这是《中国经营报》为您分享的第1009篇原创文章;我们只发有态度,有干货的原创。
加密数字货币市场升温,当然少不了黑客的存在。
前不久,一位自称“zhoujianfu”的推特用户在Reddit.com上发帖求救,表示自己遭遇了SIM卡攻击,刚刚丢失了1547个BTC和不到6万个BCH,目前价值约2.6亿元,并爆出了自己的地址。
对于丢币原因,慢雾安全团队分析称:“猜测是使用了一款很知名的去中心化钱包服务,而且这种去中心化钱包居然还需要SIM卡认证,也就是说有用户系统,可以开启基于SIM卡的短信双因素认证。”
那么,对于发展数字货币而言,这次丢币有哪些启示?
能否找回?
早在2019年5月,交易所币安的比特币热钱包也曾发生过被盗事件,当时造成了大约7000 BTC的资产损失,事后该交易所希望通过重组双花的方式找回损失的比特币,然而,这样的请求并没有得到矿工们的同意,因为这种做法会严重损害区块链的不可篡改特性。
从已知信息看,丢币巨鲸是Josh Jones,他是一名开源软件和替代货币技术专家,同时也是Topcoin以及Bitcoin Builder的创始人。值得一提的是,Jones声称在Mt.Gox拥有43768枚比特币,其公司是Mt.Gox的第二大债权人。
慢雾团队认为,使用电话号码进行身份验证是一种不怎么可取的安全认证方法。SIM卡交换是攻击者获得受害者无线电话帐户控制权的一种低成本、非技术性的方式。要发起攻击,黑客需要知道移动无线运营商如何验证身份以及有关受害者的某些信息。通常,得到受害者的一个电话号码就足够了。
通过梳理发现,目前还没有丢币被找回的案例。在交易所系统被黑客攻击的情况下,难度较大。因为黑客一旦盗取比特币,接下来便会通过混币等手段把盗窃的比特币洗白,除非金额巨大引起国家相关部门强力介入,否则追回的可能性仅仅停留在理论层面。在追不回来的情况下,若损失金额很小,一般是交易所自行承担损失;若损失金额超过了交易所承受能力,为了避免交易所破产,一般采取所有用户按比例分摊损失的做法。
但是,也不排除用户“监守自盗”的情况。2016年7月25日,北京海淀法院曾通告一个用户诉讼交易平台的案例,用户施某在某平台被盗40余个比特币而向平台索赔41万元,而平台方则表示,事件起因是施某的安全意识不足,同时丢失了资金密码和登录密码且未开启行业惯用的二次登录验证,并暗示不排除用户存在“监守自盗”行为的可能。
目前有哪些存储钱包?
针对数字资产存在的位置,保护资产安全仍是最重要的事,就目前来看,存储数字资产的钱包有三种:
1
硬件冷钱包。硬件冷钱包就是不联网的硬件钱包,被认为是目前最安全的保存方式。但是硬件的东西,就存在一个放哪里的问题了。比如曾有人将其存储在U盘,但是因为搬家丢失;
2
手机钱包。属于热钱包,但是备份几份私钥并不意味着万事大吉,因为一旦经常注册个人信息,就会被黑客盯上;
3
交易所。存在跑路的可能,比如刚发生的FCoin交易所。不过,虽然不断有交易所中招被盗,但是如果交易所有能力继续运营的话,都会选择百分百赔付。
大陆SIM卡会杜绝黑客袭击
有分析人士接受媒体采访时表示,整体上来说在中国大陆,SIM卡被攻击的可能性很低。
日常生活中,当我们丢失SIM卡时,可以去相应运营商申请“移植”SIM卡,这一过程中,用户可以将电话号码直接转移到新的SIM设备上。我们通常说的SIM攻击则是指黑客利用这一漏洞将用户的SIM卡移植到自己的设备上,接下来,黑客就可以轻易通过验证码使用电子邮件上密码重置的功能,再利用邮箱去窃取用户的电子资产。但是目前在中国大陆,这样的可能性很低。
因为,如果一个攻击者要对一个目标的SIM进行攻击,在中国大陆地区,那他必须将目标的SIM卡信息全部克隆到自己可控的SIM卡上,这里引用中国移动多年前发布的一个辟谣信息,“中国移动信息安全管理部门表示,SIM卡是客户的识别模块,上面存储了手机客户信息,在卡片里存有一组128位长度的密钥以保障安全性,同时移动通信网络是独立在因特网之外的网络,先天上杜绝了来自因特网黑客的攻击,因此从技术上讲,SIM卡远程复制不可能办到”,如果攻击者要到营业厅去使用伪造的身份更改你的SIM卡,那就需要先把营运商的用户数据篡改成他的虚假信息才能成功。从整体上来说在中国大陆,SIM卡被攻击的可能性很低。
值得注意的是,有社区用户提到,微信、支付宝等中心化钱包就很少会受到SIM卡的攻击,对此,分析人士认为,这是因为微信、支付方式目前而言并不是手机验证码支付,而是使用的是生物特征加支付密码的方式。因此不能断章取义地将这两者的安全性归结于“中心化”。而对于已经因为SIM卡而导致财产损失的用户来说,起诉运营商也是一条维权的途径,但至于最终的结果还是要看具体的情形和法律的规定。
【版权说明】
本文为原创内容
作者:《中国经营报》
记者 石健
如欲转载请联系我们
中国经营报旗下垂直于互联网金融领域的全媒体平台。已经入驻微信公众号,今日头条,一点资讯,百度百家,网贷之家,新浪财经头条、网贷天眼、网易、腾讯等媒体平台。致力于为互联网金融从业者和投资者提供有价值的内容产品。
添加新手交流群:币种分析、每日早晚盘分析
添加助理微信,一对一亲自指导:YoYo8abc
