Coinbase雙因子認證系統(tǒng)存在漏洞致超6000用戶加密貨幣被盜。

　　Coinbase成立于2012年，美國比特幣和其他數(shù)字貨幣交易平臺。2021年4月14日，Coinbase在納斯達克成功上市。

　　據(jù)美國加利福尼亞州司法部公開的一份數(shù)據(jù)泄露通知信息顯示，Coinbase向用戶發(fā)送數(shù)據(jù)泄露通知信，稱其發(fā)現(xiàn)有第三方未經(jīng)授權獲得了Coinbase客戶賬號的訪問權限，并將客戶賬戶中的資金轉(zhuǎn)出Coinbase平臺，2021年3月——5月之間，有至少6000名Coinbase客戶的資金被轉(zhuǎn)出。

　　要成功將資金從Coinbase 賬戶轉(zhuǎn)出，攻擊者需要知道賬戶的用戶名、密碼以及與賬戶關聯(lián)的手機號，并成功繞過基于SMS的雙因子認證。通過利用Coinbase雙因子認證系統(tǒng)中賬號恢復過程中的漏洞，攻擊者可以提取基于SMS的雙因子認證token。Coinbase發(fā)現(xiàn)了攻擊活動后，馬上更新了基于SMS的賬戶恢復協(xié)議。

　　目前，Coinbase尚未確認攻擊者是如何獲取以上信息的，初步懷疑是通過釣魚攻擊來獲取攻擊所需數(shù)據(jù)的，并排除了從Coinbase公司內(nèi)部竊取數(shù)據(jù)的可能，因為沒有任何跡象表明數(shù)據(jù)來源于Coinbase內(nèi)部。

　　Coinbase稱會補償所有受影響的用戶，并已開始向他們發(fā)送補償款。