作者|安尼德尔席尔瓦诺
译者|霍火江编辑|许
出品|区块链大本营(区块链_营地)
有传言称,在所谓的“SIM交换黑客”事件中,一名中国公民损失了价值约3000万美元的BCH(比特币现金)。这个谣言源于Reddit上一个现已删除的帖子,该帖子称受害者要求矿工帮助恢复他们进入BCH的权利。受害者还说,他还有自己的私人钥匙,会奖励能帮助他的矿工。
这种SIM交换黑客事件并不新鲜。在过去,已经有几个SIM卡黑客攻击的受害者最终损失了数百万美元,但这一个和以前不太一样,因为受害者明确表示他仍然可以访问他的私钥,这意味着他在一个不受管理的钱包中被黑客攻击。
资料来源:https://www.reddit.com/r/btc/comments/f7lbae/30m_bch_sim_hack/
SIM交换黑客
为了更清楚地理解这一事件,我将解释什么是SIM交换黑客,以及它是如何执行的。简单来说,SIM交换黑客攻击是指黑客只针对受害者就能获取隐私和安全信息的情况。他们通过说服移动服务提供商在其他设备上激活你的电话号码来做到这一点。
说服移动运营商批准这样的改变似乎并不难。只要黑客能提供信息证明身份,客户代表就愿意做出改变。
这意味着受害者的信息可能已经被泄露。在成为目标之前,他们可能已经成为网络钓鱼攻击或社会工程攻击的受害者。
当受害者成为高技能SIM交换黑客攻击的目标时,他们几乎无能为力,因为攻击的成功主要取决于运营商是否批准交换。如果黑客能满足所有要求,那么他们就能成功黑客。
黑客为什么对短信感兴趣?
现在,有人可能会问,如果黑客拥有进入受害者安全网络的所有必要信息,那么他们为什么还要经历麻烦的SIM卡交换攻击呢?简而言之,当用户启用双因素身份验证(2FA)时,SMS成为许多应用程序选择的第二安全层。以一次性密码(OTP)的形式呈现。SIM交换成功意味着第二层保护已经被破坏,所有使用这种保护的应用都被破坏了。此外,电子邮件和社交媒体帐户在恢复帐户时使用SMS作为身份验证方法。例如,当Gmail用户想要恢复他们的帐户时,他们只需要一个SMS OTP来授权密码更改。
注意,电子邮件通常被视为类似于短信的另一种2FA方法。由此可见,保证你的短信或手机线路安全是多么重要。但是,说起来容易做起来难,因为短信很大程度上取决于移动服务商的尽职调查。
SMS 2FA
虽然之前也发生过SIM兑换被黑事件,但短信仍然是数字钱包、银行应用、集中式加密货币兑换等诸多应用的主要选择之一。实际上,SMS 2FA给了用户一种虚假的安全感,因为他们过于依赖第三方来确保他们的安全。
在这种情况下,只有当用户是唯一拥有访问权限的人时,SMS 2FA才是安全的。由于SMS 2FA要经过运营商的网络,所以总是面临着内部和外部的风险,从网络中的坏人到利用SMS协议漏洞(如SIMJacker漏洞)的黑客。
保护我们的SIM
保护我们SIM卡的唯一方法是防止黑客从互联网上获取敏感信息。因此,当不熟悉的网站要求您KYC或上传个人信息时,要格外小心。你应该仔细检查网址链接,确保它确实是你想要进入或登录的网站。
如果您有此选项,强烈建议您激活反网络钓鱼功能。此外,请注意,黑客将使用各种社会工程技术来获取敏感信息。记住,基本上客户代表不会主动联系你,也不会要求你提供不必要的信息。
来源:https://媒体
如果是这样,作为额外的预防措施,可能需要启用其他身份验证方法。可选的2FA方法包括电子邮件、认证应用程序(如Google authenticator或Authy)和硬件密钥(如Yubi key)。如果黑客可以访问你的SIM卡,那么额外的安全层肯定会提高安全性,防止攻击。
然而,还有另一种方法可以保护加密货币等资产,而无需与2FA打交道。其实你根本不需要启用2FA,因为你可以完全控制和访问自己的资产,不需要依赖任何第三方。这是一个不受管理的钱包或帐户,用户可以完全控制和访问他们的资产。
不受管理的钱包或帐户
非托管钱包允许用户使用离线加密钱包工具创建自己的私钥(PK)。尽管该工具是由其他开发人员创建的,但只有生成密钥的用户才能访问它。其他人访问私钥的唯一方式是通过所有者的共享。
