Криптовалютная биржа OKX и блокчейн-компания по безопасности CertiK раскрыли критическую уязвимость в кошельке OKX для iOS, что вызвало немедленные призывы к пользователям обновить свои приложения.
Объявление от 19 декабря вызвало споры по поводу сроков раскрытия, поскольку растут опасения по поводу потенциальной компрометации пользовательских данных и криптоактивов.
Информация опубликована в Twitter /X:
“Внимание! Мы настоятельно призываем пользователей OKX wallets немедленно обновить свое приложение для iOS до последней версии. Ранее в этом месяце мы выявили уязвимость критического удаленного выполнения кода (RCE) в приложении OKX для iOS и сообщили о ней, приводящую к потенциальной компрометации конфиденциальных данных и криптоактивов.“
В отдельном сообщении OKX подтвердила, что внедрила обновление, которое устранило проблему. В нем утверждалось, что ошибка не повлияла на средства клиентов.
Проблема, похоже, не связана с более ранней атакой на агрегатор децентрализованных бирж OKX (DEX), которая привела к убыткам в размере 2,7 миллиона долларов примерно 12 декабря.
Быстрое раскрытие информации вызывает споры
Быстрое раскрытие CertiK подверглось критике со стороны руководителя MetaMask Тэй Монахан, которая отметила риск раскрытия проблемы в день выпуска исправления. Она написала:
“Подождите, подождите, подождите, подождите, подождите" … Сколько времени требуется базе пользователей [OKX], чтобы исторически обновить большинство? Например, требуется время для развертывания обновлений. Прошло несколько недель, месяцев. И все же вы сообщаете о существовании [уязвимости], которая может отозвать всех пользователей удаленно В ДЕНЬ? ”
Кроме того, отсутствует ясность относительно даты выпуска исправления. В то время как CertiK сообщил, что соответствующее обновление было развернуто сегодня в обновлении (которое iOS App Store идентифицирует как версию 6.46.0), OKX сказал, что обновление было развернуто в версии 6.45.0 (которая была выпущена 11 декабря). Подробности в App Store Store не указывают, какое обновление на самом деле содержит исправление.
Несмотря на это, ошибка была обнаружена не более чем через восемь дней после выпуска исправления, в результате чего пользователи, которые не обновили его немедленно, подвергаются риску.
" 
