2025年防止中心化加密货币交易所上的账户盗用

Trail of Bits
发布于 2025-02-06 11:28
阅读 17

该博客文章重点介绍了新的白皮书《防止中心化加密货币交易所上的账户盗用》中的关键点，该白皮书记录了专门针对 CEX 的 ATO 相关攻击媒介和防御措施。文章讨论了攻击者如何利用 CEX 的安全漏洞盗取用户账户，并介绍了CEX应该采取哪些安全措施来保护用户账户和资金安全，包括加强技术安全机制、流程和文档。

这篇博文重点介绍了我们新的白皮书《**防止中心化加密货币交易所上的账户接管**》(https://resources.trailofbits.com/hubfs/Resources/trailofbits-20250205-account-takeover-recommended-practices.pdf)中的关键点，该白皮书记录了专门针对 CEX 的与 ATO 相关的攻击向量和防御措施。

想象一下，你尝试登录你的中心化加密货币交易所 (CEX) 帐户，但你的密码和用户名就是...不起作用。你再次尝试。同样的问题。此时你的心率略微加快，特别是由于你正在使用密码管理器。也许服务中断是唯一的原因（敲木头），并且你的密码会在修复后立即再次生效？但你越来越有可能成为帐户接管 (ATO) 的受害者。

CEX 的选择决定了使用它们的人如何（或是否）能够保护他们的资金。由于平台之间的帐户安全功能各不相同，并且并非总是记录在案，因此用户可能不知道该期望什么，也不知道如何为自己的个人威胁模型最佳地配置自己的帐户。像不支持 [防网络钓鱼](https://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf) 的多因素身份验证（[MFA](https://www.ecfr.gov/current/title-16/chapter-I/subchapter-C/part-314/section-314.4#:~:text=Implement%20multi%2Dfactor%20authentication%20for%20any%20individual%20accessing%20any%20information%20system)）方法（如 [U2F 硬件安全密钥](https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html#:~:text=In%20fact%2C%20zero%20users%20that%20exclusively%20use%20security%20keys%20fell%20victim%20to%20targeted%20phishing%20during%20our%20investigation.)），或者不跟踪用户事件以推送应用内“ [这是你吗？](https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html#:~:text=Here%E2%80%99s%20how%20it%20works%3A%20if%20we%20detect%20a%20suspicious%20sign%2Din%20attempt%20(say%2C%20from%20a%20new%20location%20or%20device)%2C%20we%E2%80%99ll%20ask%20for%20additional%20proof%20that%20it%E2%80%99s%20really%20you.%20This%20proof%20might%20be%20confirming%20you%20have%20access%20to%20a%20trusted%20phone%20or%20answering%20a%20question%20where%20only%20you%20know%20the%20correct%20response.)”帐户锁定提示等设计选择，都会邀请攻击者进入。

我们白皮书的目标是告知和使 CEX 能够为其用户提供[安全设计](https://www.cisa.gov/sites/default/files/2023-10/SecureByDesign_1025_508c.pdf)平台。高管可以获得用户帐户接管中涉及的漏洞和实体的高级概述。我们建议一组重叠的安全控制措施，他们可以将这些措施带给团队负责人和技术产品经理，以检查并优先考虑（如果尚未实施）。安全工程师和软件工程师也可以将我们的工作作为参考，了解不集成、维护和记录适当的 ATO 缓解措施的风险。

