OKX Web3钱包遭劫，苦主哭诉痛失5万U：安全漏洞究竟是什么？

前日，一名币安用户疑下载到浏览器恶意扩充功能，导致帐户资金被盗窃一空，损失 100 万美元的灾情。结果今天早上，一名 X 用户（0xNing0x）也透露，另一家全球知名的交易所 OKX，也惊传用户在使用 OKX Web3 钱包的兑换页面时「遭遇劫持」，损失 5 万 USDT。

前不久，我的一位朋友在使用OKX钱包时遭遇页面劫持被盗5万USDT（波场TRC20）。

据我这位朋友找的安全从业人士分析，黑客是通过页面劫持将他用的OKX钱包的“补充GAS”替换成“更新波场账户所有者权限”，在用户界面无感知的情况下骗取授权，进而控制受害者的波场账户实现盗币。… pic.twitter.com/kXauBBBd0T

— NingNing (?,?) (@0xNing0x) June 4, 2024

遭骇经过

受害者还原事发经过，表示一个新地址刚从波场链接收 USDT，但要转出时因没有 TRX，很可能会使用 OKX Web3 钱包内提供的兑换功能。如下图左所示，左上角会提示 TRX 余额不足，并会给一个【补充TRX】的跳转连接。

进入该连结后，受害者强调，骇客的窃盗行为发生在此页面（下图右），骇客会劫持此页面，在极短的时间内，向使用者转帐一笔 100 个 TRX，当使用者点击兑换后，会跳转出一个权限授权的确定框，使用者会以为这个是兑换 TRX 的确认提示。点选确认后，该使用者位址的权限便被骇客窃取。

受害者强调，骇客的犯案行为直到昨天还在持续进行中，作案手法全部一样：

1. 先确认目标用户
2. 向目标用户地址转帐 100 个 TRX
3. 然后劫持使用者兑换页面，使用者点选假的兑换及确认按钮，实际是权限更新的确认按钮
4. 骇客拿到用户地址的权限，之后将币转走。

受还者还表示，最后一步的转帐行为不一定会马上发生，因为此时使用者的帐号权限已经被骇客盗走，但是使用者并不知情（使用者只有在转帐的时候，才会提示使用者权限不足，此时使用者才会发现自己被骇客盗了）。

在不知情的情况下，仍然有可能继续往此地址充值，因为用户可以看到币仍然在自己的地址上，所以这也是骇客并不著急把用户的币提走的原因。

受害者声称，当用户将大额的波场链的 USDT 充值进入 OKX Web3 钱包，就会被骇客监控并取得此资讯。他指出其中一个骇客地址：THDkuJMo2DeKoDzZfaKnNjepuziCbu75ej，表示该地址的盗窃行为从去年 12 月 7 日开始，至今已经发生几 10 笔了。

而 @0xNing0x 也提醒，根据链上动态，这个骇客应该是一个机构化实体，直到今天仍然在作恶，受害者人数众多，需要提高警觉。