OKX onderzoekt miljoenenroof na sms-aanval op gebruikersaccounts

De cryptocurrency exchange OKX en beveiligingspartner SlowMist zijn een grootschalig onderzoek gestart naar een exploit van miljoenen dollars die resulteerde in de diefstal van twee gebruikersaccounts. De aanval vond plaats op 9 juni en werd uitgevoerd via een sms-aanval, beter bekend als een SIM-swap, aldus Yu Xian, oprichter van SlowMist, in een bericht op X.

Volgens Xian kwam de sms-risicomelding uit Hong Kong en werd er een nieuwe API-sleutel aangemaakt met opname- en handelsmachtigingen. “We vermoeden dat er sprake was van een cross-trading-intentie, maar dit lijkt nu te zijn uitgesloten,” aldus Xian.

Hoewel het exacte bedrag dat via de aanval is gestolen nog onduidelijk is, bevestigde Xian dat “miljoenen dollars aan activa zijn gestolen.”

SlowMist: 2FA niet het belangrijkste probleem

Ondanks dat het onchain-beveiligingsbedrijf SlowMist nog steeds onderzoek doet naar de hackerwallet en de achterliggende incidenten, zijn de two-factor authentication (2FA)-mechanismen van OKX mogelijk niet de belangrijkste kwetsbaarheid. In een bericht van 9 juni schreef Xian: “Ik heb geen 2FA-authenticator zoals Google Authenticator ingeschakeld, maar ik weet niet zeker of dit het belangrijkste punt is.”

Volgens een analyse van de Web3-beveiligingsgroep Dilation Effect konden de aanvallers met het 2FA-mechanisme van OKX overschakelen naar een verificatiemethode met een lagere beveiliging, waardoor ze opnameadressen via sms-verificatie op de witte lijst konden zetten.

Toename van phishingaanvallen

Recente incidenten tonen aan dat hackers steeds vaker 2FA-verificatiemethoden omzeilen. Begin juni verloor een Chinese handelaar $1 miljoen door een oplichting met een promotionele Google Chrome-plug-in genaamd Aggr, die gebruikerscookies steelt. Deze cookies worden door hackers gebruikt om wachtwoorden en 2FA-authenticatie te omzeilen.

Phishingaanvallen namen in juni toe nadat CoinGecko een datalek bevestigde bij zijn externe e-mailbeheerplatform GetResponse. Het lek resulteerde in 23.723 phishing-e-mails die door de aanvaller naar slachtoffers werden gestuurd.

Phishingaanvallen zijn gericht op het stelen van gevoelige informatie zoals privésleutels van cryptowallets. Andere phishingaanvallen, bekend als adresvergiftigingsscams, proberen investeerders te verleiden om geld te sturen naar frauduleuze adressen die lijken op vertrouwde adressen.

Privésleutel-lekken als grootste oorzaak van hacks

Lekken van privésleutels en persoonlijke gegevens zijn de grootste oorzaak van cryptogerelateerde hacks. Exploitanten richten zich vaak op de makkelijkste doelwitten. Volgens het HackHub-rapport van Merkle Science uit 2024 was meer dan 55% van de gehackte digitale activa in 2023 het gevolg van lekken van privésleutels.