Begini gan, dari yang saya pahami, ketika penyerangan dilakukan melalui API trading dengan menggunakan Bot trading si peretas sudah menyiapkan untuk langsung buy pada koin yang dijual murah tersebut (dibawah batas wajar harga pasar) tentunya untuk di jual dengan harga diatas itu.
Dan seingat saya proses jual ini tidak memerlukan konfirmasi 2fa.

Sementara kalau si peretas sudah memiliki akses pada akun (password ID dan lainnya) sebagaimana yang agan nyatakan sebelumnya, pertanyaannya mengapa juga harus repot-repot jual dengan harga murah seperti itu, udah aja transfer langsung koinnya ke wallet peretas karena kan dia punya kendali penuh pada akun tersebut.