Брут форс 2ФА, с окном в минуту... это сильно... хотя, чисто идеологический, поставить лимит в 10 попыток мб и стоит...
В любом случае, открытость биржи в плане секюрных политик - это хорошо, повышает доверие и позволяет оценивать риски...
А почему собственно нет?
Пароли хоть и "одноразовые", но зато весьма простые - 6 знаков, причем только цифры. Т.е. 1 млн. вариантов как самый максимум(от 000000 до 999999), а в среднем 500 тыс. вариантов для подбора (т.е. по сложности это всего лишь между 3 и 4 знаковым обычным буквенно-цифровым паролем).
Причем окно в 1 минуту после чего пароль меняется не такая уж проблема для брутфорса.
Просто при неизменном пароле мат.ожидание кол-ва попыток (вариантов которые нужно перебрать) для успешного подбора - 500 тыс.
А перебор 1 млн. вариантов = гарантированный подбор (100% вероятность)
С изменяющимися же каждую минуту паролями гарантированный подбор становится невозможен принципе, но вот вероятность тупо "угадать" никуда не девается, и в среднем из 1 млн. попыток (пальцем в потолок) одна все-таки будет успешной.
Ну а дальше уже от везения зависит с распределением вероятностей как у поиска блоков (нам же то что "цель для поиска" меняется кажные несколько минут не мешает успешно "брутфорсить" хэши и находить блоки при майнинге)
перебор ~0,7 млн вариантов = 50% вероятность "угадать" (и не важно какое время ушло на перебор и сколько раз сменился 2ФА пароль за это время)
~1,6 млн вариантов = 80% вероятность "угадать"
~3 млн. вариантов = 95% вероятность "угадать"
и т.д.
Так что если достаточно долго долбить...
Впрочем судя про проскакивающему крутящемуся "бублику" (колечку) в браузере после каждого ввода OTP какая-то защита от их перебора уже есть, как минимум PoW снижающий возможную скорость перебора вариантов.
Но в добавок к нему не помешало бы еще и активация холда на любой вывод после X неудачных попыток ввода OTP за какой-то период времени (либо X подряд, как с PIN кодом - всего 4 знака, т.е. 10 тыс вариантов всего, но зато после 3х неудачных попыток подряд карта блокируется).
