SlowMist, OKX Web3 cüzdanında kritik bir güvenlik açığı bulamadı

Blockchain güvenlik firması SlowMist, OKX'in Web3 cüzdanı hakkında yeni bir değerlendirme yayınladı. Yapılan incelemede, denetlenen versiyonun özel anahtarları veya anımsatıcı ifadeleri harici sunuculara iletmediği ve analizlerinde "herhangi bir hassas veri sızıntı riski" tespit edilmediği sonucuna varıldı. OKX'in kendi güvenlik dokümanına göre, cüzdanın temel sistemi, kullanıcının anımsatıcı ve özel anahtar bilgilerinin tamamının şifrelenerek kullanıcının cihazında yerel olarak saklanmasını sağlayacak şekilde tasarlanmıştır. Bu durum, kendi kendine emanet modelini güçlendirmektedir.

Bu bulgular, sektör genelinde cüzdan güvenliği endişelerinin artması ve kötü niyetli bir BOM uygulamasının, kullanıcıların anahtarlarını çalarak en az 13.000 kripto cüzdanından 1.82 milyon dolardan fazla para çalmasından sadece birkaç ay sonra geldi. SlowMist, güvenlik ekibinin, OKX Wallet'in kodunu ve trafiğini incelemek için, saldırganların bakış açısından manuel incelemeler ve otomatik araçların bir karışımını kullandığını belirtti. Bu, Binance tarafından Şubat 2026'ın başlarında X'te duyurulan Binance Wallet'ın kapsamlı bir denetiminde kullandığı metodolojiye benzerdi.

OKX'in kurucusu ve CEO'su Star Xu, son cüzdan olaylarının, OKX Web3 cüzdanının kendisindeki kusurlardan ziyade, tehlikeye girmiş kullanıcı cihazlarından kaynaklandığını defalarca savundu. Star, özel anahtarların ve parolaların yalnızca kullanıcı cihazlarında saklandığını ve bu nedenle uç nokta güvenliğinin kritik öneme sahip olduğunu vurguladı. OKX ayrıca, Web3 yığınının CertiK, Hacken ve SlowMist gibi firmalar tarafından denetlendiğini ve bir hata ödül programı aracılığıyla güçlendirildiğini, üçüncü taraf incelemelerinin çok katmanlı bir savunma stratejisinin parçası olduğunu belirtti.

SlowMist, kullanıcıların Truva atı uygulamaları yüklemesi veya aşırı izinler vermesi durumunda, iyi tasarlanmış cüzdanların bile savunmasız hale gelebileceği konusunda uyardı. Bu durum, saldırganların "medya dosyalarını taramasına ve toplamasına" ve anımsatıcı ifadeleri veya anahtar yedeklemelerini çalmasına olanak tanır. OKX ve SlowMist, kullanıcıları, tohum ifadelerini ekran görüntüleri, fotoğraflar veya bulut hizmetleri aracılığıyla saklamaktan kaçınmaya ve bunun yerine kağıt yedeklemeler veya donanım cüzdanları gibi çevrimdışı yöntemlere güvenmeye çağırdı.

Sonuç olarak, OKX Wallet değerlendirmesi, bir garanti olmaktan ziyade bir güven sinyali olarak değerlendirilmektedir. Altyapı denetimlerinin ve kendi kendine emanet tasarımlarının, kullanıcı tarafında temel operasyonel güvenlikle eşleştirilmesi gerektiğinin altını çizmektedir. SlowMist'in daha geniş analizi, sahte cüzdanların, tehlikeye girmiş cihazların ve sosyal mühendisliğin, saldırganların en güçlü cüzdan mimarilerini bile istismar edilebilir zayıf noktalara dönüştürmeleri için en etkili yöntemler arasında olduğunu göstermektedir.