编辑|吴说区块链

　　6 月 3 日某知名社区成员来日方长发长文称，诈骗分子在电报购买了他的所有个人资料，随后通过登陆邮箱号点开忘记密码，通过 AI 合成的视频申请更换了手机号、邮箱号甚至还有谷歌验证器，24 小时后其 OKX 账户丢失超 200 万美元的资产。

　　随后又有两名用户披露其 OKX 账户被盗，疑似由于短信与邮箱被劫持。

　　研究机构 Dilation Effect 随后对 OKX 目前的安全设置进行了分析并提出疑虑：

　　尽管用户绑定了 GA，但校验时允许切换到低安全等级的校验方式，导致 GA 校验被绕过，用户绑定 GA（Google Authenticator），就是考虑到 GA 的安全等级更高更安全。但 OKX 在对用户敏感操作做校验时，比如添加白名单地址、提币、各类验证项设置变更等，可以直接切换为低安全等级的校验方式，比如短信。

　　用户敏感操作发生时，比如：关闭手机校验、关闭 GA 校验，修改登录密码，均不会触发 24 小时禁止提币的风控措施。其中修改登录密码的风控措施采取了折衷的方式，在新设备上登录才会触发。

　　白名单地址提币，没有根据提币额度来做动态的验证，一旦这个地址加入白名单，就可以在提币额度内直接无校验的疯狂提币。不像其它交易所会设置一个限额，超过限额会要求再次做校验。总之 OKX 的安全设置是缺少基线设计的。也许是为了提升用户体验，OKX 在安全性上做了大量妥协。

　　OKX CEO Star 回应：目前没有任何一起用户资损案例是通过 GA （谷歌验证器） 切换到 SMS （短信） 完成的。免认证地址是为 API 用户自动化提币需求设计，设置限额不符合实际需求。可以考虑引入沉默的免认证地址自动过期的机制。GA 安全级别确实略高于 SMS，但不是绝对安全。盗取用户 SMS 的方法有设备木马植入、SIM 卡复制、伪基站、通过 SMS 服务商盗取等手段。黑客盗取用户 GA 可以在用户设备上植入木马或盗取 google 账户（开启云同步）。对于 OKX 自身原因导致的资损将全额赔偿。

　　Dilation Effect 则回应 Star Xu： SMS 还有 SIM SWAP、运营商接口出问题、合法监听问题等等，安全性早已经更不上时代，GA 的安全性并不是略高于 SMS，而是高出很多，GA 应该作为安全校验的基线设置，对于散户来讲，GA 是目前相对最安全最低成本最易用的校验措施，呼吁普通用户能够设置好 GA，习惯用 GA，用好 GA（关闭云端备份功能）。