О, наконец-то появилась адекватная реакция.
Все что следует изменить в текущей схеме:
1. Cookie-автризация с привязкой по ip или возможность создавать whitelist IP
2. Изменение authenticator'а должно как минимум вызывать блокировку вывода срнедств с аккаунта как и при смене пароля, что бы человек мог через поддержку или еще как-то заблокировать свой аккаунт для выяснения

И самое интересное предложение:
3.При выводе средств с аккаунта, на котором привязана 2fa, требовать ввода одноразового пароля на вывод средств вместо письма на почту. Что бы человек видел что он подтверждает через 2fa

Деньги, понятное дело, я не верну. Но сделайте так, что бы мой негативный опыт улучшлил систему защиты от мошенников. Может стоит отвязку 2fa подтерждать по CMC или еще как-то. Думаю можно подумать над этим