昨日，巨鲸用户币印创始人潘志彪不幸遗失了1500个比特币（价值约合1500万美元）以及约6万个比特币现金（价值约3000万美元），目前总价值达2.6亿元人民币。其比特币地址为：1Edu4ybtfAKwGGsQSa45euTSAG6A2Zbone；BCH地址为：1Hw8dtVC9bdxDz1su9Jx3GXTgjR75FJcMK。

慢雾安全团队推测，这位用户可能丢失了私钥，他在Reddit上发布了btC签名，并经验证无误。据猜测，他可能使用了某知名去中心化钱包服务，并且这种钱包居然还需要SIM卡认证，意味着存在用户系统，可以启用基于SIM卡的短信双因素认证。推测可能是Blockchain.info。

目前，针对数字货币市场的SIM卡交换攻击正在蔓延。本文将介绍一些遭遇SIM卡交换攻击的案例，并分享多种实用的方法来保护您的数字账户。

使用电话号码进行身份验证是一种不安全的做法。将比特币存放在加密货币交易所或借贷服务之类的第三方机构，也会降低安全性：“不是你的私钥，就不是你的币”这一原则在Twitter和比特币圈子中流传甚广。

一个典型的例子：在过去十年中，许多用户将数字货币存放在交易所或中心化借贷服务中，导致SIM卡交换攻击越来越频繁，最终导致用户的比特币和其他加密货币被盗。

对于攻击者来说，SIM卡交换攻击是一种低成本、低技术门槛的窃取用户手机账户的手段。攻击者需要了解电信运营商的身份验证方式以及被攻击者的某些个人信息。但通常情况下，仅需受害者的电话号码即可发起攻击。

目前，有明确的证据表明，美国多数拥有电信运营商号码的用户都极易受到SIM卡交换攻击。如果你不想丢失持有的比特币，了解这一事实可能会让你感到不安。

SIM卡交换攻击的兴起

由哈佛大学计算机科学系和普林斯顿大学信息技术中心的教授及博士生组成的联合研究小组在2020年1月发表的一项实证研究中，证明了SIM卡交换攻击潜在风险的增加。

普林斯顿大学副教授、该论文作者之一的Arvind Narayanan在推特上总结道：“攻击者冒充你的身份给你的运营商打电话，要求将服务转移到攻击者控制的新SIM卡上。”他还表示：“这本身已经够糟糕了，更别提你有数百个网站都使用的手机短信来进行两步验证，SIM卡交换攻击使你的账户处于危险之中。”

这项研究测试了美国五大无线电信运营商的身份验证协议：AT＆T、T-Mobile、Tracfone、US Mobile以及Verizon。在每个运营商尝试在10个不同的预付费账户进行SIM卡交换攻击后，作者发现所有五个运营商都使用了被认为不安全的身份验证方法。

Narayanan表示：“综合来讲，这些研究发现有助于解释SIM卡交换攻击为什么长久以来一直都存在。”

更麻烦的是，SIM卡交换攻击还带来一个问题。Narayanan承认，在研究期间他遭遇了SIM卡交换攻击。当他给运营商打电话报告这一欺诈行为时，其客户服务部门由于之前已经通过了对攻击者的验证，就无法对他进行验证了。但Narayanan利用研究成果，利用了运营商的协议漏洞，最终重新获得了对自己账户的控制。

对于Narayanan来说，他是幸运的，因为他立刻就意识到了这一攻击，并且重新找回了自己的账户。一旦攻击者控制了受害者的电信账户，他们就可以进行各种破坏。正如研究中所述，这在很大程度上是由于用户为在线访问数字资产时使用了不安全的身份验证方法。例如，使用基于手机短信或基于手机通话的两步认证（2FA）方法（一旦攻击者可以访问您的电信账户，这些方法就都不安全了）或者使用极易获得到答案的问题答案验证方法（比如，设置的问题是妈妈的婚前姓氏是什么）。此外，该研究还发现了17个网站，仅凭SIM卡交换攻击就可以破坏用户账户（此方法的基础数据来自twofactorauth.org网站的数据集）。该研究报告发布后不久，T-Mobile告知作者，在对其研究结果进行审查后，他们已停止支持使用“最近拨打的号码”来进行客户身份验证。

