加密货币交易所OKX和区块链安全公司CertiK披露了 OKX iOS 钱包中的一个严重漏洞,立即触发用户更新其应用程序。12 月 19 日的公告引发了关于披露时间的争议,因为人们越来越担心用户数据和加密资产可能受到损害。
CertiK 发布到 Twitter/X:
注意!我们敦促 OKX 钱包的用户立即将其 iOS 应用程序更新到最新版本。本月早些时候,我们发现并报告了 OKX iOS 应用程序中的一个严重远程代码执行 (RCE) 漏洞,可能导致敏感数据和加密资产遭到泄露。
OKX 在另一份公告中 确认已部署解决该问题的更新。它声称该错误并未影响客户资金。
该问题似乎与之前对 OKX 去中心化交易所 (DEX) 聚合器的攻击无关,该攻击在 12 月 12 日左右导致了 270 万美元的损失。
CertiK 的快速披露遭到了 MetaMask 负责人 Tay Monahan 的批评,他指出在修复程序发布当天披露问题的风险。她写道:
OKX 的用户群需要多长时间才能获得历史上的大多数更新?就像,它需要时间来推出更新。比如几周、几个月。然而您却透露存在一个可能影响所有用户的[漏洞]?
此外,该补丁的发布日期也缺乏明确性。 CertiK 表示相关更新已部署在今天的更新中(iOS App Store 标识为版本 6.46.0),而 OKX 表示更新部署在版本 6.45.0(12 月 11 日发布)中。 App Store 中的详细信息并未表明哪个更新实际上包含修复程序。
无论如何,该错误在修复程序发布后不到八天就被披露,这让不立即更新的用户面临风险。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
