SMS:在非托管錢包中可能會出現價值3000萬美元的BCH，SIM交換黑客攻擊嗎？

編者按：本文來自區塊鏈大本營，作者：AnidelSilvano，譯者：火火醬，Odaily星球日報經授權轉載。有傳言稱，在所謂的「SIM交換黑客攻擊」事件中，一位中國人損失了價值約3000萬美元的BCH。這一傳言起源于Reddit上一篇現已被刪除的帖子，該帖稱受害者請求礦工幫助恢復其BCH的訪問權限。受害者還說，他仍然擁有自己的私鑰，并將酬謝那些能夠幫助自己的礦工。這起SIM交換黑客攻擊事件并不是什么新鮮事了，過去也曾有幾個SIM黑客攻擊的受害者最終損失了數百萬美元，但最近這起卻與之前的不太一樣，因為受害者明確表示，他仍然可以訪問自己的私鑰，這意味著他是在非托管錢包中被黑的。

圖源：https://www.reddit.com/SIM交換黑客攻擊

為了更清楚地了解此事件，我將解釋一下什么是SIM交換黑客攻擊以及它是如何執行的。簡單來講，SIM交換黑客攻擊是指黑客能夠獲得僅針對受害者的私人及安全信息的情況。他們通過說服移動服務提供商激活你在其他設備上的電話號碼來實現這一點。要說服移動運營商批準此類更改似乎也并非難事，只要黑客能夠提供信息以證明自己身份的話，客戶代表就會愿意進行更改。

Cadano基金會IOHK將在2022年在非洲推出DeFi貸款服務:12月27日消息，Cadano基金會IOHK創始人查爾斯·霍斯金森 (Charles Hoskinson) 表示，他將在2022年第二季度“建立一個金融操作系統”，使非洲人獲得DeFi等貸款服務。據悉，IOHK在8月與盧森堡歐洲商業大學達成合作，為非洲國家的學生擴大教育機會。（nairametrics）[2021/12/27 8:07:32]

這意味著受害者的信息可能已經被泄露了。在成為攻擊目標之前，他們可能已經是網絡釣魚攻擊或社會工程攻擊的受害者了。當受害者成為高技能SIM交換黑客攻擊的目標后，他們能做的就很少了，因為攻擊的成功與否主要取決于運營商是否批準交換。如果黑客能夠滿足所有要求，那么他們就能成功進行黑客攻擊。為什么黑客會對SMS消息感興趣？

現在，一些人可能會問，如果黑客有進入受害安全網絡所需的所有必要信息，那么他們為什么要經過麻煩的SIM卡交換攻擊呢？簡單來說，是因為當用戶啟用雙因子驗證(2FA)時，SMS就成為了許多應用程序選擇的第二安全層。以一次性密碼(OTPs)的形式進行呈現。成功的SIM交換就意味著第二層保護已經被破壞，而所有使用該保護的應用程序也就被破壞了。此外，電子郵件和社交媒體帳戶在恢復帳戶時使用SMS作為身份驗證的一種方法。例如，當Gmail用戶想要恢復其帳戶時，只需要一個SMSOTP即可授權更改密碼。要注意，電子郵件通常也被視為另一種類似于SMS的2FA方法。這表明，保持你SMS或手機線路安全是多么的重要。然而，說起來容易做起來難，因為SMS在很大程度上需要要依賴于移動服務提供商的盡職調查。SMS2FA

前中央情報局局長：比特幣在非法活動中的使用正在減少:據TheDailyHodl消息，美國前中央情報局局長Michael Morrell認為，比特幣在非法活動中的有限使用正在減少。他表示，有越來越多的證據表明，非法用戶從比特幣轉向匿名性更強的加密貨幣，如匿名增強加密貨幣（AECs）。Morrell稱，暗網市場（DNM）白宮市場和勒索軟件即服務集團Sodinokibi目前只接受以隱私為中心的加密貨幣支付。比特幣的公開可用性和可驗證性使得它不適合從事犯罪活動。[2021/4/17 20:29:40]

