手機突然沒信號，竟是10萬美金加密資產失竊的前兆_區塊鏈:CoinEx Token

導讀：一天時間，Coinbase賬戶里價值10萬美元的加密資產飛灰煙滅！Bitgo的工程主管SeanCoonce以為只是因為不小心摔了手機導致SIM故障失去了移動服務，不曾料到這卻是一場黑客盜幣的信號。

上周三，我丟失了價值10萬美元的加密貨幣。這筆錢在一天內就因為一次“SIM卡轉移攻擊”從我的Coinbase賬戶中消失了。

這件事已經過去好幾天了，我整個人都非常沮喪。食不知味，夜不能寐，覺得自己被焦慮、懊悔和難堪的感覺浸沒。

這是我人生中最昂貴的一課，我想與盡可能多的人分享我從這次事件中得到的經驗教訓，希望借此提高大家對這類SIM卡攻擊的認識，從而加強你們在線身份的安全性。

01攻擊的細節

你可能會先問一個問題，究竟什么是“SIM卡轉移攻擊”？為了講清楚攻擊發生的原由，需要大家先來看一下典型的在線身份驗證。對于大多數人來說，下面這張圖應該看起來很熟悉：

第一筆手機到手機的比特幣轉賬使用諾基亞N900發生在2010年12月7日的0.42BTC:金色財經報道，當中本聰創建比特幣時，全節點客戶端帶有一個通常被稱為Bitcoin-Qt的錢包。中本聰的簡化支付驗證（SPV）概念直到兩年后才出現，在前比特幣核心開發者Mike Hearn于2011年發布BitcoinJ之后。然而，在第一個SPV客戶端或優化的輕量級比特幣錢包之前，第一筆手機到手機的比特幣交易發生在11年前的2010年12月7日。2010年從諾基亞N900向另一臺諾基亞N900發送0.42BTC。[2022/10/24 16:36:38]

?我們手機里的SIM卡把手機號碼和手機綁定在了一起；?當我們忘記郵箱賬號的登錄密碼時，可以要求郵箱發送一個驗證碼給你的手機，這個驗證碼會被用于恢復你的郵箱賬號；?我們的郵箱地址與許多在線服務綁定在了一起。

Solana Labs將推出web3手機Saga，并設立1000萬美元生態基金:金色財經報道，Solana Labs首席執行官Anatoly Yakovenko在紐約市的一次活動中宣布，其團隊正在開發一款新Android手機Saga，該設備專注于Web3，將包含一個Web3 dapp商店、集成的“Solana Pay”以促進基于二維碼的鏈上支付、一個移動錢包適配器和一個“seed vault”（用于存儲私鑰）。Anatoly Yakovenko表示，它的成本約為1000 美元，計劃于2023年初開始交付。此外，Solana基金會承諾提供1000萬美元，以激勵開發人員利用其Solana Mobile Stack (SMS)構建應用程序。[2022/6/24 1:27:50]

1、授權的SIM轉移

聲音 | 三星高管：三星或在下個手機產品中繼續運用區塊鏈技術:據Zdnet消息，5月13日，三星電子無線事業部商品戰略組組長表示：Galaxy S10系列是激活區塊鏈生態系統的第一步，繼Galaxy S10之后，將逐步擴大支持區塊鏈功能的智能手機。此外， 繼韓國，美國，加拿大之后，也將繼續擴大服務對象國，并將與通信企業合作激活區塊鏈身份證和地區貨幣等相關技術。據悉，Galaxy S10系列配備”Blockchain Key Store”，可安全管理個人Key。即使沒有專門的硬件錢包，也可以在多個區塊鏈應用程序中使用結算、匯款等功能。[2019/5/13]

允許用戶將SIM卡轉移到另一臺設備，是移動運營商提供的一項服務。這項服務允許用戶將他們的電話號碼轉移到新設備上。在大多數情況下，當我們有了新手機或者要更換移動運營商時，就會發生這種情況，這是完全合法的要求。

動態 | HTC區塊鏈手機正式支持LTC支付:據李啟威推特消息，HTC區塊鏈手機Exodus今日宣布正式支持LTC支付，售價19.84 LTC。此前消息，李啟威于7月份成為HTC顧問，曾表示Exodus將支持BTC和LTC支付。[2018/12/6]

2、SIM卡轉移攻擊

但是，“SIM轉移攻擊”是由未經授權的攻擊者執行的惡意轉移。攻擊者把你的SIM卡轉移到他們控制的手機上。然后，攻擊者在你的電子郵件賬戶上啟動密碼重置流程。驗證碼會從你的電子郵件提供商發送到你的電話號碼，攻擊者會截獲該電話號碼，因為他們現在控制了你的SIM卡。

下圖逐步概述了攻擊的流程：

?首先，攻擊者會收集你的個人信息，把你鎖定為攻擊目標；?啟動SIM卡轉移申請，利用收集到的個人信息向移動服務商證明是你本人發起的申請，并要求移動服務商將你的SIM卡轉移到一個由他們控制的設備上；?現在你的SIM被轉移到了一個由攻擊者控制的設備上；?重置郵箱密碼，等待郵箱將驗證碼發到他們的手機上；?郵箱將驗證碼通過短信發送至攻擊者的手機上；?攻擊者獲取驗證碼，開始重置你的郵箱密碼，現在他們已經獲得了你的手機和電子郵箱的控制權。

