OKX Web3钱包遭劫，用户哭诉5万U失窃：揭秘安全漏洞真相

今日一名用户声称在使用 OKX Web3 钱包进行转帐时，在兑换 Trx 的兑换页面时遭遇骇客劫持，损失 5 万 USDT；对此，OKX 官方也出面回应了。

前日，一名币安用户疑下载到浏览器恶意扩充功能，导致帐户资金被盗窃一空，损失 100 万美元的灾情。结果今天早上，一名 X 用户（0xNing0x）也透露，另一家全球知名的交易所 OKX，也惊传用户在使用 OKX Web3 钱包的兑换页面时「遭遇劫持」，损失 5 万 USDT。

遭骇经过

受害者还原事发经过，表示一个新地址刚从波场链接收 USDT，但要转出时因没有 TRX，很可能会使用 OKX Web3 钱包内提供的兑换功能。如下图左所示，左上角会提示 TRX 余额不足，并会给一个【补充TRX】的跳转连接。

进入该连结后，受害者强调，骇客的窃盗行为发生在此页面（下图右），骇客会劫持此页面，在极短的时间内，向使用者转帐一笔 100 个 TRX，当使用者点击兑换后，会跳转出一个权限授权的确定框，使用者会以为这个是兑换 TRX 的确认提示。点选确认后，该使用者位址的权限便被骇客窃取。

受害者强调，骇客的犯案行为直到昨天还在持续进行中，作案手法全部一样：

1. 先确认目标用户
2. 向目标用户地址转帐 100 个 TRX
3. 然后劫持使用者兑换页面，使用者点选假的兑换及确认按钮，实际是权限更新的确认按钮
4. 骇客拿到用户地址的权限，之后将币转走。

受还者还表示，最后一步的转帐行为不一定会马上发生，因为此时使用者的帐号权限已经被骇客盗走，但是使用者并不知情（使用者只有在转帐的时候，才会提示使用者权限不足，此时使用者才会发现自己被骇客盗了）。

在不知情的情况下，仍然有可能继续往此地址充值，因为用户可以看到币仍然在自己的地址上，所以这也是骇客并不著急把用户的币提走的原因。

受害者声称，当用户将大额的波场链的 USDT 充值进入 OKX Web3 钱包，就会被骇客监控并取得此资讯。他指出其中一个骇客地址：THDkuJMo2DeKoDzZfaKnNjepuziCbu75ej，表示该地址的盗窃行为从去年 12 月 7 日开始，至今已经发生几 10 笔了。

而 @0xNing0x 也提醒，根据链上动态，这个骇客应该是一个机构化实体，直到今天仍然在作恶，受害者人数众多，需要提高警觉。

OKX 官方回应：疑似助记词泄漏、慢雾：疑似遭钓鱼

这起事件引起社群的广泛担忧。不过，OKX 高管海腾对此回应，没有明确迹象显示钱包遭遇劫持：

经分析后，都是 app 内原生介面，不是网页，除非安装到假 app，否则不可能发生劫持。依照使用者所述，从官方网站下载，所以排除假 app嫌疑。

同时从链上资料来看，从 22:45:33 到 22:45:42， 仅 9 秒内完成 usdt 转入以及帐户权限修改两笔交易，使用者描述自己保存助记词是透过截圖的方式，有存在助记词泄漏并被监控的可能。

海腾表示，安全是 OKX 一直非常重视的议题，虽然没有明确的指向，但对于受害著所质疑的「app 劫持」，他们将会继续核查。

慢雾资安长对此也回应道：

感觉这位受害者的描述是不准确的，页面劫持夸张了。可能就是扫了骗子的码或访问了钓鱼 DApp。