黑客:没有内疚,这是“倒霉鬼”应得的

2019-05-22 黑客:没有内疚,这是“倒霉鬼”应得的已关闭评论

黑客:没有内疚,这是“倒霉鬼”应得的

文 | 阳冰

丢币一直是加密世界中老生常谈的话题,无论是个人用户还是交易所都曾因为数字资产被盗而麻烦上身。 

作为罪魁祸首的黑客,早已成为个人用户的眼中钉、交易所的肉中刺。他们总是与加密货币形影不离,即使行情再不好,也总能捞到油水。令人不可思议的是,这次捞油水的还出来大放厥词。

01

“倒霉鬼”的错?

近日,一位名为“Daniel”的黑客向一家加密媒体承认,他利用“SIM 卡交换诈骗(SIM swap scam)”绕过双重身份验证盗窃了总共价值50万美元的加密货币。

对他来说,盗窃相当容易,只需要简单的3步: 

1.黑客给电信公司打电话,哭诉自己的(其实是你的)SIM 卡丢失了;

2.他们要求将你的手机号重定向到他们的手机号;

3.通过拦截双重身份验证文本或窃取存储在电子邮件账户中的密码。 

就这样,他们能轻松地登录你的加密货币账户,像拿走自己的资产一样,盗走了你的加密资产。 

据Micky.com报道,使用这种方法,每年都有数千万美元的加密资产被盗。尽管电信供应商声称他们有标准的协议来防止这种行为,但Daniel透露,总有办法说服他们的客户服务人员。 

他说:“例如,你打电话假装在瑞典电信公司Tele2工作,请他们帮你转接一个号码。”。一旦号码被重定向,他就会使用Gmail或Outlook中的“忘记密码”选项来获取账户凭据。 

Daniel承认,他没有任何罪恶感,因为他从来没有见过那些被他称为“倒霉鬼”的受害者,事实上,他还把责任归咎于“倒霉鬼”没有使用更好的安全措施。 

根据分析公司Cipher Trace的一份报告,SIM卡交换已成为一种越来越流行的诈骗技术。

02

20岁便锒铛入狱

公开资料显示,今年年初,一个名叫Joel Oritz 的20岁美国加州男子成为第一个因劫持SIM 卡而入狱的人。 

Joel Oritz承认,他通过劫持40个用户的SIM 卡窃取敏感数据,从而在受害者那里盗取了500多万美元的资产。 

本月早些时候,也有来自美国密歇根州的9个人被指控密谋通过劫持SIM 卡窃取价值约240万美元的数字货币。黑客团伙遍布美国和爱尔兰,自称为”The Community(社区)”。 

通过SIM卡交换诈骗的例子很多,好在相对容易防范。业内资深人士表示,主要从以下2点入手: 

1.不使用手机号码进行双重身份认证,而是使用Google或Authy代替;

2.使用诸如Ledger或Trezor之类的硬件钱包,在交易所之外存储你的加密货币。 

黑客盗币使出的手段五花八门,除了SIM卡交换诈骗外,利用“假充值”漏洞的黑客也相当猖獗。

03

“假充值”造成巨额损失

5月2日,台湾交易所BitoPro的XRP遭遇攻击,导致价格出现崩盘现象,损失约700万个XRP。据慢雾安全团队的溯源分析,这起攻击的本质原是BitoPro对接XRP时,充值校验不严谨,出现假充值漏洞。                     

前几日,降维安全实验室也发消息称,关注到不少项目方/交易所在确认客户交易时,只检测了是否存在交易哈希(tx hash),并未检测交易状态(tx status)。这样容易遭受“假充值(Fake Charge)”攻击。恶意用户只需要发起延迟交易,并在随后的实际延迟交易中造成硬失败(hard_fail),就可以不使用任何EOS,完成充值/押注等操作。 

