防止2025年中心化加密货币交易所账户接管

账户接管

当涉及加密货币欺诈的话题出现时，我们可能会想到FTX崩溃、勒索诈骗、恋爱诈骗，或者社交媒体上宣传的"投资机会"。账户接管（ATO）是另一种常见的欺诈类型，由于安全漏洞而发生，尽管为美国客户服务的CEX等金融机构必须保护用户信息免受未经授权的访问等危害。

在ATO中，攻击者获取他人账户的访问权限，然后通过更改访问凭据将合法账户所有者锁定在外。2023年，Sift Q3数字信任与安全指数披露，金融（包括加密货币）账户接管报告同比增长808%，而Sift 2024年第三季度指数报告显示，自2023年以来所有行业的ATO进一步增加。

ATO不仅变得越来越普遍，而且并非所有平台都有足够的日志记录和监控来在发生时检测并及时提醒用户。Sift调查的受害者中，不到一半收到任何数据丢失或泄露发生的通知。除了损害用户对平台的信任外，如果用户没有及时得到适当通知（并且没有采取防止未来进一步滥用的措施），ATO对受害者来说可能代价高昂。2016年RAND对消费者对数据泄露通知和个人信息丢失态度的调查包括一个严峻的统计数据：如果他们的财务信息被泄露，68%的受访者遭受了中位数864美元的财务损失。

攻击者策略和机会

攻击者可以通过多个向量获得用户账户的初始访问权限。在我们的白皮书中，我们涵盖了CEX平台必须积极防范的常见弱点。

例如，用户可能未能使用强密码和第二因素。也许攻击者可以暴力破解用户密码或通过网络钓鱼诱使用户交出凭据。但另一方面，用户可能已经利用了CEX提供的所有可用安全功能。平台可能根本没有提供用户保护账户和资金安全所需的适当实施的安全控制。

假设平台仅支持安全性较低的第二因素选项，如SMS、移动验证器应用或电子邮件，这些都不抗网络钓鱼。如果用户将其MFA代码发送到其电子邮件账户，攻击者可以入侵电子邮件账户，从而二次获得CEX账户访问权限。或者，如果SMS设置为目标CEX账户的第二认证因素，攻击者可以通过SIM卡交换用户的手机来接收其第二因素代码。或者，如果CEX密码重置流程可利用，攻击者可能利用它完全绕过用户的第二因素来实现ATO。

避免糟糕结果

CEX（就像任何其他依赖它的服务类型一样）需要利用强大、交织的技术安全机制、流程和文档来保护自己和用户。ATO不仅对账户持有人的财务安全构成威胁，还降低了公众对相关CEX以及更广泛的加密货币的信任。在Trail of Bits，我们相信知识是我们对抗ATO等威胁的最基本防御。我们的白皮书包括以下内容：

• 常见ATO攻击方法的讨论
• 账户接管威胁场景中常见的系统参与者
• CEX平台可以采取的可操作步骤，以增强其系统安全性并保护用户
• CEX可以提供给最终用户的基本个人安全指南

在我们的完整白皮书中阅读更多内容。

想了解更多关于如何安全使用加密货币，或如何保护您的平台或dapp？我们很乐意提供帮助。

用户资金的损失也可能不是直接结果。攻击者可能利用CEX平台中的安全漏洞窃取凭据或有效会话令牌进行出售。另一个攻击者可能在暗网上购买凭据或标识符数据集，并在多个平台上尝试验证它们，然后仅转售有效的条目。这可能导致从初始账户泄露到实际尝试使用被盗凭据购买东西或转移资金之间经过一段时间。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News