通过SIM卡交换攻击来盗取比特币

SIM卡交换攻击已经存在多年。许多SIM卡交换攻击的目标可以归为以下两个类别：拥有珍贵社交媒体账户的名人，例如Twitter的首席执行官Jack Dorsey，或者拥有大量加密货币的持有者。去年，在比特币牛市鼎盛时期，几位加密货币持有者都遭遇了SIM卡交换攻击。

2019年12月，加密货币专栏记者和播客主播Laura Shin发布了一个播客，其中讲述了她作为最近的SIM卡交换攻击受害者的经历。Shin的账号并未遭受财产损失，但她的经历值得注意，因为据她透露，尽管她之前曾在2016年报道过该主题，并在几年中一直积极保护自己的账号，但是她的账号仍然很脆弱。

最终，使比特币持有者比其他人更容易成为SIM卡交换攻击目标的原因是，比特币交易记录在区块链上，因此它们不能被撤销。与其他的线上账户不同，当局想要抓住盗取比特币的人要困难得多（尽管可以通过区块链分析来追踪被盗的币）。

此外，与大多数在线银行账户不同，只有少数加密货币交易所（如Coinbase、Gemini、ItBit和Binance）由FDIC保险提供担保，该保险为会员银行中的存款提供最高25万美元的保险。当将比特币的价值视为一种去中心化的、不变的资产时，这是很合理的。但是，这也意味着安全永远不应被视为一种理所当然的服务。

正义之轮

高净值加密货币所有者都熟知此事，比如Michael Terpin，他是一名企业家，与他人共同创立了首个针对比特币爱好者的天使基金——Bitangels基金。

Terpin在接受《比特币杂志》采访时谈到：“正义之轮转得很慢。”

在Terpin案中，大法官卷入了他于2018年8月针对AT＆T进行的2.24亿美元的诉讼中。有组织的黑客进行了两次攻击，交换了Terpin的T-Mobile和AT＆T手机账户的SIM卡。据Terpin称，第一次攻击时，一群攻击者“在一个小时内欺骗了波士顿这两家运营商营业厅中的员工，使运营商更换了我的SIM卡，让攻击者接管了我的认证凭证。”

在进行了SIM卡交换之后，黑客在Terpin开设的数字货币交易所账户中盗取了半个多比特币，“当时比特币的价格大约是100美元。”

在第一次遭遇SIM卡交换攻击之后，Terpin要求这两个运营商提供更高的安全性。于是，AT＆T和T-Mobile各自提供了“高级配置保护选项”。但是，正如Terpin声称的那样，在2018年1月，T-Mobile的“店内验证才能换卡服务”和AT＆T提供的“六位数账号密码服务”都被证明是毫无作用的。新泽西州AT＆T营业厅的一名19岁员工在接受了100美元的贿赂之后，向攻击者透露了Terpin的账号密码。

最终，这波攻击者盗取了价值2400万美元的山寨币。

“是的，”Terpin说，“那些攻击者们拿到的都是些垃圾币，但是恰好那天那些垃圾币的价格都很高。”

与比特币不同，Terpin被盗的山寨币（TRIG、SKY和STEAM）都没有支持的硬件钱包来备份他的私钥。

即便距离Terpin的上一次遭遇SIM卡交换攻击已经过去两年多了，Terpin说，每周都有新的SIM卡交换攻击的受害者联系他寻求帮助。如果这些受害者是美国人，Terpin就会把他 的法律团队介绍给他们，或者让他们去联系加州的REACT行动小组。

年轻的攻击者们

Terpin还参与了针对Nicholas Truglia的民事诉讼，Nicholas Truglia是一名21岁的纽约居民，被指控通过SIM卡交换攻击窃取了2400万美元。Truglia最初被指控从Ross White的账号窃取了价值100万美元的加密货币，Ross White是硅谷高管，创立了StopSIMCrime.org（译者注，该网站致力于阻止SIM卡犯罪）。

