一用户OKX Web3钱包遭劫、痛失5万USDT！慢雾：疑似遭钓鱼

欧易交易所

软件大小：268.26MB

软件版本：v3.4.2

APP下载

币灵灵财经(bilingling.com)：前日，一名币安用户疑下载到浏览器恶意扩展功能，导致账户资金被盗窃一空，损失100万美元的灾情。结果今天早上，一名X用户(0xNing0x)也透露，另一家全球知名的交易所OKX，也惊传用户在使用OKX Web3钱包的兑换页面时「遭遇劫持」，损失5万USDT。

被黑经过

受害者还原事发经过，表示一个新地址刚从波场链接收USDT，但要转出时因没有TRX，很可能会使用OKX Web3钱包内提供的兑换功能。如下图左所示，左上角会提示TRX余额不足，并会给一个【补充TRX】的跳转链接。

进入该链接后，受害者强调，黑客的窃盗行为发生在此页面(下图右)，黑客会劫持此页面，在极短的时间内，向使用者转账一笔100个TRX，当使用者点击兑换后，会跳转出一个权限授权的确定框，使用者会以为这个是兑换TRX的确认提示。点选确认后，该使用者位址的权限便被黑客窃取。

受害者强调，黑客的犯案行为直到昨天还在持续进行中，作案手法全部一样：

• 先确认目标用户

• 向目标用户地址转账100个TRX

• 然后劫持使用者兑换页面，使用者点选假的兑换及确认按钮，实际是权限更新的确认按钮

• 黑客拿到用户地址的权限，之后将币转走。

受还者还表示，最后一步的转账行为不一定会马上发生，因为此时使用者的账号权限已经被黑客盗走，但是使用者并不知情(使用者只有在转账的时候，才会提示使用者权限不足，此时使用者才会发现自己被黑客盗了)。

在不知情的情况下，仍然有可能继续往此地址充值，因为用户可以看到币仍然在自己的地址上，所以这也是黑客并不着急把用户的币提走的原因。

受害者声称，当用户将大额的波场链的USDT充值进入OKX Web3钱包，就会被黑客监控并取得此信息。他指出其中一个黑客地址：THDkuJMo2DeKoDzZfaKnNjepuziCbu75ej，表示该地址的盗窃行为从去年12月7日开始，至今已经发生几10笔了。

而@0xNing0x也提醒，根据链上动态，这个黑客应该是一个机构化实体，直到今天仍然在作恶，受害者人数众多，需要提高警觉。

使用OKX Web3钱包补充TRX(兑换Gas)画面

OKX官方回应：疑似助记词泄漏、慢雾：疑似遭钓鱼

这起事件引起社群的广泛担忧。不过，OKX高管海腾对此回应，没有明确迹象显示钱包遭遇劫持：经分析后，都是app内原生界面，不是网页，除非安装到假app，否则不可能发生劫持。依照使用者所述，从官方网站下载，所以排除假app嫌疑。同时从链上资料来看，从22:45:33到22:45:42，仅9秒内完成usdt转入以及账户权限修改两笔交易，使用者描述自己保存助记词是通过截图的方式，有存在助记词泄漏并被监控的可能。

海腾表示，安全是OKX一直非常重视的议题，虽然没有明确的指向，但对于受害着所质疑的「app劫持」，他们将会继续核查。

慢雾资安长对此也回应道：感觉这位受害者的描述是不准确的，页面劫持夸张了。可能就是扫了骗子的码或访问了钓鱼DApp。