盡管之前也發生過SIM交換黑客攻擊事件，但SMS仍然是數字錢包、銀行應用程序、中心化加密貨幣交易所等眾多應用程序的主要選擇之一。實際上，SMS2FA給用戶提供了一種錯誤的安全感，因為他們過于依賴第三方來保證其安全。在這種情況下，只有在用戶是唯一有權訪問的人時，SMS2FA才是安全的。由于SMS2FA要通過運營商的網絡，所以始終都要面臨著內部和外部的風險，從網絡中的壞人到利用SMS協議漏洞的黑客，處處面臨風險。保護我們的SIM

動態 | “比特幣”谷歌搜索趨勢在非洲增長:根據幣安研究院的近期研究，比特幣的搜索趨勢已經從西方轉向東方，最近又轉向了非洲。報告指出，從2011年1月至今，“Bitcoin”在谷歌搜索中的熱度排名在每個國家/地區都發生了顯著變化。（CoinGape）[2019/9/27]

保護我們SIM的唯一方法是不讓黑客從網上獲取到敏感信息。因此，當不熟悉的網站需要你進行KYC或上傳個人信息時，要格外小心。應該反復檢查URL鏈接，以確保這真的是你要進行輸入或登錄的網站。如果有此選項的話，強烈建議你激活反釣魚功能。此外，請注意，黑客會利用多種社會工程技術來獲取敏感信息。要記住，客戶代表基本上不會主動聯系你，也不會要求你提供不必要的信息。

動態 | WhatsApp在非洲招聘區塊鏈政策專家:Facebook旗下的消息應用程序提供商WhatsApp正在撒哈拉以南非洲地區聘請一名區塊鏈監管專家。該公共政策經理職位將“與Facebook的非洲公共政策團隊密切合作，確保區塊鏈技術和數字支付能夠在改善非洲社會經濟發展方面發揮作用”。該工作列表中沒有提到Facebook的有爭議的加密貨幣項目Libra。（coindesk）[2019/9/6]

圖源：https://medium如果有的話，可能需要啟用其他身份驗證方法作為額外的預防措施。備選的2FA方法包括電子郵件、認證應用程序(如Googleauthenticator或Authy)和硬件密鑰(如Yubi密鑰)。如果黑客能夠訪問你的SIM，那么額外的安全層肯定會提高安全性并阻止攻擊。然而，還有另一種不需要處理2FA即可保護加密貨幣等資產的方法。實際上，你根本不需要啟用2FA，因為你可以完全控制和訪問自己的資產，而無需依賴任何第三方。這就是非托管錢包或賬戶，用戶可以在其中完全控制和訪問他們的資產。非托管錢包或賬戶

非托管錢包允許用戶使用離線加密錢包工具創建自己的私鑰(PK)。雖然工具是由其他開發人員創建的，但是只有生成密鑰的用戶才能對其進行訪問。其他人要訪問私鑰的惟一方法就是通過所有者的共享。大多數情況下，用戶會將PK寫在一張紙上，并將其放置在安全的地方，如保險庫或保險箱，以此來確保PK的安全。一些人會將其存儲在具有強化安全功能的專用USB密鑰中，而另一些人則會使用硬件錢包。非托管錢包SIM交換黑客攻擊

聲音 | 社科院金融研究所所長助理：現在區塊鏈最適用的領域還是在非金融領域:7月8日，中國社會科學院金融研究所所長助理楊濤在第四屆中國財富論壇上如此表示，“整體上來看，現在區塊鏈最適用的領域應該說還是在非金融領域。在金融領域特別是涉及到這一個核心穩定性這塊，受到各個國家監管的嚴重關注，還是比較難的。”楊濤談到空氣幣濫用現象時表示，“凡是我觀察的發幣項目，多數都有問題。要么是空氣幣，要么整個生態還有待進一步完善，要么真正的目的不是為了服務于這個商圈或者生態，而是為了代幣做場外交易。”[2018/7/9]

