Coinbase双因子认证系统存在漏洞致超6000用户加密货币被盗。

Coinbase成立于2012年，美国比特币和其他数字货币交易平台。2021年4月14日，Coinbase在纳斯达克成功上市。

据美国加利福尼亚州司法部公开的一份数据泄露通知信息显示，Coinbase向用户发送数据泄露通知信，称其发现有第三方未经授权获得了Coinbase客户账号的访问权限，并将客户账户中的资金转出Coinbase平台，2021年3月——5月之间，有至少6000名Coinbase客户的资金被转出。

要成功将资金从Coinbase 账户转出，攻击者需要知道账户的用户名、密码以及与账户关联的手机号，并成功绕过基于SMS的双因子认证。通过利用Coinbase双因子认证系统中账号恢复过程中的漏洞，攻击者可以提取基于SMS的双因子认证token。Coinbase发现了攻击活动后，马上更新了基于SMS的账户恢复协议。

目前，Coinbase尚未确认攻击者是如何获取以上信息的，初步怀疑是通过钓鱼攻击来获取攻击所需数据的，并排除了从Coinbase公司内部窃取数据的可能，因为没有任何迹象表明数据来源于Coinbase内部。

Coinbase称会补偿所有受影响的用户，并已开始向他们发送补偿款。

本文翻译自：https://oag.ca.gov/system/files/09-24-2021%20Customer%20Notification.pdf及https://securityaffairs.co/wordpress/122846/hacking/coinbase-2fa-flaw.html如若转载，请注明原文地址。