阿里快讯(Alibtc.com):前日,一名币安用户疑下载到浏览器恶意扩展功能,导致账户资金被盗窃一空,损失100万美元的灾情。结果今天早上,一名X用户(0xNing0x)也透露,另一家全球知名的交易所OKX,也惊传用户在使用OKX Web3钱包的兑换页面时「遭遇劫持」,损失5万USDT。
被黑经过
受害者还原事发经过,表示一个新地址刚从波场链接收USDT,但要转出时因没有TRX,很可能会使用OKX Web3钱包内提供的兑换功能。如下图左所示,左上角会提示TRX余额不足,并会给一个【补充TRX】的跳转链接。
进入该链接后,受害者强调,黑客的窃盗行为发生在此页面(下图右),黑客会劫持此页面,在极短的时间内,向使用者转账一笔100个TRX,当使用者点击兑换后,会跳转出一个权限授权的确定框,使用者会以为这个是兑换TRX的确认提示。点选确认后,该使用者位址的权限便被黑客窃取。
受害者强调,黑客的犯案行为直到昨天还在持续进行中,作案手法全部一样:
先确认目标用户
向目标用户地址转账100个TRX
然后劫持使用者兑换页面,使用者点选假的兑换及确认按钮,实际是权限更新的确认按钮
黑客拿到用户地址的权限,之后将币转走。
受还者还表示,最后一步的转账行为不一定会马上发生,因为此时使用者的账号权限已经被黑客盗走,但是使用者并不知情(使用者只有在转账的时候,才会提示使用者权限不足,此时使用者才会发现自己被黑客盗了)。
在不知情的情况下,仍然有可能继续往此地址充值,因为用户可以看到币仍然在自己的地址上,所以这也是黑客并不着急把用户的币提走的原因。
受害者声称,当用户将大额的波场链的USDT充值进入OKX Web3钱包,就会被黑客监控并取得此信息。他指出其中一个黑客地址:THDkuJMo2DeKoDzZfaKnNjepuziCbu75ej,表示该地址的盗窃行为从去年12月7日开始,至今已经发生几10笔了。
而@0xNing0x也提醒,根据链上动态,这个黑客应该是一个机构化实体,直到今天仍然在作恶,受害者人数众多,需要提高警觉。
使用OKX Web3钱包补充TRX(兑换Gas)画面
OKX官方回应:疑似助记词泄漏、慢雾:疑似遭钓鱼
这起事件引起社群的广泛担忧。不过,OKX高管海腾对此回应,没有明确迹象显示钱包遭遇劫持:经分析后,都是app内原生界面,不是网页,除非安装到假app,否则不可能发生劫持。依照使用者所述,从官方网站下载,所以排除假app嫌疑。同时从链上资料来看,从22:45:33到22:45:42,仅9秒内完成usdt转入以及账户权限修改两笔交易,使用者描述自己保存助记词是通过截图的方式,有存在助记词泄漏并被监控的可能。
海腾表示,安全是OKX一直非常重视的议题,虽然没有明确的指向,但对于受害着所质疑的「app劫持」,他们将会继续核查。
慢雾资安长对此也回应道:感觉这位受害者的描述是不准确的,页面劫持夸张了。可能就是扫了骗子的码或访问了钓鱼DApp。