Terpin声称，根据Truglia在其他SIM卡欺诈保释听证会上的证据（一个iCloud备份文件）表明，Truglia可能也是窃取他2400万美元案件背后的SIM卡交换攻击者。在Terpin遭遇攻击的同一天，Truglia向他的家人和朋友们发送了一封邮件，他写道，他从数字钱包中窃取了价值超过2000万美元的加密货币，并且已经将其转换为比特币。他在邮件中说，他的生活彻底改变了。尽管调查仍在进行中，但Terpin声称，Truglia是26人组成的无中心SIM卡交换攻击小组的成员之一。

调查记者Brian Krebs将Truglia的案子与其他几起SIM卡交换案件所逮捕、指控以及宣判的对象结合起来，对这些人物进行了详细描述。根据Krebs的描述，这些犯罪者都是男性，年龄普遍在25岁以下。

2020年1月，一份报告指出，一名18岁的加拿大居民Samy Bensaci未能成功攻击Don Tapscott的SIM卡，后者是区块链研究小组的负责人。这个案例将加密货币社区中的许多SIM攻击目标与其在纽约市举行的年度共识会议的出席者联系起来了。它还证实了Krebs的报告，该报告中将SIM盗窃行为的目标与一个名为OGUsers.com的论坛中的用户联系在了一起。

比特币和隐私专家Matt Odell称：“我认为，每个人总是对年轻一代采用的新技术感到措手不及。”Matt Odell参与过多个项目，其中包括共同主持《密界奇谈（Tales From the Crypt）》播客。

就像比特币本身被大规模使用一样，比特币和相关的SIM卡交换盗窃手段似乎是一种由年轻一代发起的、剥削较原始系统的受害者的现象。

放弃便利，选择安全

Webroot的安全分析师Tyler Moffitt表示：“法律总是落后于新技术的创造。”他的这一番言论指的是比特币持有者正处于由于其无线运营商造成的危险境地。“我并不觉得在未来五年内会出现更严格的无线运营商消费者保护法，恐怕到那时候，黑客已经通过基于SIM卡交换攻击来盗取了大量加密货币，从而赚到了一大笔钱。”

许多人在便利性和安全性时都会选择便利性，Moffitt也是其中之一。这正是无线运营商账户的设计理念和整个美国社会的运行方式。

但是有人开始发声了。2020年1月9日，六位美国议员签署了一封联名信，这封信是致美国联邦通信委员会（FCC）主席Ajit Pai的一封信，Ajit Pai曾担任Verizon的总顾问。该信提倡加强针对无线运营商客户的SIM卡交换欺诈保护，并且信中还指出，据REACT行动工作组就SIM卡交换造成的总损失的调查声明称：“他们了解到全国有3000多名遭受SIM卡交换攻击的受害者，造成了总计7000万美元的损失。”

这封信还提到了，针对SIM卡交换黑客行为的指控变得越来越复杂的问题。目前，攻击者还可以通过欺骗或强迫运营商员工在其计算机上以远程桌面协议的形式运行恶意软件，从而直接入侵无线运营商的计算机中，而不仅仅是通过行贿的手段。

信中问道：“您是否看到过类似的入侵无线运营商的报道，包括对营业厅的计算机以及客户服务代理商的计算机进行入侵的报道？”

让该问题更进一步的是，立法者们和这封信的作者们意识到，SIM卡交换攻击对国家安全构成了非常现实的威胁。据称，许多政府机构员工都在使用不同级别的2FA认证手段。假设一群有组织的黑客或某些国家的民族主义者可以通过该手段访问政府官员的电子邮件账户，然后利用了该访问权限进行了严重的破坏行为，例如从联邦紧急事务管理局的系统中发出虚假的紧急警报。

Terpin在2019年秋季向FCC也发了一封类似的信，其中包含更具体的请求。

他写道：“我建议FCC让所有美国运营商都要使用密码。”

