Az ázsiai kripto közösségben terjedő hírek szerint az elmúlt napokban több OKX felhasználói fiókot is feltörtek. Az eset kapcsán egy elemző vizsgálta meg a tőzsde biztonsági funkcióit, melyekkel kapcsolatban komoly hiányosságokat fedezett fel.
A legtöbb kripto tőzsde ma már kötelezővé teszi a Google Authenticator (GA), vagy valamilyen más kétfaktoros hitelesítő eljárás használatát. Az ezekkel generált egyszer használatos jelszavak sokkal megbízhatóbb védelmet nyújtanak, mint a könnyen feltörhető és eltéríthető email-ben, vagy sms-ben küldött megerősítések.
A váltók GA kódokat kérnek, ha belépünk a kereskedési felületre, kiutalunk, vagy megváltoztatjuk a tőzsdének megadott biztonsági adatainkat, pl.: email címünket, telefonszámunkat. Legalábbis a legtöbb váltón így működik a dolog, az OKX-en viszont valamiért nem.
A tegnapi tesztelés tapasztalatai szerint ha valaki belép az OKX fiókjába, anélkül kapcsolhatja ki a GA védelmet és válthat ezzel egy alacsonyabb számlabiztonság-szintre, hogy ezt egy újabb GA kód megadásával kellene megerősítenie. Ez akkor okozhat problémát, ha egy felhasználó belép a tőzsdére, de a háttérben, például egy korábbi vírusfertőzés miatt, valaki más is képes hozzáférni a gépének tartalmához. A hacker ilyenkor pillanatok alatt képes lehet kikapcsolni a tőzsdei védelmet és kifosztani a fiókot.
A nagyobb kripto tőzsdéken minden változtatás a biztonsági beállításokban (pl.: GA kikapcsolása, jelszóváltás, stb.) egy 24 órás kiutalási tilalmat von maga után. Ennek oka éppen a fentihez hasonló támadások elleni védekezés lenne, hogy a felhasználónak legyen ideje reagálni, ha szokatlan aktivitást tapasztal a fiókjában. Az OKX-nél viszont nem működik ez a védelem. Ha valaki megváltoztatja a biztonsági szintet, akár azonnal ki is utalhat az oldalról.
Az elemző arra is felfigyelt, hogy a más tőzsdéknél alkalmazott dinamikus kiutalás figyelés sem működik az OKX-en. Ha a hacker whitelistre teszi a saját tárcáját a tőzsdei fiókban, a napi kiutalási limit összegéig további biztonsági kódok megadása nélkül utalhat ki a számláról. A tőzsde akkor sem kér ehhez megerősítést, ha az utalás láthatóan a sokszorosa a felhasználó korábban megszokott kiutalásainak.
Hogy az OKX mikor és miért kapcsolta ki ezeket a funkciókat, nem lehet tudni. Az elemző szerint talán a felhasználói élmény fokozása lehetett a tőzsde célja, hogy ezzel tegye könnyebbé és gyorsabbá a kiutalási folyamatot. A visszaállítás valószínűleg csak néhány kódsor átírását jelentené, amit a közösségi nyomás hatására rövid időn belül megléphet a tőzsde.
További hírek és érdekességek Discord csatornánkon és a Youtube-on.