宣稱BCH被盜的人聲稱，自己是SIM交換黑客攻擊的受害者，但自己仍然擁有被黑錢包的私鑰。這讓加密社區的一些人有點摸不著頭腦，因為這似乎表明此人的非托管錢包是通過SIM交換被竊取的。如果錢包來自中心化交易所或托管錢包服務提供商，那就說得通了，因為他們大多數是使用SMS2FA來保護其錢包的。但是，由于受害者可以訪問他的私鑰，我們只能得出結論：這確實是一個非托管錢包。黑客攻擊的細節基本上不為公眾所知，在被攻擊者刪除了其在Reddit上的原始帖子后，也沒有任何更新。此次黑客攻擊的特別之處在于，受害者推斷出自己的資金是被從非托管錢包中偷走的。

熟悉非托管錢包工作原理的人都知道，獲得這些資金的唯一途徑是要獲得其私鑰。擁有這么多錢的用戶幾乎不可能使用可以通過SMS進行訪問的私鑰。我們可能永遠都無法確定這是到底是如何發生的，但我們都知道：黑客成功獲取非托管錢包資金的唯一途徑就是訪問錢包的私鑰。因此，我們可以把此次黑客攻擊歸咎于錢包主人的錯誤判斷，因為他不小心儲存了可以通過在線或者使用SMS進行訪問的私鑰。保持私匙離線狀態是使用非托管錢包的基本規則之一，忽略這條規則則可能會產生一些可怕的后果，比如上文提到的這種。非托管錢包和交易仍然是最安全的

過去從未發生過涉及非托管錢包的任何類型的安全缺陷或安全弱點事件。如果所謂的SIM交換黑客攻擊是真實的，那么此次黑客攻擊可能是由于用戶的安全疏忽造成的，因為他沒有好好保護自己的私鑰，或者，可以通過在線或SIM對其私鑰進行訪問。具有托管性質的錢包永遠無法達到非托管錢包的安全級別。我認為，只有讓用戶對自己的資產擁有絕對且完全的控制，才能實現最高和最優的安全性，非托管錢包就是如此。

這種安全性可以擴展到使用非托管錢包的所有服務。包括像Newdex這樣的去中心化交易所(DEXs)，這些交易所的系統不要求客戶將錢存入交易所運營商所持有的托管錢包。所有交易都直接發生在客戶的非托管錢包中，確保了最佳的安全性，因為交易者只有在執行交易的那一刻才會失去對其數字資產的托管權。使用高度可擴展區塊鏈的DEXs幾乎會立即執行交易。盡管CEX運營商在過去做了很多安全改進，比如讓大部分流動資金保持離線狀態并獲得保險，但它仍然無法與DEX提供的安全性相提并論，因為資產所有者從未交出過其托管權。CEX可能已經降低了來自外部威脅的風險，但必須在其平臺上維護用戶帳戶系統并保管客戶的數字資產方面，并未真正取得任何進展。由于各種原因，客戶的資產仍然可能被困在CEX中，比如丟失了冷錢包的私鑰、平臺的技術問題、遵從法規、甚至是破產問題。在非托管錢包中可能會發生SIM交換黑客攻擊嗎？

在適當的條件下，這是可能的，但可能性極低。非托管錢包的所有者要無視所有提醒，讓私鑰保持離線狀態，不理會黑客窺探，不負責任地在不安全的網絡中進行訪問。此次事件可能真的僅僅就是謠言而已，但這也已經引發了一些有趣的問題，即非托管錢包通過這種方式被黑的可能性。這一切都可以歸結為一件事：非托管錢包的安全性取決于資產所有者如何處理錢包或賬戶私鑰的安全性。只要資產所有者遵循建議的安全程序，他們應該就能享受到空前的安全保障，即使是世界上最中心化的交易所也無法與之相比。區塊鏈技術所能提供的那種安全性，即使是最中心化的交易所也無法提供。

Tags：SIMSMS區塊鏈比特幣SIMPSONSINU價格CSMS幣哪個不是區塊鏈特性比特幣坑了多少中國人錢

BNB