### 帐户接管

当涉及到涉及加密货币的欺诈话题时，我们可能会想到 [FTX 崩盘](https://apnews.com/article/sam-bankman-fried-ftx-cryptocurrency-sentencing-sbf-d7bb1a5e94b4c22039d74dfeab1a2ff1#:~:text=Prosecutors%20said%20tens,and%20live%20lavishly.)、[勒索骗局](https://www.cbsnews.com/minnesota/news/home-image-email-extortion-scam/)、[爱情骗局](https://darknetdiaries.com/transcript/141/#:~:text=She%20was%20the%20victim%20of%20a%20scam%20known%20as%20pig%20butchering.%20A%20scammer%20pretends%20to%20be%20looking%20for%20love%20online.%20They%20find%20a%20love%20interest%2C%20casually%20encourage%20them%20to%20invent%20in%20crypto%20via%20a%20fake%20app%2C%20but%20eventually%20they%20can%E2%80%99t%20access%20the%20money%20at%20all.%20The%20money%20is%20gone.%20The%20investments%3F%20Not%20real.)，或者可能是宣传“ [投资机会](https://www.cftc.gov/LearnAndProtect/AdvisoriesAndArticles/watch_out_for_digital_fraud.html#:~:text=In%20some%20cases%2C%20the%20fraudsters%20claim%20to%20invest%20customers%E2%80%99%20funds%20in%20proprietary%20crypto%20trading%20systems%20or%20in%20%E2%80%9Cmining%E2%80%9D%20farms.)”的[社交媒体帖子](https://www.ftc.gov/news-events/data-visualizations/data-spotlight/2022/06/reports-show-scammers-cashing-crypto-craze#:~:text=Nearly%20half%20the%20people%20who%20reported%20losing%20crypto%20to%20a%20scam%20since%202021%20said%20it%20started%20with%20an%20ad%2C%20post%2C%20or%20message%20on%20a%20social%20media%20platform.)。ATO 是另一种常见的欺诈类型，由于安全故障而发生，即使像 CEX 这样为美国客户提供服务的[金融机构](https://www.ftc.gov/business-guidance/resources/ftc-safeguards-rule-what-your-business-needs-know#Financial_institution) 必须保护其用户的信息免受（除其他危害外）[未经授权的访问](https://www.ecfr.gov/current/title-16/chapter-I/subchapter-C/part-314#:~:text=Protect%20against%20unauthorized%20access%20to%20or%20use%20of%20such%20information%20that%20could%20result%20in%20substantial%20harm%20or%20inconvenience%20to%20any%20customer.)。

在 ATO 中，攻击者获得对他人帐户的访问权限，然后通过更改访问凭据将合法的帐户所有者锁定在帐户之外。2023 年，Sift Q3 数字信任和安全指数披露了金融（包括加密货币）帐户接管报告[同比增长 808%](https://pages.sift.com/rs/526-PCC-974/images/Sift-2023-Q3-Index-Report_ATO.pdf#page=2&search=crypto)，而 Sift Q3 2024 指数报告称，自 2023 年以来，所有行业的 ATO [进一步](https://sift.com/index-reports-account-takeover-fraud-q3-2024?aliId=eyJpIjoiU3QxV1BmVFZ5aXFKcjh2WSIsInQiOiJXRUxtbDFycXdjTVdndERJcVd3VndRPT0ifQ%25253D%25253D#:~:text=The%20average%20ATO%20attack%20rate%20saw%20a%20significant%2024%25%20increase%20across%20the%20Sift%20Global%20Network%20in%20Q2%202024%20compared%20to%20the%20same%20period%20in%202023%2C%20rising%20from%202.9%25%20to%203.6%25.) 增加。

不仅 ATO 变得越来越普遍，而且并非所有平台都具有足够的日志记录和[监控](https://dl.acm.org/doi/pdf/10.1145/3342220.3343651?casa_token=lMFUEleafPEAAAAA:5_XUL2raCe3Fc2lrBqTayEsxKbHYwHwaSPTb6FxOJVDSQuQV4zCXxXvWeM2lnVOhaLNpzMBrPvwU)来检测 ATO 的发生并及时提醒用户。Sift [调查](https://pages.sift.com/rs/526-PCC-974/images/Sift-2023-Q3-Index-Report_ATO.pdf#page=5&search=%22notified%20by%20the%20company%20that%20their%20information%20had%20been%20compromised%22)的受害者中，只有不到一半的人被告知发生了任何数据丢失或泄露。除了损害用户对平台的信任之外，如果用户没有得到快速和适当的通知（并且没有采取措施防止进一步未来的滥用），ATO 可能会给受害者带来高昂的代价。兰德公司 2016 年对消费者对数据泄露通知和个人信息丢失的态度进行的一项调查包括一个严峻的统计数据，如果其财务信息泄露，68% 的受访者遭受了[864 美元的中位数财务损失](https://www.rand.org/content/dam/rand/pubs/research_reports/RR1100/RR1187/RAND_RR1187.pdf#page=12)1。

### 攻击者的策略和机会

攻击者可以通过多种途径获得对用户帐户的初始访问权限。在我们的白皮书中，我们涵盖了 CEX 平台必须积极防范的常见弱点。

例如，用户可能未能使用强密码和第二因素。也许攻击者可以暴力破解用户密码或通过网络钓鱼诱骗用户放弃其凭据。但另一方面，用户可能已经利用了 CEX 提供的所有可用安全功能。该平台可能根本没有提供适当实施的[安全控制](https://www.forbes.com/councils/forbestechcouncil/2019/05/08/five-hard-truths-about-crypto-exchange-risks/#:~:text=Over%20the%20last%20five%20years%2C%20hackers%20have%20proved%20they%20can%20steal%20millions%20without%20hacking%20your%20cold%20wallet%20provided%20they%20can%20hack%20your%20exchange.)，而用户需要这些控制来确保其帐户和资金的安全。

