防止2025年中心化加密货币交易所账户接管攻击

账户接管（ATO）的现实威胁

想象一下，当你尝试登录中心化加密货币交易所（CEX）账户时，发现用户名和密码突然失效。即使使用密码管理器重复尝试，依然无法访问。此时你的心跳加速——这可能不仅仅是服务故障，而很可能是账户接管（ATO）攻击的受害者。

CEX平台的安全设计选择直接决定了用户资金的安全程度。由于不同平台的安全功能差异巨大且缺乏完整文档，用户往往不清楚如何根据自身威胁模型最佳配置账户安全设置。不支持防网络钓鱼的多因素认证（MFA）方法（如U2F硬件安全密钥），或者缺乏用户事件跟踪以在异常活动时触发"这是您吗？“的账户锁定提示，这些设计缺陷都为攻击者敞开了大门。

ATO攻击的严峻形势

当涉及加密货币欺诈时，人们通常会想到FTX崩溃、勒索诈骗或爱情骗局，但ATO是另一种因安全漏洞而常见的欺诈类型。在ATO攻击中，攻击者获取他人账户访问权限后，通过修改凭证将合法用户锁在门外。

2023年Sift Q3数字信任与安全指数显示，金融（包括加密货币）账户接管报告同比增长808%，而2024年Q3指数进一步表明自2023年以来所有行业的ATO攻击持续增加。

更令人担忧的是，并非所有平台都具备足够的日志记录和监控能力来及时检测ATO并提醒用户。Sift调查的受害者中，不到一半收到过数据泄露通知。除了损害用户对平台的信任外，如果用户未能及时获得适当通知（且未采取预防进一步滥用的措施），ATO可能给受害者带来巨大经济损失。2016年RAND关于消费者对数据泄露通知和个人信息丢失态度的调查显示，68%的受访者在财务信息泄露后遭受了中位数864美元的经济损失。

攻击者策略与机会

攻击者可以通过多种向量获得用户账户的初始访问权限。用户可能未能使用强密码和第二因素，使攻击者能够暴力破解密码或通过网络钓鱼获取凭证。即使用户充分利用了CEX提供的所有安全功能，平台本身可能也未能提供适当实施的安全控制。

如果平台仅支持安全性较低的非防钓鱼第二因素选项（如短信、移动认证应用或电子邮件），攻击者可以通过入侵电子邮件账户间接获得CEX访问权限。如果使用短信作为第二认证因素，攻击者可以通过SIM卡交换接收验证码。或者，如果CEX密码重置流程存在漏洞，攻击者可能完全绕过用户第二因素实现ATO。

避免灾难性后果

CEX（如同任何其他依赖型服务）需要利用强大的、相互交织的技术安全机制、流程和文档来保护自身和用户。ATO不仅威胁账户持有人的财务安全，还会削弱公众对特定CEX乃至更广泛的加密货币领域的信任。

我们的白皮书包含以下内容：

• 常见ATO攻击方法讨论
• 账户接管威胁场景中的系统参与者分析
• CEX平台可采取的可操作步骤以增强系统安全性并保护用户
• CEX可提供给最终用户的基本个人安全指南

延伸影响

用户资金损失可能不是立即发生的后果。攻击者可能利用CEX平台的安全漏洞窃取凭证或有效会话令牌进行出售。另一攻击者可能在暗网购买凭证或标识符数据集，并在多个平台上验证有效性，然后仅转售有效条目。这可能导致从初始账户入侵到实际使用被盗凭证进行购买或资金转移之间存在时间差。

阅读我们的完整白皮书了解更多信息。

想要了解更多关于安全使用加密货币或保护平台/dapp的信息？我们很乐意提供帮助。

如果您喜欢这篇文章，请分享至： Twitter | LinkedIn | GitHub | Mastodon | Hacker News