这是无线运营商的核心安全策略的失败之处，与银行、航空公司和酒店不同，无线运营商判断无线账户的访问权限不是完全基于密码的，运营商员工也可以获知用户的无线账户密码。这一设计主要是为了在客户摔坏或丢失手机，然后急需使用无线账号时，为客户提供便利服务。然而，鉴于许多运营商营业厅，甚至以最大运营商名称冠名的营业厅，实际上都是第三方运营的店，因此这种核心安全漏洞则显得更加严峻。

硬件安全公司Yubico的首席产品官Guido Appenzeller说：“不仅仅是电信公司的员工，每个第三方营业厅的雇员都可以访问这些数据库。”Yubico是发明著名的YubiKey的公司。

除了在某些地区，第三方运营商的员工最低时薪每小时低至10美元，基于这一情况，其实不难理解，为什么这些运营商的雇员会以每个账号100美元的价格泄露用户的账号密码。

保护自己不受SIM卡交换攻击应是比特币安全的一部分

比特币文化从一开始就达成了一个共识，那就是：要获得真正的自由就意味着，自己要为自己的个人身份、资产以及技术负责。比特币圈子的人们通常不会为了便利性而牺牲隐私性和安全性，但是人们会因为可以从交易以及借贷服务中牟利而牺牲它们。总体而言，造成的损失越多，提升比特币安全性的动力也就越强。但是不要以为你的币不多就不会成为被攻击的对象。

比特币与传统业务之间的差异是无线运营商未针对比特币用户进行优化的原因之一。大多数的用户并不会成为SIM卡交换攻击的目标。但是，根据Appenzeller的说法，如果有人“号称有价值超过10,000美元的比特币钱包，使用SIM卡交换进行攻击无疑在经济上对黑客具有很强的吸引力”。

还有一些更复杂、更容易成功的恶意攻击案例，它们绕过了基于应用程序的2FA验证，因此都无需使用SIM卡交换攻击。这些攻击手段包括使用冒名的钓鱼网站（例如上次Binance黑客攻击中所使用的钓鱼网站）或者使用危害更大的DNS劫持或DNS污染行为（例如海龟行动），但是这种攻击手段通常都是由其他国家从事间谍活动的攻击者发起的。

好消息是，技术上已经可以防止SIM卡交换攻击和更复杂的网络钓鱼攻击。大众消费者市场上最强大的2FA方法是U2F，即利用USB进行两因素身份验证。Appenzeller表示，使用U2F可以消除基于SIM卡进行攻击的风险，并消除了“网络钓鱼和其他中间人攻击以及其他恶意软件攻击等攻击方式”。

Appenzeller的公司Yubico与Google共同创造了U2F，并在其旗舰产品YubiKey进行了应用。这样，YubiKey相当于一个2FA验证的硬件钱包。截至撰写本文时，还没有一个使用该产品的用户遭受SIM卡交换的相关攻击。

如何避免SIM卡交换攻击

为了编纂本文，我们与几位安全专家和比特币社区的成员进行了交流。根据这些信息，列出了以下避免遭受SIM卡交换攻击的“要做”和“不要做”的列表：

对于初学者以及普通的比特币用户

要将比特币保存在硬件钱包中，不要使用基于手机的2FA认证。

“要使用硬件设备以及多重签名机制来保护你的私钥；要使用基于硬件的2FA验证设备来访问Web应用；不要使用短信2FA验证方式；不要启用能够通过手机号码重置或找回账号的服务”——Jameson Lopp，Bitcoin Core的工程师

如果您不交易比特币，请不要将比特币保留在交易所账号中。请参阅此交易所清单，其中涵盖了因黑客攻击以及其他恶意行为而导致用户损失的交易所。

与您的电信运营商联系，加强其服务的安全性，并使用基于应用程序的身份验证器，比如Google的身份验证器或者Authy。——Tyler Moffit

对于使用手机账户共享身份的用户（我们绝大多数人）

重新检查您的电信运营商和其他在线账户的安全策略。您可以尝试入侵自己的

标签: 比特币行情