作者|安尼德尔席尔瓦诺
译者|蒋编辑|徐
出品|区块链大本营(区块链_营地)
据传,在所谓的“SIM交换黑客”事件中,一名中国人损失了价值约3000万美元的BCH(比特币现金)。这个谣言源于Reddit上的一个帖子,该帖子现已被删除,称受害者要求矿工帮助恢复他们的BCH访问权限。受害者还说,他现在还留着自己的私人钥匙,会奖励那些能帮助他的矿工。
这种SIM交换黑客事件并不新鲜。在过去,几个SIM卡黑客攻击的受害者最终损失了数百万美元,但这一个和以前不太一样,因为受害者明确表示他仍然可以访问他的私钥,这意味着他在一个不受管理的钱包中被黑客攻击。
资料来源:https://www.reddit.com/r/btc/comments/f7lbae/30m_bch_sim_hack/
SIM交换黑客攻击
为了更清楚地理解这个事件,我将解释什么是SIM交换黑客攻击,以及它是如何执行的。简单来说,SIM交换黑客攻击(SIM exchange hacking)是指黑客只针对受害者就能获取隐私和安全信息的情况。他们通过说服移动服务提供商在其他设备上激活您的电话号码来做到这一点。
说服移动运营商批准这样的改变似乎并不难。只要黑客能提供信息证明身份,客户代表就愿意做出改变。
这意味着受害者的信息可能已经被泄露。在成为目标之前,他们可能已经是网络钓鱼攻击或社会工程攻击的受害者。
当受害者成为黑客攻击高技术SIM交换的目标时,他们几乎无能为力,因为攻击的成功主要取决于运营商是否批准交换。如果黑客能满足所有的要求,那么他们就能成功地黑客。
黑客为什么对短信感兴趣?
现在,有人可能会问,如果黑客拥有进入受害者安全网络的所有必要信息,为什么还要经历麻烦的SIM卡交换攻击?简单来说,就是因为当用户启用双因素认证(2FA)时,短信就成为了很多应用的第二层安全层。以一次性密码(OTP)的形式呈现。SIM交换成功意味着第二层保护被攻破,所有使用这种保护的应用也被攻破。此外,电子邮件和社交媒体帐户在恢复帐户时使用SMS作为身份验证方法。例如,当Gmail用户想要恢复他们的帐户时,他们只需要一个SMS OTP来授权密码更改。
需要注意的是,邮件通常被认为是类似于短信的另一种2FA方式。由此可见,保证你的短信或手机线路安全是多么重要。然而,说起来容易做起来难,因为短信很大程度上依赖于移动服务提供商的尽职调查。
SMS 2FA
虽然之前也有过针对SIM交换的黑客攻击,但短信仍然是数字钱包、银行应用、集中式加密货币交换等诸多应用的主要选择之一。事实上,SMS 2FA为用户提供了一种虚假的安全感,因为他们过于依赖第三方来确保他们的安全。
在这种情况下,只有当用户是唯一有权访问的人时,SMS 2FA才是安全的。由于SMS 2FA经过运营商的网络,总是面临着内部和外部的风险,从网络中的坏人到利用SMS协议漏洞(如SIMJacker漏洞)的黑客。
保护我们的SIM
保护我们SIM卡的唯一方法是防止黑客从互联网上获取敏感信息。因此,当不熟悉的网站需要你KYC或上传个人信息时,要格外小心。您应该仔细检查URL链接,以确保这确实是您想要进入或登录的网站。
如果您有此选项,强烈建议您激活反网络钓鱼功能。此外,请注意,黑客将使用各种社会工程技术来获取敏感信息。记住,客户代表基本不会联系你,也不会要求你提供不必要的信息。
来源:https://媒体
如果是这样,您可能需要启用其他身份验证方法作为额外的预防措施。可选的2FA方法包括电子邮件、认证应用程序(如Google authenticator或Authy)和硬件密钥(如Yubi密钥)。如果黑客可以访问你的SIM卡,额外的安全层肯定会提高安全性,防止攻击。
不过,还有一种方法可以保护加密货币等资产,而不需要与2FA打交道。事实上,你根本不需要启用2FA,因为你可以完全控制和访问自己的资产,而不需要依赖任何第三方。这是一个不受管理的钱包或帐户,用户可以完全控制和访问他们的资产。
不受管理的钱包或帐户
非托管钱包允许用户使用离线加密钱包工具创建自己的私钥(PK)。尽管该工具是由其他开发人员创建的,但只有生成密钥的用户才能访问它。其他人访问私钥的唯一方式是通过所有者的共享。
