において行っていただきますようお願いいたします。
