Este artigo foi atualizado para esclarecer que a BitMEX não é sediada em Hong Kong.
A exchange de criptomoedas peer-to-peer (P2P) BitMEX relatou um influxo de ataques a credenciais de contas de usuários, de acordo com um post no blog oficial em 11 de junho.
Além de cobrir uma série de práticas recomendadas para segurança do usuário, a exchange de criptomoedas enfatizou a importância do uso da autenticação de dois fatores (2FA). O relatório resume 2FA da seguinte forma:
“A 2FA, às vezes chamada de 'verificação em duas etapas' ou 'autenticação multifator', adiciona uma camada adicional de segurança à sua conta exigindo não apenas seu nome de usuário e senha no login, mas também a entrada de um tempo único simbólico. Os tokens podem ser armazenados em um celular dentro de um aplicativo autenticador baseado em software, como o Google Authenticator ou Authy. ”
De acordo com a BitMEX, pesquisas no Google mostraram que praticamente todas as tentativas de roubar credenciais de contas podem ser evitadas com a habilitação do 2FA. A BitMEX concordou que o 2FA é a melhor maneira de evitar tais ataques e está considerando tornar a autenticação 2FA obrigatória em sua plataforma.
A BitMEX também observou que as contas comprometidas na exchange são tipicamente associadas a senhas fracas ou reutilizadas, e-mails invadidos ou computadores infectados com malware. Além disso, a exchange descobriu algumas novas táticas sendo implantadas nesses hacks de contas e atualizou suas regras.
Primeiro, não há mais a opção de desativar as notificações por e-mail sobre logins de contas, já que os hackers estavam desativando essas notificações para ocultar ainda mais suas ações. Em segundo lugar, as solicitações de retirada agora precisam ser verificadas por e-mail, já que os invasores criavam chaves de API com as contas invadidas que poderiam ser usadas por conta própria para autenticar as retiradas.
Como relatado anteriormente pela Cointelegraph, a Kraken, uma exchange de criptomoedas baseada nos Estados Unidos, tornou obrigatória a 2FA em sua plataforma no final de março. De acordo com o anúncio de Kraken, a 2FA tem sido opcional na plataforma desde sua criação em 2013. A exchange particularmente apoia o Google Authenticator e o YubiKey entre os programas 2FA, conforme o anúncio.