假设该平台仅支持[不太安全](https://www.eff.org/deeplinks/2017/09/guide-common-types-two-factor-authentication-web#:~:text=It%20is%20actually,identity%20for%20tracking.)的第二因素选项，例如 SMS、移动身份验证器应用程序或电子邮件。如果用户将其 MFA 代码发送到其电子邮件帐户，则攻击者可以[入侵该电子邮件帐户](https://publications.cispa.de/articles/journal_contribution/Lost_and_not_Found_An_Investigation_of_Recovery_Methods_for_Multi-Factor_Authentication_/25186640/1?file=44465855#:~:text=We%20find%20that%20many%20websites%20deploy%20insecure%20Multi%2DFactor%20Au,accounts%E2%80%99%20associated%20email%20addresses)以辅助获得 CEX 帐户访问权限。或者，如果 SMS 设置为目标 CEX 帐户的第二身份验证因素，则攻击者[可以 SIM 卡交换](https://www.usenix.org/system/files/soups2020-lee.pdf#page=2&search=%22They%20have%20been%20widely%20used%20to%20hack%20into%20social%20media%20accounts,%20steal%20cryptocurrencies,%20and%20break%20into%20bank%20accounts%22)用户的手机以接收其第二因素代码。或者，如果 CEX 密码重置流程可被利用，则攻击者或许可以利用它来绕过需要用户第二因素才能实现 ATO 的情况。

### 避免可怕的结果

CEX（就像任何其他依赖它的服务一样）需要利用强大的、相互交织的技术安全机制、流程和文档来保护自己及其用户。ATO 不仅对帐户持有人的财务安全构成威胁，还会降低公众对相关 CEX 和更广泛的加密货币的信任。在 Trail of Bits，我们认为知识是我们抵御像 ATO 这样的威胁的最根本防御。我们的白皮书包括以下内容：

- 讨论常见的 ATO 攻击方法
- 帐户接管威胁场景中常见的系统参与者
- CEX 平台可以采取的可行步骤，以增强其系统的安全性并保护其用户
- CEX 可以向其最终用户提供的基本个人安全指南

在我们的[完整白皮书](https://resources.trailofbits.com/hubfs/Resources/trailofbits-20250205-account-takeover-recommended-practices.pdf)中阅读更多内容。

想了解更多关于如何安全使用加密货币，或如何保护你的平台或 dapp 吗？我们很[乐意提供帮助](https://www.trailofbits.com/contact/)。

1 用户资金的损失也可能不是[直接的结果](https://www.forbes.com/councils/forbestechcouncil/2022/03/17/the-phases-of-account-takeover-attacks-and-how-to-stop-them/#:~:text=An%20ATO%20often,over%20additional%20accounts.)。攻击者可能会利用 CEX 平台中的安全漏洞来泄露凭据或有效的会话Token[进行出售](https://www.forbes.com/councils/forbestechcouncil/2022/03/17/the-phases-of-account-takeover-attacks-and-how-to-stop-them/#:~:text=To%20capture%20that%20value%2C%20attackers%20traverse%20an%20entire%20life%20cycle%20that%20goes%20from%20stealing%20credentials%20to%20validating%20them%2C%20to%20using%20them%20to%20take%20over%20accounts%2C%20to%20committing%20post%2Dlogin%20fraud%20and%20then%20doing%20it%20all%20over%20again.)。另一个攻击者可能会在暗网上购买凭据数据集或[标识符](https://www.usenix.org/system/files/usenixsecurity23-sanchez-rola.pdf)，并尝试针对多个平台验证它们，然后再转售有效的条目。这可能会导致从初始帐户泄露到实际尝试使用被盗凭据购买东西或转移资金之间经过一段时间。

>- 原文链接： [blog.trailofbits.com/202...](https://blog.trailofbits.com/2025/02/05/preventing-account-takeover-on-centralized-cryptocurrency-exchanges-in-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

这篇博文重点介绍了我们新的白皮书《防止中心化加密货币交易所上的账户接管》(https://resources.trailofbits.com/hubfs/Resources/trailofbits-20250205-account-takeover-recommended-practices.pdf)中的关键点，该白皮书记录了专门针对 CEX 的与 ATO 相关的攻击向量和防御措施。

