“倾家荡产,是你自己的错!”
——某黑客
加密货币难以追踪,且在大多数情况下,加密货币也是不受管制的,它基于一个去中心化的区块链网络。这意味着一旦加密货币被盗,就基本上不可能找回了。So...加密货币成了黑客十分青睐的攻击目标。
近日,一个名为Daniel的黑客在接受采访时透露,他利用"SIM卡交换"绕过双重身份验证盗窃了总共价值50万美元的加密货币。
过程很简单,只需3步:
首先,黑客给电信公司打电话,哭诉他自己的SIM卡丢失了;
然后,他们要求将你的手机号重定向到他们的手机号;
最后,通过拦截双重身份验证文本或窃取存储在电子邮件账户中的密码。
Rodeo发布黑客攻击事件事后声明及计划:7月12日消息,Rodeo发布黑客攻击事件事后声明及计划,该声明主要内容包括:攻击原因分析及损失说明(共计88万美元),安全响应措施及恢复计划,进一步安全措施和收益池整合计划,更新路线图。[2023/7/12 10:50:08]
这样,他们就能轻松地登录你的加密货币账户、偷走你所有的加密资产。
只是一群倒霉鬼罢了
每年有数千万美元的加密货币通过SIM卡交换的方式被盗。
尽管电信公司内或多或少存在某种协议来阻止这种情况发生,但据Daniel透露,作为黑客,他们很容易就可以绕过这些协议。
"总有一些办法让他们相信你。比如,你打电话假装在Tele2工作,然后让他们帮你转发一个号码,在你学会“伪装”之前,你根本不需要打很多电话去刻意练习。"
白帽黑客帮助MetaMask网络钓鱼攻击受害者收回11.7万美元加密货币:一位MetaMask用户遭遇网络钓鱼攻击,无意中将其私钥交给了子。一名白帽黑客成功挽救该用户钱包(持有24万美元资金)的一半资金。
Reddit用户“007happyguy”被引导填写Whitehat热线表格,并发布其详细信息。表格的另一端是一些白帽黑客。这是一项临时服务,如果有空的话,开发者可以选择回应请求。前ZenGo区块链研究员Alex Manuskin回应了请求。Manuskin做的第一件事是核实该Reddit用户拥有的钱包,并且确认其没有试图获取其他人的资金。此时他必须通过索要私钥来访问钱包。然后他确保子不能再从钱包转移走资金。为了在以太坊进行交易,用户需要一些ETH来支付交易费用。因此,他确保任何发送至该钱包的ETH都会被自动发送出去。
为了拯救剩余资金,Manuskin使用了Flashbots,这是一种支持开发人员和矿工之间通信的服务。简而言之,开发人员可以使用Flashbots向矿工发送一个交易“包”,直接包含在一个区块中,而不是向网络广播交易。
之所以有效是有两个原因。这种情况的主要原因是,如果钱包里没有任何ETH,任何零交易费用的交易都不会被任何矿工打包。使用Flashbots的情况是,进行了一项复杂的交易,将资金转移到另一个钱包,并一次性使用其他资金支付给矿工。第二个原因是它更隐蔽。如果任何交易被广播到公共网络上,者就有机会抢先交易。
Manuskin解释说,编写定制脚本和执行交易大约需要5-6个小时。时间的长短取决于交易的复杂性以及他以前是否经历过类似的情况。在子开始转移钱包资金后,Manuskin设法从钱包剩下的12万美元代币中挽救了大约11.7万美元。(The Block)[2021/7/18 0:59:49]
一旦号码被重定向,黑客还可以使用Gmail或Outlook中的"忘记密码"选项。还可以通过语音呼叫手机获得验证码。
Lendf.Me黑客攻击事件细节还原:4月19日,Lendf.Me遭到黑客攻击,价值约2500万美金的加密资产被盗;4月21日,黑客已将所盗资产全部返还。本次事件一些未曾披露的细节如下:
1. 19日12点起,dForce向各大资产发行方和去中心化金融协议报告了攻击事件的原因和资产当下情况,各方要求出具来自的强制执行信以便下一步行动。
2. 19日22点53分,dForce正式向新加坡提出请求,希望配合出具强制执行信。
3. 20日上午起,新加坡陆续给其他团队提供了强制执行信,要求团队向直接提供跟案件相关的必要信息或进行相关账号的监控和冻结。与各第三方团队的沟通过程从未经过dForce团队,dForce团队也从未获得1inch提供给的IP信息。
4. 20日,基于黑客留下的痕迹,安全团队成功确定了准确的黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,离黑客越来越近。
5. 21日13点33分,黑客在重重压力下,与我方主动沟通,并开始归还部分资产。继续沟通后,所有资产被成功找回。
6. 截至21日17点,未找到黑客真人信息,由于资产已被追回,我们已向提交撤案请求。[2020/4/22]
Daniel还透露,很多人喜欢在电子邮件帐户中保留他们的密钥副本,一旦黑客黑进你的账户后,也就能控制你的加密钱包,从而偷走你所有的加密货币。
