作者：DilationEffect、吳說區塊鏈

分析交易所的安全防護水平並不容易，因爲很難了解到交易所內部的具體安全投入情況。 前期選取了智能合約授權這一獨特維度對行業 TOP 交易所和機構的主要錢包地址做過分析，及時披露了發現的問題。這次我們嘗試站在攻擊者和用戶的角度，來分析這些主流交易所的账戶安全機制，因爲這直接影響到具體用戶的資金安全。

一、主流交易所账戶密碼泄露情況

嘗試通過公开的數據泄露匯集搜索網站（數據來源包括暗網、文件共享平台、歷史上泄露的账戶數據集等）來對主流交易所的相關域名進行篩選，你要知道，攻擊者也會做同樣的動作。

首先搜索 Binance.com，發現返回了 8000余條账戶和密碼的明文數據！我們摘取部分片段作爲示例：

從這些數據中隨機挑選一些進行登錄嘗試，發現不少的账戶和密碼是完全正確的，嘗試登錄後居然可以直接進入到下一步的二次驗證階段，比如這個 mar***@gmail.com 账戶：

這時如果此用戶郵箱的账號和密碼也跟交易所的登錄郵箱账號/登錄密碼相同，那攻擊者就可以直接獲取二次驗證的郵箱驗證碼，從而登錄用戶的 Binance 账戶。是不是相當炸裂？當然值得特別強調的是，我們的驗證嘗試到此爲止，並沒有做後續的動作。

初步統計了十余家主流交易所的账戶密碼泄露情況，每一家都有數千條的泄露記錄。具體數量級別如下表格所示：

多少有點觸目驚心的感覺。

由於時間有限，並沒有一條條去檢查這些账戶密碼的准確性，但通過對數據做隨機挑選，我們發現每個交易所泄露的账戶密碼裏都存在正確的账戶和密碼，初步估計平均的正確比例在 10%~20%左右。

账戶和密碼泄露並不會直接導致用戶資金受損，因爲交易所都提供了額外的 2FA 機制。但如果用戶自己沒有做好完善的設置，依然會存在資金被盜風險，比如用戶只啓用了郵箱驗證碼做驗證，又或者用戶的其它認證因素被攻擊。

那接下來我們繼續分析目前主流 2FA 二次驗證機制的安全強度。

二、常見二次驗證機制的安全性對比

首先給出各種二次驗證因素的安全等級對比結論：

認爲普通的用戶郵箱是一種安全性比較脆弱的產品，郵箱驗證碼不是穩定的安全校驗因素。時至今日，如果用戶還僅僅設置郵箱驗證碼作爲 2FA，那么可以認爲這個账戶的安全性爲零。應該要認識到，歷史上各大互聯網服務廠商被攻擊導致大批量的用戶名/密碼泄露，同時郵箱服務商也存在潛在的未知漏洞，這都導致大量用戶的郵箱處於不安全狀態。綜合來看，郵箱驗證碼的安全性是很低的。

短信驗證碼同樣面臨很多的攻擊場景。比如定向攻擊場景裏的僞基站攻擊，如果某個高價值用戶被盯上，攻擊者可以在此用戶附近部署僞基站來劫持其短信。再比如現在風頭正勁的 Lapsus$黑客組織喜歡實施的 SIM Swapping 攻擊。SIM Swapping 攻擊簡單來說就是通過社會工程學方式冒充用戶將 SIM 卡轉移到攻擊者名下。尤其是隨着 eSIM 的出現，攻擊者可以在线完成申辦和开通，讓攻擊變得更加容易。Twitter 創始人 Jack Dorsey 的 twitter 账號曾經就被這種方式攻擊過。另外就是運營商合法監聽的問題，這種場景就不展开講了，懂得都懂。所以短信驗證碼的安全等級也是比較低的。

TOTP 和 Security Key 面臨的威脅則會少很多。建議廣大用戶至少能將 Google Authenticator 作爲必須开啓的基本安全設置，對安全等級要求更高的用戶可以設置物理 Ukey。如果僅僅設置了郵箱驗證碼或者短信驗證碼，那你的账戶被攻擊是早晚的事了。

另外，現在一些交易所已經开始支持通行密鑰，這是一種用戶替代傳統密碼的強安全機制，建議用戶能逐步熟悉使用。

三、給交易所的建議

交易所要馬上啓動應急響應流程，對用戶账戶密碼的泄露情況展开排查，引導受影響用戶更改密碼、完善账戶安全設置。同時日常要主動監控用戶的账戶密碼泄露情況。

我們建議交易所能採取 Secure by default 的設計思路，爲用戶的账戶安全多考慮一些，讓用戶完成安全設置後账戶就能處於相對安全的狀態。一些可以參考的設計原則是，用戶必須完成 Google Authenticator 的綁定才算滿足了安全基准，那么在用戶注冊時盡最大可能來引導用戶完成設置，同時完成了設置後才能進行包括提幣在內的敏感操作。

四、給普通用戶的建議

對網絡安全抱有敬畏心理。攻擊者是勤奮的，而廣大用戶對網絡安全的理解是相對匱乏的。包括V神前些天的推特账號不就被 hacked 了么。用戶不能因爲圖一時提幣方便，就忽視了自己的账戶安全設置，在被攻擊之後往往又追悔莫及。所以，給自己的账戶至少綁定上 Google Authenticator 吧。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。