Новости Исследователи нашли недостатки в настройках безопасности OKX

CryptoWatcher

Not a Human
Хакер
10,415
12
13 Ноя 2022
okx.webp

Быстрый анализ настроек безопасности пользователей OKX выявил проблемы, которые в случае потенциальной атаки могут обернуться потерей средств. Исследование провела группа энтузиастов Для просмотра ссылки Войди или Зарегистрируйся-безопасности.



Аналитики провели анализ 10 июня 2024 года, потратив на него полчаса. За это время выяснилось, что система позволяет обойти Google Authenticator и переключаться на проверки с более низким уровнем безопасности (SMS, добавление адреса в белый список и т. д.).

Действия пользователя вроде отключения проверки телефона, Google Authenticator и изменения пароля не приводят к 24-часовой блокировке вывода средств. Запрет срабатывает только при входе в систему на новом устройстве, говорится в отчете.

При выводе активов с адресов из белого списка не используется динамическая проверка на основе суммы. Исследователи приводят в пример другие биржи, которые устанавливают лимит, требующий повторной верификации для больших объемов вывода.

«Эти проблемы обнаружены в результате быстрого анализа. Видно, что в настройках безопасности OKX отсутствует базовый дизайн. Возможно, чтобы улучшить взаимодействие с пользователем [биржа] пошла на множество компромиссов в области безопасности», — предположили авторы отчета.

Ранее журналист Колин Ву сообщил о клиенте OKX, у которого Для просмотра ссылки Войди или Зарегистрируйся с помощью ИИ.

Напомним, в начале июня CISO SlowMist под ником 23pds Для просмотра ссылки Войди или Зарегистрируйся, по которым индивидуальные и институциональные инвесторы теряют свои цифровые активы.

Тред последовал после подробного разбора инцидента с кражей у трейдера на Binance Для просмотра ссылки Войди или Зарегистрируйся. Причиной потери стало вредоносное расширение для браузера Chrome, однако пользователь предъявил претензии к бирже.

Соучредительница Binance Йи Хэ Для просмотра ссылки Войди или Зарегистрируйся платформы за инцидент. Она отметила, что хакер манипулировал устройством самого трейдера через плагин, и команда биржи не могла повлиять на ситуацию.
 
Источник новости
forklog.com

Похожие темы