富士康生產的超安全加密手機細節曝光:據bitcoin.com，關于Sirin Finney的技術細節已經浮出水面，這是一款超安全的移動設備，承諾保密加密貨幣交易。這款手機將配置一個嵌入式的冷錢包，并將由制造iPhone的同一家公司建造。Sirin Labs已經發布了其“超安全”冷存儲加密錢包手機的規范，預計今年晚些時候將會對市場產生影響。去年，該公司由足球巨星梅西助陣推廣。富士康國際控股(FIH)將在其設備中嵌入Finny設備，主導手機的原始設計和制造，而Sirin將引領冷錢包硬件和專業操作系統的開發。該平臺將以高通Snapdragon 845和128GB內存、6GB RAM和Android 8.1為基礎，將配備一個12MPx主相機和8MPx自拍相機和一個“超安全”的指紋傳感器。[2018/5/9]

一旦攻擊者控制了你的電子郵箱賬戶，他們就會開始逐步控制你通過該電子郵件管理的任何對他們而言有利可圖的在線服務。如果他們再做得過分些，甚至可以鎖定你的賬戶而你卻對此無能為力。

這里，我們稍微花點時間整理下你通過一個谷歌賬戶綁定的大量個人敏感信息：

?你的住址、出生日期和其他私人的個人身份信息；?有機會獲取你或者你伴侶的照片；?訪問你的日程表和近期的旅行日程；?訪問你的私人電子郵件、文檔和歷史搜索記錄；?獲取你的聯系人列表，這些聯系人的私人信息以及你們之間的關系；?獲取你用電子郵箱地址作為身份驗證來源的所有其他在線服務。

02這次攻擊事件的時間線

通過上面的鋪墊，相信你對攻擊者如何進行此類SIM卡轉移攻擊以及攻擊會造成的后果有了一定的了解。

下面，我和大家詳細說一下這次攻擊發生過程：攻擊是如何發起的，攻擊過程中我的經歷，以及萬一你也遇到類似的情況可以做些什么來保護自己。

攻擊發生的時間線，可以分為四個部分：

1、我所經歷的：在我看來，我所經歷的這些事或者如果你遇到類似的事情，都是你可能受到攻擊的明確指標。

2、攻擊者當時正在做什么：黑客潛入我的Coinbase賬戶時采用的策略。

3、我感受到的威脅級別：在這些事件發生時，我感受到的威脅級別。

4、我應該擁有的威脅級別：事后想來，在這些事情發生時，我希望自己擁有的威脅級別。

03經驗教訓和建議

這是我人生中最昂貴的一課。我在一天內永遠地失去了這筆對我而言意義重大的凈資產。

以下是我的一些如何加強防護措施的建議：

1、使用硬件錢包保護你的密碼：無論什么時候，如果你沒在交易，就把你的密碼保存在硬件錢包/離線錢包/多重簽名錢包，而不是把資金閑置在交易平臺中。

我把Coinbase當作一個銀行賬戶，一旦遭受攻擊，沒有任何可以挽回的措施。雖然我比大多數人更了解把錢放在交易平臺的風險，但從未想過這種事情會發生在我身上。我現在非常后悔沒有對我的加密貨幣采取更有力的安全措施。

2、基于手機短信服務的二次驗證并不夠安全：無論你想保護線上資產還是線上身份，請使用一些硬件裝備來增強防護措施。這樣一來，攻擊者為了實施攻擊，就必須在現實生活中拿到你儲存密碼的裝備。

谷歌身份驗證器和Authy可以將你的移動設備轉變為這樣的硬件裝備，從而提高安全性，但我建議你更進一步：選一個你可以實際控制且不會被攻擊者欺騙的Yubikey。

3、減少你的上網痕跡：抑制你想要在網上分享個人身份信息的沖動。在發生攻擊時，所有這類公開的數據信息都有可能會被用做發起攻擊的工具。

4、谷歌的語音二次驗證：在某些情況下，在線服務不支持基于硬件的二次驗證。這種時候，你最好創建一個谷歌語音電話號碼并使用谷歌語音電話作為你二次驗證的工具。

4、再創建一個電子郵件地址：不要將所有東西都綁定到同一個電子郵件地址。為一些非常重要的在線身份再創建一個郵件地址。這個郵件地址得保密，不要將它用于任何其他內容，使用基于硬件的二次驗證增強這個郵件地址的安全性。

5、離線密碼管理器：使用密碼管理器輸入密碼，最好是能使用離線密碼的管理器，比如PasswordStore。

04小結

我講出這次事件始末，目的是讓大家知道遭到攻擊是多么容易的一件事，希望大家采納我在上面提出的建議來加強你們的在線身份安全性。

我本可以做一些非常簡單、輕松的防護措施來保護自己，我也總忍不住地去想“如果我····”，那事情的發展是不是就會完全不一樣了。然而，當我這樣想的時候，另外兩種想法也向我襲來：懶惰和幸存者偏差。

之前我從未經歷過攻擊，因此我沒有嚴肅對待我的在線安全問題。雖然我了解自己的風險狀況，但我總是懶得以更嚴謹的態度來保護我的資產。所以，我懇請你們從我的這些錯誤中吸取教訓。

Tags：SIMOINCOI區塊鏈SIMPS幣CoinEx TokenTCGCoin區塊鏈運用的技術中不包括哪一項項

火必下載