Tóm tắt:
Hai người dùng OKX đã bị tấn công SIM-swap và bị đánh cắp tiền. Phân tích cho thấy có một lỗ hổng bảo mật trong hệ thống xác thực hai yếu tố (2FA) của OKX, cho phép kẻ tấn công dễ dàng chuyển sang phương thức xác thực bảo mật thấp hơn.
Table of Contents
Vụ tấn công SIM-swap và lỗ hổng bảo mật
- Hai người dùng OKX đã bị tấn công SIM-swap và mất tiền.
- Các nhà phân tích bảo mật đã phát hiện ra một lỗ hổng trong hệ thống 2FA của OKX, cho phép người dùng chuyển từ 2FA sang phương thức xác thực SMS trong các hoạt động nhạy cảm.
- Các hành động nhạy cảm bao gồm rút tiền, thêm địa chỉ vào danh sách cho phép, thay đổi mật khẩu đăng nhập và tắt xác thực 2FA.
Lỗ hổng bảo mật của OKX
- Hệ thống 2FA của OKX không yêu cầu xác thực bổ sung khi thực hiện các hoạt động nhạy cảm.
- OKX chỉ áp dụng hạn chế rút tiền trong 24 giờ khi đăng nhập vào thiết bị mới.
- Kẻ tấn công có thể rút một lượng lớn tiền sau khi thêm địa chỉ vào danh sách cho phép mà không cần xác thực bổ sung.
Phản hồi từ các chuyên gia bảo mật
- SlowMist đang theo dõi ví của kẻ tấn công và kêu gọi những người dùng bị ảnh hưởng liên hệ với họ.
- Yu Xian, người sáng lập SlowMist, không chắc chắn liệu Google Authenticator có phải là điểm yếu chính trong vụ tấn công hay không.
- DE cho rằng thiết kế bảo mật của OKX có những thiếu sót cơ bản để mang lại trải nghiệm tốt hơn cho người dùng.
Kết luận
Vụ tấn công SIM-swap và phát hiện lỗ hổng bảo mật của OKX là lời nhắc nhở về tầm quan trọng của an ninh mạng trong ngành crypto. Người dùng nên thận trọng và sử dụng các biện pháp bảo mật mạnh mẽ để bảo vệ tài sản của mình.
Ghi chú:
- SIM-swap: Kẻ tấn công chuyển hướng số điện thoại của nạn nhân sang một thiết bị khác để kiểm soát tài khoản của nạn nhân.
- 2FA (Xác thực hai yếu tố): Một phương thức bảo mật yêu cầu người dùng cung cấp hai phương thức xác thực khác nhau để truy cập tài khoản.
- Google Authenticator: Một ứng dụng tạo mã xác thực hai yếu tố.
- SlowMist: Một công ty bảo mật blockchain.
- DE (Dilation Effect): Một nhóm các nhà phân tích bảo mật.
[+++]
Lưu ý: Bài viết chỉ cung cấp góc nhìn và không phải là lời khuyên đầu tư.
Đọc các Sách chính thống về Blockchain, Bitcoin, Crypto
👉 Nếu bạn cần Dịch vụ quảng cáo crypto, liên hệ Click Digital ngay. 🤗
Cảm ơn bạn đã đọc. Chúc bạn đầu tư thành công. 🤗
Giới thiệu token Saigon (SGN):
- Đầu tư vào các công ty quảng cáo blockchain hàng đầu bằng cách MUA token Saigon (SGN) trên Pancakeswap: https://t.co/KJbk71cFe8/ (đừng lo lắng về tính thanh khoản, hãy trở thành nhà đầu tư sớm)
- Được hỗ trợ bởi Công ty Click Digital
- Nâng cao kiến thức về blockchain và crypto
- Lợi nhuận sẽ dùng để mua lại SGN hoặc đốt bớt nguồn cung SGN để đẩy giá SGN tăng.
- Địa chỉ token trên mạng BSC: 0xa29c5da6673fd66e96065f44da94e351a3e2af65
- Twitter X: https://twitter.com/SaigonSGN135/
- Staking SGN: http://135web.net/
- If you’d like to invest in top blockchain advertising companies, just BUY Saigon token (SGN) on Pancakeswap: https://t.co/KJbk71cFe8/ (do not worry about low liquidity, be the early investor)
- Backed by Click Digital Company
- Enhancing blockchain and crypto knowledge
- The profits will be used to repurchase SGN or burn a portion of the SGN supply to drive up the SGN price.