CEX 的选择决定了使用它们的人如何（或是否）能够保护他们的资金。由于平台之间的帐户安全功能各不相同，并且并非总是记录在案，因此用户可能不知道该期望什么，也不知道如何为自己的个人威胁模型最佳地配置自己的帐户。像不支持防网络钓鱼的多因素身份验证（MFA）方法（如 U2F 硬件安全密钥），或者不跟踪用户事件以推送应用内“ 这是你吗？”帐户锁定提示等设计选择，都会邀请攻击者进入。

我们白皮书的目标是告知和使 CEX 能够为其用户提供安全设计平台。高管可以获得用户帐户接管中涉及的漏洞和实体的高级概述。我们建议一组重叠的安全控制措施，他们可以将这些措施带给团队负责人和技术产品经理，以检查并优先考虑（如果尚未实施）。安全工程师和软件工程师也可以将我们的工作作为参考，了解不集成、维护和记录适当的 ATO 缓解措施的风险。

帐户接管

当涉及到涉及加密货币的欺诈话题时，我们可能会想到 FTX 崩盘、勒索骗局、爱情骗局，或者可能是宣传“ 投资机会”的社交媒体帖子。ATO 是另一种常见的欺诈类型，由于安全故障而发生，即使像 CEX 这样为美国客户提供服务的金融机构必须保护其用户的信息免受（除其他危害外）未经授权的访问。

在 ATO 中，攻击者获得对他人帐户的访问权限，然后通过更改访问凭据将合法的帐户所有者锁定在帐户之外。2023 年，Sift Q3 数字信任和安全指数披露了金融（包括加密货币）帐户接管报告同比增长 808%，而 Sift Q3 2024 指数报告称，自 2023 年以来，所有行业的 ATO 进一步增加。

不仅 ATO 变得越来越普遍，而且并非所有平台都具有足够的日志记录和监控来检测 ATO 的发生并及时提醒用户。Sift 调查的受害者中，只有不到一半的人被告知发生了任何数据丢失或泄露。除了损害用户对平台的信任之外，如果用户没有得到快速和适当的通知（并且没有采取措施防止进一步未来的滥用），ATO 可能会给受害者带来高昂的代价。兰德公司 2016 年对消费者对数据泄露通知和个人信息丢失的态度进行的一项调查包括一个严峻的统计数据，如果其财务信息泄露，68% 的受访者遭受了864 美元的中位数财务损失1。

攻击者的策略和机会

攻击者可以通过多种途径获得对用户帐户的初始访问权限。在我们的白皮书中，我们涵盖了 CEX 平台必须积极防范的常见弱点。

例如，用户可能未能使用强密码和第二因素。也许攻击者可以暴力破解用户密码或通过网络钓鱼诱骗用户放弃其凭据。但另一方面，用户可能已经利用了 CEX 提供的所有可用安全功能。该平台可能根本没有提供适当实施的安全控制，而用户需要这些控制来确保其帐户和资金的安全。

假设该平台仅支持不太安全的第二因素选项，例如 SMS、移动身份验证器应用程序或电子邮件。如果用户将其 MFA 代码发送到其电子邮件帐户，则攻击者可以入侵该电子邮件帐户以辅助获得 CEX 帐户访问权限。或者，如果 SMS 设置为目标 CEX 帐户的第二身份验证因素，则攻击者可以 SIM 卡交换用户的手机以接收其第二因素代码。或者，如果 CEX 密码重置流程可被利用，则攻击者或许可以利用它来绕过需要用户第二因素才能实现 ATO 的情况。

避免可怕的结果

讨论常见的 ATO 攻击方法
帐户接管威胁场景中常见的系统参与者
CEX 平台可以采取的可行步骤，以增强其系统的安全性并保护其用户
CEX 可以向其最终用户提供的基本个人安全指南

在我们的完整白皮书中阅读更多内容。

想了解更多关于如何安全使用加密货币，或如何保护你的平台或 dapp 吗？我们很乐意提供帮助。

1 用户资金的损失也可能不是直接的结果。攻击者可能会利用 CEX 平台中的安全漏洞来泄露凭据或有效的会话Token进行出售。另一个攻击者可能会在暗网上购买凭据数据集或标识符，并尝试针对多个平台验证它们，然后再转售有效的条目。这可能会导致从初始帐户泄露到实际尝试使用被盗凭据购买东西或转移资金之间经过一段时间。

原文链接： blog.trailofbits.com/202...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

翻译
学分: 0
分类: 安全
标签: 账户盗用中心化加密货币交易所安全控制多因素身份验证网络钓鱼 SIM卡交换

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

2025年防止中心化加密货币交易所上的账户盗用

帐户接管

攻击者的策略和机会

避免可怕的结果

0 条评论

文章目录