骗子在加密货币中获得数百万美元，绕过 MFA

本周早些时候，在线加密货币交易平台 Crypto.com 宣布损失超过 3400 万美元的现金、ETH 和 BTC 混合金额。归根结底，在黑客回避了平台的多因素身份验证后，盗窃成为可能。

上周末，一些 Crypto.com 用户抱怨他们的账户被通货紧缩并且货币被盗。该平台最初承认了一些用户账户上的“可疑活动”报告，但也表示加密是“安全的”。

近 500 个用户帐户被耗尽

该声明最终改为 Crypto.com，承认恶意行为者从数百个用户帐户中窃取了数百万美元。近 5000 个 ETH 和不到 450 个 BTC 被非法提取。在攻击中被破坏的用户帐户总数刚刚超过 480 个。

更重要的是，该平台还表示，所有受非法提款影响的人都已全额报销。

部分平台的官方披露与类似案件的惯例一致。 Crypto.com 在受影响的用户帐户上检测到“未经授权的活动”，交易在没有用户输入任何多因素身份验证的情况下被推送。提款在平台范围内停止，直到问题得到解决。

平台完全重做 MFA

为了解决 MFA 问题，该平台已宣布将身份验证转移到全新的基础设施中，并且所有以前存在的 MFA 令牌都已被撤销以避免进一步的问题。 Crypto.com 已表示，它正在转向所谓的全球账户保护计划，以避免未来发生此类事件。

这不是黑客第一次成功攻击加密货币交易平台。在去年的过程中，十多次其他类似的攻击导致数百万美元被从其他平台吸走。使这次最新攻击更加独特的是攻击者绕过了 MFA，这通常被认为是最好的附加安全措施之一。