预防2025年中心化加密货币交易所账户接管攻击 - Trail of Bits博客

账户接管

想象一下尝试登录您的中心化加密货币交易所（CEX）账户时，用户名和密码突然失效。即使使用密码管理器重复尝试仍无法登录，这时您的心率可能会加速。虽然可能是服务中断导致（但愿如此），但更可能的是您成为了账户接管（ATO）攻击的受害者。

CEX的安全功能选择决定了用户能否有效保护资金安全。由于不同平台的安全功能存在差异且缺乏完整文档，用户往往不清楚如何根据自身威胁模型进行最佳配置。例如，不支持U2F硬件安全密钥等防网络钓鱼的多因素认证（MFA）方法，或不跟踪用户事件以在异常时推送应用内"是您本人吗？“账户锁定提示，这些设计选择都为攻击者打开了大门。

攻击者策略与机会

攻击者可通过多种途径获取用户账户的初始访问权限。在我们的白皮书中，我们详细讨论了CEX平台必须积极防范的常见弱点。

用户可能未能使用强密码和第二因素认证，使得攻击者能够暴力破解密码或通过网络钓鱼获取凭证。即使用户已启用所有可用安全功能，平台本身可能未提供适当实施的安全控制措施。

如果平台仅支持安全性较低的非防钓鱼第二因素选项（如短信、移动认证应用或电子邮件），攻击者可通过入侵邮箱账户间接获取CEX访问权限。若使用短信作为第二因素，攻击者可进行SIM卡交换接收验证码。此外，如果CEX密码重置流程存在漏洞，攻击者可能完全绕过第二因素直接实现账户接管。

避免严重后果

CEX（如同任何其他依赖型服务）需要采用强大的、相互关联的技术安全机制、流程和文档来保护自身和用户。ATO不仅威胁账户持有人的财务安全，还会削弱公众对特定CEX乃至整个加密货币领域的信任。

在Trail of Bits，我们相信知识是对抗ATO等威胁的最基本防御手段。我们的白皮书包含：

• 常见ATO攻击方法讨论
• 账户接管威胁场景中的系统参与者分析
• CEX平台可采取的具体安全增强措施
• 面向最终用户的基础个人安全指南

阅读完整白皮书获取更多信息。

如果您喜欢本文，请分享至：Twitter、LinkedIn、GitHub、Mastodon、Hacker News

© 2025 Trail of Bits. 使用Hugo和Mainroad主题生成。