這是《中國經營報》為您分享的第1009篇原創文章;我們只發有態度,有乾貨的原創。
加密數字貨幣市場升溫,當然少不了黑客的存在。
前不久,一位自稱“zhoujianfu”的推特用戶在Reddit.com上發帖求救,表示自己遭遇了SIM卡攻擊,剛剛丟失了1547個BTC和不到6萬個BCH,目前價值約2.6億元,並爆出了自己的地址。
對於丟幣原因,慢霧安全團隊分析稱:“猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基於SIM卡的短信雙因素認證。”
那麼,對於發展數字貨幣而言,這次丟幣有哪些啟示?
能否找回?
早在2019年5月,交易所幣安的比特幣熱錢包也曾發生過被盜事件,當時造成了大約7000 BTC的資產損失,事後該交易所希望通過重組雙花的方式找回損失的比特幣,然而,這樣的請求並沒有得到礦工們的同意,因為這種做法會嚴重損害區塊鏈的不可篡改特性。
從已知信息看,丟幣巨鯨是Josh Jones,他是一名開源軟件和替代貨幣技術專家,同時也是Topcoin以及Bitcoin Builder的創始人。值得一提的是,Jones聲稱在Mt.Gox擁有43768枚比特幣,其公司是Mt.Gox的第二大債權人。
慢霧團隊認為,使用電話號碼進行身份驗證是一種不怎麼可取的安全認證方法。SIM卡交換是攻擊者獲得受害者無線電話帳戶控制權的一種低成本、非技術性的方式。要發起攻擊,黑客需要知道移動無線運營商如何驗證身份以及有關受害者的某些信息。通常,得到受害者的一個電話號碼就足夠了。
通過梳理發現,目前還沒有丟幣被找回的案例。在交易所繫統被黑客攻擊的情況下,難度較大。因為黑客一旦盜取比特幣,接下來便會通過混幣等手段把盜竊的比特幣洗白,除非金額巨大引起國家相關部門強力介入,否則追回的可能性僅僅停留在理論層面。在追不回來的情況下,若損失金額很小,一般是交易所自行承擔損失;若損失金額超過了交易所承受能力,為了避免交易所破產,一般採取所有用戶按比例分攤損失的做法。
但是,也不排除用戶“監守自盜”的情況。2016年7月25日,北京海淀法院曾通告一個用戶訴訟交易平臺的案例,用戶施某在某平臺被盜40餘個比特幣而向平臺索賠41萬元,而平臺方則表示,事件起因是施某的安全意識不足,同時丟失了資金密碼和登錄密碼且未開啟行業慣用的二次登錄驗證,並暗示不排除用戶存在“監守自盜”行為的可能。
目前有哪些存儲錢包?
針對數字資產存在的位置,保護資產安全仍是最重要的事,就目前來看,存儲數字資產的錢包有三種:
1
硬件冷錢包。硬件冷錢包就是不聯網的硬件錢包,被認為是目前最安全的保存方式。但是硬件的東西,就存在一個放哪裡的問題了。比如曾有人將其存儲在U盤,但是因為搬家丟失;
2
手機錢包。屬於熱錢包,但是備份幾份私鑰並不意味著萬事大吉,因為一旦經常註冊個人信息,就會被黑客盯上;
3
交易所。存在跑路的可能,比如剛發生的FCoin交易所。不過,雖然不斷有交易所中招被盜,但是如果交易所有能力繼續運營的話,都會選擇百分百賠付。
大陸SIM卡會杜絕黑客襲擊
有分析人士接受媒體採訪時表示,整體上來說在中國大陸,SIM卡被攻擊的可能性很低。
日常生活中,當我們丟失SIM卡時,可以去相應運營商申請“移植”SIM卡,這一過程中,用戶可以將電話號碼直接轉移到新的SIM設備上。我們通常說的SIM攻擊則是指黑客利用這一漏洞將用戶的SIM卡移植到自己的設備上,接下來,黑客就可以輕易通過驗證碼使用電子郵件上密碼重置的功能,再利用郵箱去竊取用戶的電子資產。但是目前在中國大陸,這樣的可能性很低。
因為,如果一個攻擊者要對一個目標的SIM進行攻擊,在中國大陸地區,那他必須將目標的SIM卡信息全部克隆到自己可控的SIM卡上,這裡引用中國移動多年前發佈的一個闢謠信息,“中國移動信息安全管理部門表示,SIM卡是客戶的識別模塊,上面存儲了手機客戶信息,在卡片裡存有一組128位長度的密鑰以保障安全性,同時移動通信網絡是獨立在因特網之外的網絡,先天上杜絕了來自因特網黑客的攻擊,因此從技術上講,SIM卡遠程複製不可能辦到”,如果攻擊者要到營業廳去使用偽造的身份更改你的SIM卡,那就需要先把營運商的用戶數據篡改成他的虛假信息才能成功。從整體上來說在中國大陸,SIM卡被攻擊的可能性很低。
值得注意的是,有社區用戶提到,微信、支付寶等中心化錢包就很少會受到SIM卡的攻擊,對此,分析人士認為,這是因為微信、支付方式目前而言並不是手機驗證碼支付,而是使用的是生物特徵加支付密碼的方式。因此不能斷章取義地將這兩者的安全性歸結於“中心化”。而對於已經因為SIM卡而導致財產損失的用戶來說,起訴運營商也是一條維權的途徑,但至於最終的結果還是要看具體的情形和法律的規定。
記者 石健
中國經營報旗下垂直於互聯網金融領域的全媒體平臺。已經入駐微信公眾號,今日頭條,一點資訊,百度百家,網貸之家,新浪財經頭條、網貸天眼、網易、騰訊等媒體平臺。致力於為互聯網金融從業者和投資者提供有價值的內容產品。
閱讀更多 琥珀金融幫 的文章