大多数情况下,用户会把PK写在一张纸上,放在一个安全的地方,比如金库或者保险柜,以保证PK的安全。有些人会将其存储在一个特殊的USB key中,具有增强的安全性,而另一些人则使用硬件钱包。
对非托管钱包SIM交换的黑客攻击
声称BCH被盗的人声称他是SIM交换黑客攻击的受害者,但他仍然有被黑客攻击的钱包的私钥。这让加密界的一些人有点困惑,因为这似乎表明这个人的非托管钱包是通过SIM交换被盗的。
如果钱包来自集中交易所或托管钱包服务商,那就说得通了,因为他们大多用SMS 2FA来保护钱包。但是,由于受害者可以访问他的私钥,我们只能得出结论,这确实是一个不受管理的钱包。
黑客攻击的细节基本不为公众所知,攻击者在Reddit上删除自己的原帖后也没有任何更新。这次黑客攻击的特别之处在于,受害者推断自己的资金是从无人管理的钱包中被盗的。
任何熟悉非托管钱包工作原理的人都知道,获得这些资金的唯一方法是获得他们的私钥。这么有钱的用户,用一个可以通过短信访问的私钥,几乎是不可能的。
我们可能永远无法确定这是如何发生的,但我们都知道,黑客成功从不受管理的钱包中获取资金的唯一方法是访问钱包的私钥。
因此,我们可以把黑客攻击归咎于钱包主人的错误判断,因为他不小心存储了可以在线访问或使用短信访问的私钥。保持私钥离线是使用非托管钱包的基本规则之一。忽略这条规则可能会产生一些可怕的后果,比如上面提到的那条。
不受管理的钱包和交易仍然是最安全的。
过去从未发生过任何涉及非托管钱包的安全缺陷或安全弱点事件。如果所谓的SIM交换黑客攻击是真的,那么这个黑客攻击可能是用户的安全疏忽造成的,因为他没有很好的保护自己的私钥,或者他可以通过在线或者SIM访问自己的私钥。
受管理的钱包永远达不到不受管理的钱包的安全级别。在我看来,只有让用户对自己的资产拥有绝对、完全的控制权,才能达到最高、最优的安全性,比如无人管理的钱包。
这种安全性可以扩展到所有使用非托管钱包的服务。包括分散式交易所(dex ),如Newdex,其系统不要求客户将钱存入交易所运营商持有的托管钱包。
(纽约时报:https://newdex.io/)
所有的交易都直接发生在客户的非托管钱包中,这确保了最好的安全性,因为交易者只有在执行交易的那一刻才会失去对其数字资产的托管权。使用高度可伸缩的区块链(比如Newdex使用的EOS)的dex几乎可以立即执行事务。
尽管CEX运营商在过去做出了许多安全改进,例如将大部分营运资金保持离线并获得保险,但它仍然无法与DEX提供的安全相比,因为资产所有者从未交出他们的托管权。
CEX可能降低了外部威胁的风险,但在维护用户账户系统和将客户的数字资产保留在其平台上方面,它并没有真正取得任何进展。由于种种原因,客户的资产仍有可能被困在CEX,比如冷钱包私钥丢失,平台技术问题,法律法规合规,甚至破产。
SIM交换黑客攻击有没有可能发生在未被管理的钱包中?
在合适的条件下,这是可能的,但可能性极低。不被管理的钱包的主人要忽略所有提醒,保持私钥离线,不理会黑客的窥探,在不安全的网络(如短信)中不负责任地访问。
这个事件可能真的只是一个谣言,但也引发了一些有趣的问题,那就是无人管理的钱包被这样黑掉的可能性。
这一切可以归结为一点:非托管钱包的安全性取决于资产所有者如何处理钱包或账户私钥的安全性。只要资产所有者遵循推荐的安全程序,他们应该能够享受前所未有的安全,这是即使是世界上最集中的交易所也无法比拟的。
区块链技术所能提供的那种安全性是最集中的交易所也无法提供的。
original:https://hacker noon . com/is-a-dollar 3000万-BCH-sim-swap-hack-possible-in-a-non-保管-钱包-rzib3Y8d。
本文为CSDN区块链大本营翻译。转载请联系微信:1360515146。
清华的“计划”和旷视的“天元”已经大量开源,国内深度学习框架迎来了一个亮点时刻。
经典实际案例:机器学习KNN算法手写数字识别|力计划
对标Pytorch,清华团队推出了自主研发的AI框架“画图”。
我就不信35岁做不了程序员!
解决面试问题,带你从8个角度解读SQL面试技巧!
一个无人管理的钱包里会有价值3000万美元的BCH SIM exchange黑客攻击吗?