预防2025年中心化加密货币交易所的账户接管攻击

作者：Evan Sultanik, Kelly Kaoudis | 2025年2月5日
标签：区块链, 研究实践

本文重点介绍我们最新白皮书《预防中心化加密货币交易所账户接管》的核心内容，该白皮书专门针对CEX（中心化交易所）记录了ATO（账户接管）相关攻击向量和防御措施。

账户接管的现实威胁

试想登录中心化加密货币交易所账户时，发现用户名密码突然失效。即使使用密码管理器重复尝试，依然无法访问——此时很可能已成为ATO攻击的受害者。CEX的安全设计直接决定用户资产保障程度，但由于不同平台安全功能差异较大且缺乏文档说明，用户往往难以根据自身威胁模型进行最优配置。

平台安全设计缺陷

许多平台存在关键安全缺陷：

• 不支持防钓鱼多因素认证（如U2F硬件安全密钥）
• 缺乏用户事件追踪机制，无法在异常活动时触发"是否为您本人操作"的应用内锁定提示
• 仅提供低安全性二次验证选项（SMS、移动认证应用或邮箱）

攻击向量分析

攻击者通过多种途径获取初始访问权限：

1. 弱密码与二次验证缺失：通过暴力破解或钓鱼攻击获取凭证
2. 邮箱链式攻击：通过攻破邮箱账户间接获取CEX账户访问权
3. SIM卡交换攻击：拦截SMS验证码实现二次验证绕过
4. 密码重置流程漏洞：利用可被攻击的重置流程完全绕过二次验证

行业数据警示

根据Sift季度数字信任与安全指数报告：

• 2023年金融（含加密）账户接管攻击同比增长808%
• 2024年第三季度全行业ATO攻击较2023年持续上升
• 仅不到半数受害者能及时收到数据泄露通知

多层次防御方案

白皮书提出可操作的安全增强措施：

1. 技术机制：实施防钓鱼MFA、实时异常检测系统
2. 流程优化：建立标准化事件响应与用户通知协议
3. 文档规范：明确安全功能说明与用户配置指南
4. 终端用户教育：提供基础个人信息安全指导

延伸风险警示

账户接管不仅导致直接资金损失，攻击者还可能：

• 利用CEX平台安全缺陷窃取凭证或有效会话令牌进行贩卖
• 通过暗网购买凭证数据集进行跨平台验证后转售有效条目
• 从初始账户入侵到实际资金转移存在时间延迟，增加检测难度

完整技术细节与实施框架请参阅我们的白皮书全文。