TokenPocket钱包安卓APP下载|OKX交易所 安全漏洞要点

据可靠消息来源称，OKX DEX（去中心化交易所）本周二出现安全漏洞，已造成 40 万至数百万美元的损失。 黑客似乎通过访问智能合约管理密钥来渗透人们的钱包，他们升级了这些密钥以支持卑鄙的犯罪。

针对此次安全漏洞，OKX 在其官方 X（前身为 Twitter）上发布了一份声明，表示他们已经控制了局势，并将向受影响的客户进行赔偿，同时公众等待对事件进展的彻底审查。

“我们遗憾地通知你，OKX Dex 上已弃用的智能合约已被泄露。 我们已立即采取行动保护所有用户资金并撤销合约权限。 我们正在与相关机构合作寻找被盗资金，并将向受影响的用户补偿 37 万美元。 正在进行彻底审查，以防止类似事件发生。 对于给你带来的任何不便，我们深表歉意。”OKX 在 X 上说道。

此次攻击可能是由于代理管理员所有者的私钥泄露所致

Worldline 拓展空间虚拟Cosmos的服务

新研究称比特币年初至今涨幅达 128%，价格为 80,000 美元

区块链安全和审计公司 SlowMist 等专家认为，OKX 的安全漏洞是由于代理管理员的私钥泄露而导致的，冒充者使用该私钥升级 DEXproxy 合约以窃取资金。

它是这样工作的； DEX合约通过触发TokenApprove合约来转移用户的代币。 DEX 合约还具有 ClaimTokens 函数，允许受信任的 DEX 代理进行调用，触发代币Aprove 合约的 ClaimTokens 函数，从而从用户钱包转移授权代币。

根据慢雾的分析，这次攻击的症结在于，可信的DEX代理是由代理管理员管理的，代理管理员可以升级DEX代理合约。 而且代理管理员似乎错误地泄露了他们的私钥，攻击者利用这些私钥升级了 DEX 代理合约并触发了 ClaimTokens 功能来窃取用户的资金。

“2023 年 12 月 12 日 22:23:47，代理管理员所有者通过代理管理员将 DEX 代理合约升级为新的执行合约。 新实现合约的功能是直接调用DEX合约的claimTokens函数来转账。 随后，攻击者开始调用 DEX Proxy 窃取代币。 Proxy Admin Owner于2023年12月12日23:53:59再次升级合约，功能类似，升级后继续窃取代币。 截至目前，攻击者已获利约43万U。” 慢雾说

黑客攻击的全部范围有待确定

有关攻击具体范围的数字一直在 37 万美元到 270 万美元之间波动，但是，调查仍在进行中，以查找被盗资金，OKX 在其官方声明中承诺向所有受影响的用户返还 37 万美元。

OKX DEX 攻击是继今年加密货币网络上出现一系列类似黑客攻击之后发生的，其中包括 SafeMoon、CoinEx、Kyber Network、Krosnos Research、Atomic钱包 等。 这对加强链上安全和加强私钥管理来说是又一个警钟。