动态 | PeckShield安全播报: EOS竞猜游戏EOSDice再遭黑客攻击 损失4,633个EOS:据PeckShield态势感知平台数据显示:今天上午11:19-11:34之间,黑客coinbasewa11向EOSDice游戏合约(eosbocai2222)发起95次攻击,共计获利4,633.4827个EOS。PeckShield安全人员跟踪数据发现,该黑客账户coinbasewa11在攻击得手后,先将资金转移至另一账号coinbasewall,随后又将所得资金转向Bitfinex 交易所账号(bitfinexdep1)。根据当前EOS市场价格37元估算,黑客此次攻击获利超17万元。值得注意的是,此次EOSDice遭攻击原因同样是由于随机数问题被攻破。在经社区玩家提醒察觉到被攻击后,游戏合约(eosbocai2222)于11:34向另一安全账户(eosbocaidevv)转移700个EOS及时止损,同时EOSDice社区也发出公告暂停游戏。PeckShield安全人员表示,此次开源游戏EOSDice再次被攻击,已经是EOS DApp本月第三次遭黑客攻击。[2018/11/10]
Daniel在某一次顶风作案时,他甚至发现了数字货币交易所的密码,这让他很轻松地进入了交易所,并将他成为「倒霉鬼」的加密资产转移到了自己的钱包中。
倾家荡产,是你自己的错
Daniel通过不断指责受害者没有使用更好的安全措施,来为自己的恶行辩护。
"好吧,你什么感觉都没有。你永远不会见到那个人,而且所有的事情都是匿名的,所以你不会因此感到内疚。"
通过劫持手机号码来盗取加密货币已经成为了一个日益严重且极具危害的现象。作为法律行动的一部分,三家移动电话运营商也被指控收受贿赂。
750万美元,10年牢狱之灾
上周,加州高等法院命令21岁的犯NicholasTruglia向Terpin支付7580万美元的赔偿金和惩罚性损害赔偿。
本月早些时候,就有来自美国密歇根州的9个人被指控密谋通过劫持SIM卡窃取价值约240万美元的数字货币。黑客团伙遍布美国和爱尔兰,自称为"TheCommunity"。
今年初,一个名叫JoelOritz的20岁美国加州男子成为第一个因劫持SIM卡而入狱的人。他承认通过劫持40个用户的SIM卡窃取敏感数据,从而在受害者那里盗取了500多万美元的资产。
去年,美国企业家、加密货币投资者MichaelTerpin对AT&T提起诉讼,要求获取赔偿金2亿美元,原因是AT&T因工作疏忽而允许黑客盗取他的账户,由此损失了价值2380万美元的加密货币。
在他的投诉内容信中,有这样一句话:"AT&T所做的事就像一家酒店给了一个小偷一把房间钥匙和一把房间保险柜的钥匙、让小偷偷走保险柜里的珠宝一样愚昧。"
打击SIM卡犯罪
RobertRoss是Truglia事件的另一个受害者,他在局中损失了100万美元。今年1月,他与其他几名受害者合作搭建了一个名为"StopSIMcrime"的网站,以提高人们对这类危险的认知。
"这是一个正在疯狂、肆意蔓延的网络危机,"Ross说。"我也相信这里面有某些运营商的‘功劳’。"
但幸运的是,SIM卡交换相对容易防范。主要从以下2点进行防范:
不使用手机号码进行双重身份认证,而是使用Google或Authy代替;
使用诸如Ledger或Trezor之类的硬件钱包,在交易所之外存储你的加密货币;
当然,你也可以为你的数字货币上一份保险。
加密货币行业仍然缺乏安全感
据TheBlock网站的一份最近报告显示,有超过13.5亿美元的加密货币从交易所被盗。但尽管如此,目前市值2290亿美元的加密货币行业仍然严重缺乏保险业务。
去年11月,来自Coindesk的一份报告显示,加密交易所和托管人的保险总额仅仅约为60亿美元。
如果你把这个数字与各大交易所数十亿美元的日交易量相比,这个数字简直是九牛一毛。
但好在有些人已经在努力尝试了。
比如,某公司正在为使用其加密货币钱包服务的客户提供高达5000万美元的保险。其目的在于,当发生外部安全漏洞或恶意攻击行为时,为使用其钱包的用户提供财产保护。
当然,加密货币的保险业务是收费的,且存在一些打包套餐,用户需要根据自己的个人需求选择套餐并支付一定的费用。
如果用户钱包内的数字货币被盗,保险公司就会进行相应的赔偿。但用户也不是在任何情形下都可以获得赔偿。
比如,对于一些风控机制过于宽松的公司,就需要考虑是否按价赔偿了。用户的安全问题,更多的还是靠自己。
“我并不是特别活跃,我仅仅攻击了20个人左右,就获得了50万美元,但他们并不知道我是谁。”
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。