Coinbase雙因子認(rèn)證系統(tǒng)存在漏洞致超6000用戶加密貨幣被盜。

　　Coinbase成立于2012年，美國比特幣和其他數(shù)字貨幣交易平臺(tái)。2021年4月14日，Coinbase在納斯達(dá)克成功上市。

　　據(jù)美國加利福尼亞州司法部公開的一份數(shù)據(jù)泄露通知信息顯示，Coinbase向用戶發(fā)送數(shù)據(jù)泄露通知信，稱其發(fā)現(xiàn)有第三方未經(jīng)授權(quán)獲得了Coinbase客戶賬號的訪問權(quán)限，并將客戶賬戶中的資金轉(zhuǎn)出Coinbase平臺(tái)，2021年3月——5月之間，有至少6000名Coinbase客戶的資金被轉(zhuǎn)出。

　　要成功將資金從Coinbase 賬戶轉(zhuǎn)出，攻擊者需要知道賬戶的用戶名、密碼以及與賬戶關(guān)聯(lián)的手機(jī)號，并成功繞過基于SMS的雙因子認(rèn)證。通過利用Coinbase雙因子認(rèn)證系統(tǒng)中賬號恢復(fù)過程中的漏洞，攻擊者可以提取基于SMS的雙因子認(rèn)證token。Coinbase發(fā)現(xiàn)了攻擊活動(dòng)后，馬上更新了基于SMS的賬戶恢復(fù)協(xié)議。

　　目前，Coinbase尚未確認(rèn)攻擊者是如何獲取以上信息的，初步懷疑是通過釣魚攻擊來獲取攻擊所需數(shù)據(jù)的，并排除了從Coinbase公司內(nèi)部竊取數(shù)據(jù)的可能，因?yàn)闆]有任何跡象表明數(shù)據(jù)來源于Coinbase內(nèi)部。

　　Coinbase稱會(huì)補(bǔ)償所有受影響的用戶，并已開始向他們發(fā)送補(bǔ)償款。