今年早些时候，6,000 名 Coinbase 客户的账户资金被盗，可能是通过网络钓鱼攻击

主要亮点：

黑客从至少 6,000 名 Coinbase 客户那里窃取了资金

根据交易所发送给受影响用户的通知，今年 3 月至 5 月期间，至少有 6,000 名 Coinbase 加密货币交易所客户的账户资金被盗。

根据 Coinbase 的说法，黑客首先需要拥有受害者的 Coinbase 帐户密码和关联的电话号码，以及访问受害者的电子邮件帐户。 虽然目前还不清楚黑客是如何获得这些信息的，但 Coinbase 表示，他们“没有发现任何证据表明这些第三方是从 Coinbase 本身获得这些信息的”。

根据 Coinbase 的说法，受害者很可能通过网络钓鱼和其他形式的社会工程暴露了他们的密码和其他凭据。 例如，受害者可能被诱骗输入他们用来登录 Coinbase 的电子邮件地址和密码，进入冒充 Coinbase 的恶意网站。

由于双因素识别（2FA），即使上面列出的所有信息也不足以进入客户的 Coinbase 帐户。

这就是 Coinbase 承认错误的地方——该公司表示，其“短信账户恢复”流程存在缺陷，允许攻击者接收登录受害者账户所需的 2FA 身份验证令牌。

Coinbase 表示已更新其 SMS 帐户恢复协议，并将补偿在这些攻击中丢失资金的用户：

“我们将向您的账户存入相当于事件发生时从您账户中不当移除的货币价值的资金。”

通过 SMS 的 2FA 通常被视为安全性较低的 2FA 形式。 像 Google Authenticator 这样的 TOTP 解决方案和像 YubiKey 这样的硬件令牌提供了更高级别的安全性。 Coinbase 建议已通过 SMS 消息设置 2FA 的用户过渡到这些更安全的方法之一。 该交易所还表示，攻击的受害者应该更改与他们的 Coinbase 和电子邮件帐户相关的密码。

Coinbase 的一位发言人告诉 Decrypt，该公司没有提前披露这次攻击的原因之一是为了避免干扰执法调查：

“在采取正确的步骤以确保它不会成功重复并且不会损害执法调查的完整性之前，我们对公开披露攻击感到不舒服。”

—-

原文链接：https://coincodex.com/article/12524/6000-coinbase-customers-had-funds-stolen-from-their-accounts-earlier-this-year-likely-through-phishing-attacks/

原文作者：Peter Wind

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。