- BSC address: 0xa29c5da6673fd66e96065f44da94e351a3e2af65
- Twitter X: https://twitter.com/SaigonSGN135/
- Staking SGN: http://135web.net/
Digital Marketing Specialist
Related posts:
CertiK phát hiện lỗ hổng bảo mật trị giá 5 triệu USD trên cầu Wormhole mạng Aptos
Đợt phát hành 6 quỹ ETF tài sản ảo Hồng Kông đầu tiên, niêm yết trên Sở giao dịch chứng khoán Hồng Kông
Bộ trưởng Tài chính Hồng Kông: Rất lạc quan về sự phát triển tài sản ảo ở Hồng Kông
Ví Trust Wallet cảnh báo người dùng Apple iOS về lỗ hổng bảo mật
Crypto Malware – Lén dùng máy tính của bạn để đào crypto: Cách phát hiện và bảo vệ thiết bị
Các chương trình farm pool của Gull Network, sử dụng Gull Swap, Gull Pool, Gull Farm
Bitcoin Spot ETF tại Hồng Kông sẽ ra mắt sau quý 2
LND Onion Bomb: Lỗ hổng bảo mật trên Bitcoin Lightning Network, hacker có thể hack mất BTC
OKX rút đơn xin cấp phép VASP tại Hồng Kông
Gate.io và OKX rút lui khỏi cuộc đua giấy phép ở Hồng Kông
TVL của Velocore giảm mạnh sau khi bị hack, khai thác lỗ hổng
OKX Wallet tích hợp với Wormhole: Tăng khả năng cross-chain cho ví OKX Wallet
TVL của Manta Renew Paradigm tăng 30% sau vòng đầu tư từ Binance và OKX
Lý do nên đầu tư Dojo Swap ($DOJO): AMM đầu tiên hệ Injective
Phantom Wallet tích hợp BeFi Labs để Swap BRC-20 nhanh & hiệu quả hơn
Uniswap launch UniswapX, là gì: Swap không tốn gas khi thất bại, chống lại MEV
Uniswap Labs tăng phí swap từ 0,15% lên 0,25%
Huobi HTX sẽ xuất bản báo cáo bảo mật hàng tháng để bảo vệ sự an toàn cho tài sản của người dùng
OKX phát hành bằng chứng dự trữ (PoR) lần thứ 19: tỷ lệ dự trữ của 22 loại token đều trên 100%
SAFE list sàn OKX, các market maker nạp SAFE lên sàn sau khi nhận airdrop (On-chain Check)
Sau Kucoin, OKX có thể là sàn tiếp theo list ZRO (nhờ check on-chain)
Tình hình pháp lý crypto tại các quốc gia phát triển: Mỹ, châu Âu, Nhật, Hàn Quốc, Hồng Kông, Singapore, UAE
Vitalik Buterin sẽ phát biểu tại sự kiện Lễ hội Web3 Carnival tại Hồng Kông 2024
Hồng Kông: Hi vọng phát hành các sản phẩm phái sinh cho các crypto spot ETF và các tùy chọn đòn bẩy liên quan
Các luật sư của Terraform Labs phản đối đề nghị của SEC đòi thu hồi 5.3 tỷ USD tiền phạt, khuyến nghị mức phạt 1 triệu USD
Zero Gravity Labs (OG Labs): Nhà phát triển modular blockchain, gọi vốn huy động $35M từ Hack VC, OKX, GSR, Animoca Brands, NGC, DWF Labs
OKX Ventures hợp tác với SOFA.org để thúc đẩy phát triển tài chính phi tập trung
Ví Trust Wallet cảnh báo người dùng Apple về lỗ hổng mới
Panda Securities trở thành nhà bảo lãnh đầu tiên cho quỹ Spot ETF tài sản ảo Hồng Kông
Hồng Kông công bố danh sách thành viên tham gia thử nghiệm stablecoin, bao gồm Standard Chartered và Animoca Brands