Attention quand même au faux sentiment de sécurité, car ce genre de mesure n'est pas forcément suffisante. Si l'attaquant possède le mdp de l'email, il n'a pas besoin de trouver le mdp de l'exchange pour y accéder. Il lui suffit de faire une demande de password reset par mail pour l'obtenir. C'est d'ailleurs semble-t-il ce qui est arrivé à Kenzawak. Le compte mail c'est hautement critique.
Pour moi le 2FA ne se reset pas uniquement avec le mail. Il te faut re prouver ton identité.
Sinon kenza s'est fait hacker son Kraken, et à ce moment je crois que kraken n'avait pas encore rendu le 2FA obligatoire.
(en tout cas sur binance, reset 2FA = KYC la seule fois où j'ai testé).