近期推特上出現數名用戶的證言，表示自己 OKX 交易所帳戶被駭客盜取，加密貨幣資產在短短數十分鐘被全部賣出成 USDT，並在購買成以太後轉離錢包，損失金額小至數千大至數十萬美金。

雖然 OKX 官方已經聲明將會展開調查，並承諾若確認責任屬於平台將主動承擔損失，但在尚未釐清被盜原因的情況下，用戶間人心惶惶引發了小規模的提幣潮。

回顧這次被盜的事件，可以發現雖然受害者似乎分散各地，但大致上有幾個共通點：

・信箱或簡訊被中國、香港和新加坡的提幣通知轟炸

・駭客轉賣帳號內所有資產，以市價買入大量以太幣
・駭客將自己的地址添加入帳戶白名單後，全數提出

・被盜的用戶皆沒有開啟 Authenticator 類型的雙重驗證（2FA）

雖然還不清楚具體被駭原因，但這次被盜事件在某種程度上揭露了，以信箱和簡訊來作為加密貨幣交易所的安全驗證仍然會有被盜的風險，最好能夠再開啟另外一種形式的 2FA 驗證，也就是所謂的身份驗證器。

什麼是雙重驗證 2FA - 資產安全的必備法門

雙重驗證（2FA）是一種額外的安全措施，為用戶在登入帳戶或進行轉帳時提供額外的驗證保護。要求使用者在輸入密碼之外，再額外提供另一種形式的驗證訊息，來有效防止未經授權的使用。2FA 通常是一次性密碼（OTP），這些密碼可以通過以下幾種方式生成和傳送：

1. 簡訊驗證碼：用戶會收到包含一次性驗證碼的簡訊。

2. 信箱驗證碼：用戶會收到包含一次性驗證碼的電子郵件。

3. 認證應用：應用如 Google Authenticator、Authy 等會生成動態的驗證碼。

由這次事件可知，簡訊和信箱可能不是最可靠的 2FA 驗證形式，最好能夠開啟 30 秒生成一組新驗證碼的身份驗證器來強化你的帳戶資安。

為什麼要開啟 2FA 身分驗證器

・增強帳戶安全：身分驗證器要求提供額外的驗證步驟，且以 30 秒為一個單位動態生成新的驗證碼，駭客即使獲得了密碼，也無法輕易登入帳戶。

・防止未授權交易：同上，開啟身分驗證器可以在簡訊、信箱都暴露的情況下仍阻止未經授權的提款和交易，保護資產安全。即使駭客能夠進入帳戶，他們也無法轉移資產，因為每筆交易都需要額外的驗證碼。

・減少釣魚攻擊風險：釣魚攻擊通常是透過假訊息或介面來欺騙用戶輸入其密碼，而身分驗證器能在密碼外洩的情況下持許保護用戶的帳戶，有效防止釣魚攻擊。

常見的 2FA 身分驗證器應用

以下是幾款常見的身分驗證應用：

1. Google Authenticator：是目前最受歡迎的身份驗證應用，支持多種平台，操作簡單。

2. Authy：提供更多功能，如多設備支持和雲端備份。

3. Microsoft Authenticator：微軟提供的身份驗證應用，與 Microsoft 服務和其他第三方應用兼容。

如果沒有其他特殊需求，推薦使用 Google Authenticator 即可。

▍IOS 系統官方下載連結

▍Android 系統官方下載連結

如何在交易所中開啟 2FA 身分驗證功能

目前幾乎全部的交易所都支援身分驗證器，開通的流程大致上如下：

1. 選擇身分驗證器：目前常見的身分驗證器有 Google Authenticator、Authy 等應用程式，可以根據手機的作業系統在應用商店中免費下載。

2. 設置身分驗證：在交易所帳戶安全設置中啟用 2FA，掃描 Qrcode 或輸入字串。大多數交易所都會在用戶設置頁面提供詳細的步驟說明。

3. 保存備份金鑰：為了確保在遺失手機時仍然能夠恢復你的身份驗證，大多數應用在設置過程中會提供一組備份碼，請以非電子的方式（如紙本）妥善保管備份金鑰，以防手機丟失或更換。

幣安 2FA 身份驗證開啟教學

點選進入用戶資訊頁面 > 安全性 > 驗證器 APP > 到 Google Authenticator 點選「＋」新增驗證，將密鑰複製到 Google Authenticator 並出現六位數字驗證碼即設置成功

Bybit 2FA 身份驗證開啟教學

點選進入用戶資訊頁面 > 安全設置 > 開啟谷歌身份驗證 > 到 Google Authenticator 點選「＋」新增驗證，將密鑰複製到 Google Authenticator 並出現六位數字驗證碼即設置成功

OKX 2FA 身份驗證開啟教學

點選進入用戶資訊頁面 > 安全設置 > 身份驗證應用 > 到 Google Authenticator 點選「＋」新增驗證，將密鑰複製到 Google Authenticator 並出現六位數字驗證碼即設置成功

其他使用加密貨幣交易所的安全建議

除了啟用身份驗證器，你還可以參考以下這些額外的安全建議，來保護你的加密貨幣資產：

1. 使用強密碼：確保使用包含大小寫字母、數字和特殊字符的強密碼，並且避免不同交易所使用同一組密碼，以免多重被駭。
   
   

2. 定期更換密碼：三至六個月定期更換密碼，可以降低密碼被破解的風險。或者採用 1 Password 等專業的密碼管理服務，讓你能夠跨裝置輕鬆為你所有的線上帳戶產生、儲存和自動填入密碼，來降低被攻擊的風險。
   
   

3. 警惕釣魚攻擊：無論是在哪個社群平台都不要點擊可疑的連結，也並且不要向不明來源提供你的個人訊息。

5. 啟用交易通知：大多數交易所提供交易通知功能，當帳戶發生交易時會通過信件或短訊通知用戶，如果有非本人授權的操作，開啟交易通知能讓你在第一時間止損。

6. 保持交易所 APP 更新：確保作業系統和應用程序持續更新，以避免因為漏洞而被攻擊。

OKX 交易所後續聲明

根據 OKX 交易所在 6 月 13 日聲明來看，本次案件可能非系統性的問題，而是個別案例，並且交易所將會依據原則賠付損失的用戶。

但無論如何，仍然建議大家開通身份驗證器保平安，只要對方沒有那動態生成的六個數字，大部分情況下都盜不了你！

延伸閱讀

沒事多追蹤，多追蹤沒事｜追蹤這些帳號讓你的加密貨幣資產更安全

幣放哪裡才安全？交易所 vs. 加密貨幣錢包｜安全性比較

你買的加密貨幣 SAFE 嗎？ 7 間台灣合法交易所牌照、合規現況、安全性盤點