No, tak nakonec je to mnohem prozaičtější. Vlastně jim ten kód dáš sám. Všechno totiž zadáváš do podvodný stránky a nemáš o tom tušení.
Příklad: naloguješ se na phisingovou stránku, zadáš login heslo, to okamžitě zadá na originální doméně i útočník, kterej si ho díky tomu přečetl, exchange si myslí, že jsi to ty a tak pošle na tvůj mobil SMS, ta ti přijde a všechno se ti zdá v pořádku, zadáš sms kód (pořád jsi na fakewebu), útočník ho zkopíruje a zadá u sebe kde mu běží pravej web a mezi tim, shodí tu phisingovou stránku a tobě se objeví nějakej error nebo dlouhej loading. Refreshnes se, klidně znova na tu fake stránku, která pořád hází error a než na to přijdeš máš vyluxovanej účet.
Tenhle postup by také neměl být funkční, pokud máš rád své peníze, tak se k burze připojuješ jen ze svého čistého domácí pc a určitě v takovém případě máš svou/svoje IP adresy na whitelistu. V takovém případě ti přijde z burzy mail (musel bys mít v tu chvíli hacknutý i mail) a pokud ho neodklikneš a neodsouhlasíš cizí IP adresu tak se dál nedostaneš (netvrdím, že to tak mají všechny burzy, hlavně ty malé decentralizované budou asi pozadu se zabezpečením)
Tak adresu emailu už útočník v podstatě má z tvýho loginu. Cracknout heslo už nemusí bejt takovej problém protože emaily jsou tradičně hůř chráněný, ale souhlasim. Určitě existujou snazší způsoby a 2FA je rozhodně kvalitní ochrana, to - i přes případy kdy nestačila - nerozporuju. Každym takovym krokem prostě zvyšuješ svojí ochranu, i když nikdy 100%. Stejně si ale myslim, že je trochu - a možná zbytečně - riskantní, nemít hlavní zdroje třeba v TREZORu. Ten novej vypadá dobře.