129です。
>・YahooのパスとBFのパスが同じか酷似している
これはその通りです。

>・二段階認証をワンタイムパスワードのアプリではなくてメール受信設定にしていた

これは確認したらSMSの設定になってた。
乗っ取られた時に自分のSMSにも通知来てたから間違いない。
ビットフライヤーアプリで2段階認証をSMSと外部のメール宛って2つ設定出来ましたっけ?
何も考えずに設定してたからあんま覚えてないし、乗っ取られた後に色々設定とかビットフライヤーから来るログイン通知メールとかもいつものやつと違って色々改ざんされてるんですよね…
送り先はビットフライヤーのアドレスからなのに本文にログイン時間とかipアドレスの情報とかなかったり、いつもの定型メッセージじゃないから、ビットフライヤーのメールアドレスになりすまして送信されてるっぽいんですよね。