黑客:没有内疚,这是“倒霉鬼”应得的

业内人士表示,“假充值”本质其实就是一种“空手套白狼”的行为,黑客利用交易所充值漏洞把钱包中并不存在的加密货币存入交易所账号,再通过交易套现或者套成其它币种并将其转走。部分交易所可能存在仅根据交易回执状态和链上确认次数对交易结果作判断,忽略了对账户实际状态的检查。 

但事实上,这里的交易回执状态显示成功仅仅表明上链成功,并不代表完成了实际转账,如果交易所据此承认该笔转账就会产生虚假转账问题。除此之外,还有些交易所的充值校验代码并不严谨,黑客只需在客户端代码上稍动手脚就可以使无效交易变得有效。 

降维安全实验室建议项目方/交易所在对待交易时,不仅应关注交易哈希是否存在,还需要关注交易状态的值,以确认交易的真实性。 

据加密货币数据公司Chainalysis的研究资料显示,从2009年诞生到今年3月初,比特币已经有287-379万枚永久丢失,丢失的数量占到比特币总量的17%-23%,价值超过150亿美元。 

而截至目前,全球数字货币交易所因安全问题损失金额已超29 亿美金,假充值攻击作为一种频现的攻击方式,可以让攻击者轻易获取目标交易所资产,造成巨额损失。

04

极富个人特色的黑客们

资产安全一直是数字世界的重中之重,而黑客却成了安全的克星。但是,正如世界上的人千差万别一样,黑客也极富个人特色。 

五一假期的最后一天,程序员的大本营被黑客攻击了。黑客放言“不交比特币赎金,就公开用户私有代码”,并给了十天限期。受到攻击的不仅仅是GitHub的私有库,其他代码托管网站GitLab、Bitbucket也同样受到了攻击。 

这是司空见惯的勒索事件。慢雾科技创始人余弦表示,GitHub成为供应链攻击的重灾区,开发者活跃的地方,不仅存在后门仓库,还可能因为自己账号被黑,进而导致自己的仓库被偷偷植入后门。在区块链领域,历史上已经有几起被披露的供应链攻击事件,现在、未来还会有,开发者应该安全加固好自己的账号,包括:密码、双因素、私钥等,虽然这是个很简单的事,但总有人就是懒或无知或缺乏敬畏。 

黑客:没有内疚,这是“倒霉鬼”应得的

除了这类爱勒索的黑客外,还有黑客简直没有黑客的“操守”。 

2014年8月15日,黑客从比特儿盗走了5000万个NXT币,价值约为1000万人民币。原因是比特儿平台将所谓的冷钱包私钥放在了服务器上,使得NXT并没有实现冷存储,于是获得钱包私钥的黑客将币取走。

有意思的是,当时平台和黑客谈判,愿意支付110个比特币作为赎金以赎回丢失的平台币,但最终结果是黑客拿走了比特币,也未归还NXT。比特儿也因为这个事件成为当时圈内的大笑话。 

当然,还有白帽黑客Johoe这类“盗取”后又归还的。 

2014年12月,白帽黑客Johoe从某钱包里“盗取”了300枚BTC。原因是在钱包软件升级过程中产生了技术问题,导致临时性安全漏洞出现,这个安全漏洞仅仅存在了2个多小时,但还是给了Joheo机会。有趣的是,事后,Johoe如数归还了盗取的比特币。 

此外还有“当个电子游戏玩一玩”的黑客。 

今年3月份,日本媒体宣布,Monacoin(萌奈币)被盗案终于水落石出,这名盗取了1500万日元的黑客是个“爱玩”的未成年。当警察问他盗币原因时,他回答说:“我发现了别人不知道的作弊漏洞,就想当个电子游戏玩一玩。” 

随着加密货币的赚钱效应飙升,越来越多黑客都虎视眈眈。无论采用哪种盗币方式,都是为了一个“利”字。

然而,“利”字边上一把刀,有道是:君子爱财,取之有道。