大多数情况下,用户会把PK写在一张纸上,放在一个安全的地方,比如金库或者保险柜,这样可以保证PK的安全性。有些人会将其存储在一个特殊的USB key中,具有增强的安全性,而另一些人则使用硬件钱包。
黑客攻击非托管钱包SIM卡交换
声称BCH被盗的人声称他是SIM交换黑客攻击的受害者,但他仍然有被黑客攻击的钱包的私钥。这让一些crypto社区的人有点困惑,因为这似乎表明这个人的非托管钱包是通过SIM交换被盗的。
如果钱包来自集中交易所或钱包托管服务商,那就说得通了,因为他们大多用SMS 2FA来保护自己的钱包。但是,由于受害者可以访问他的私钥,我们只能得出结论,这确实是一个不受管理的钱包。
黑客攻击的细节基本不为公众所知,攻击者在Reddit上删除其原帖后也没有任何更新。这次黑客攻击的特别之处在于,受害者推断自己的资金是从无人管理的钱包中被盗的。
任何熟悉非托管钱包工作原理的人都知道,获得这些资金的唯一方法是获得他们的私钥。这么有钱的用户,用一个可以通过短信访问的私钥,几乎是不可能的。
我们可能永远无法确定这是如何发生的,但我们都知道,黑客成功从不受管理的钱包中获取资金的唯一方法是访问钱包的私钥。
所以,我们可以把黑客的攻击归咎于钱包主人的错误判断,因为他不小心存储了可以在线或通过短信访问的私钥。保持私钥离线是使用非托管钱包的基本规则之一。忽略这条规则可能会产生一些可怕的后果,比如上面提到的那条。
不受管理的钱包和交易仍然是最安全的
在过去,从未出现过任何涉及未管理钱包的安全缺陷或安全弱点。如果所谓的SIM交换被黑是真的,那么这个被黑可能是用户的安全疏忽造成的,因为他没有很好的保护自己的私钥,或者他可以在线或者通过SIM访问自己的私钥。
受管理的钱包永远达不到不受管理的钱包的安全级别。我认为,只有给予用户对其资产的绝对和完全控制权,才能实现最高和最佳的安全性,就像不受管理的钱包一样。
这种安全性可以扩展到所有使用非托管钱包的服务。包括像Newdex这样的分散式交易所,其系统不要求客户将钱存入交易所运营商持有的托管钱包。
(纽约时报:https://newdex.io/)
所有交易直接发生在客户的非托管钱包中,确保了最佳的安全性,因为交易者只会在执行交易的那一刻失去其数字资产的托管权。使用高度可伸缩的区块链(比如Newdex使用的EOS)的dex几乎可以立即执行事务。
尽管CEX运营商在过去做出了许多安全改进,例如将大部分营运资金离线并获得保险,但它仍然无法与DEX提供的安全相比,因为资产所有者从未交出他们的托管权。
CEX可能已经降低了来自外部威胁的风险,但它在维护用户账户系统和将客户的数字资产保存在其平台上方面并没有真正取得任何进展。由于种种原因,客户的资产仍有可能被困在CEX,比如冷钱包的私钥丢失,平台的技术问题,是否符合法律法规,甚至破产。
SIM交换黑客攻击有没有可能发生在不被管理的钱包里?
在适当的条件下,这是可能的,但可能性极低。未托管钱包的主人应忽略所有提醒,保持私钥离线,不理会黑客的窥探,在不安全的网络(如短信)中不负责任地访问。
这个事件可能真的只是一个谣言,但它也引起了一些有趣的问题,即不受管理的钱包被黑客以这种方式入侵的可能性。
归根结底就是一件事:非托管钱包的安全性取决于资产所有者如何处理钱包或账户私钥的安全性。只要资产所有者遵循建议的安全程序,他们应该能够享受到前所未有的安全,这是即使是世界上最集中的交易所也无法比拟的。
这种安全是区块链技术所能提供的,甚至是最集中的交易所也不能提供的。
original:3359 hacker noon . com/is-a-dollar 3000万-BCH-sim-swap-hack-possible-in-a-non-保管-钱包-RZIB3Y8D
本文由CSDN区块链大本营翻译。转载请联系微信:1360515146。
清华的“计划”和旷视的“天元”已经大量开源,国内深度学习框架迎来了一个光明的时刻。
经典实战案例:利用机器学习KNN算法实现手写数字识别|兵力计划
针对基准Pytorch,清华团队推出了自主研发的AI框架“mapping”
我就不信35岁做不了程序员!
从8个角度解决面试问题带你领略SQL面试技巧!
在一个未被管理的钱包里有可能有一个3000万美元的BCH SIM交换黑客攻击吗?