SIM:黑客：没有内疚，这是“倒霉鬼”应得的_比特币

丢币一直是加密世界中老生常谈的话题，无论是个人用户还是交易所都曾因为数字资产被盗而麻烦上身。

作为罪魁祸首的黑客，早已成为个人用户的眼中钉、交易所的肉中刺。他们总是与加密货币形影不离，即使行情再不好，也总能捞到油水。令人不可思议的是，这次捞油水的还出来大放厥词。

01

近日，一位名为“Daniel”的黑客向一家加密媒体承认，他利用“SIM卡交换”绕过双重身份验证盗窃了总共价值50万美元的加密货币。

1.黑客给电信公司打电话，哭诉自己的SIM卡丢失了；

3.通过拦截双重身份验证文本或窃取存储在电子邮件账户中的密码。

据Micky.com报道，使用这种方法，每年都有数千万美元的加密资产被盗。尽管电信供应商声称他们有标准的协议来防止这种行为，但Daniel透露，总有办法说服他们的客户服务人员。

FTX称4.15亿美元加密货币遭黑客盗取，正在追回:1月18日消息，已破产的加密货币交易所FTX1月17日表示，正在评估可以返还给债务人的潜在追回款，包括创始人和前首席执行官山姆·班克曼-弗里德在巴哈马的资产。FTX还表示，确定将追回55亿美元的资产，其中包括被黑客盗走的4.15亿美元加密货币。（鞭牛士）[2023/1/18 11:18:16]

他说：“例如，你打电话假装在瑞典电信公司Tele2工作，请他们帮你转接一个号码。”。一旦号码被重定向，他就会使用Gmail或Outlook中的“忘记密码”选项来获取账户凭据。

Daniel承认，他没有任何罪恶感，因为他从来没有见过那些被他称为“倒霉鬼”的受害者，事实上，他还把责任归咎于“倒霉鬼”没有使用更好的安全措施。

根据分析公司CipherTrace的一份报告，SIM卡交换已成为一种越来越流行的技术。

Coincover推出针对在线加密钱包黑客攻击的保险业务:威尔士初创公司Coincover推出针对在线加密钱包黑客攻击的保险业务。该公司已得到了威尔士开发银行（Development Bank of Wales）和Welsh Angel investorsm的支持，以为加密钱包提供防盗和其他恶意黑客攻击的保险。Coincover已正式向市场推出加密货币保险产品，并得到了以Atrium为首的伦敦劳合社（Lloyd’s of London）保险公司财团的支持，其政策是与Prospect Insurance Brokers共同制定的。（InsiderMedia）[2020/3/9]

02

公开资料显示，今年年初，一个名叫JoelOritz的20岁美国加州男子成为第一个因劫持SIM卡而入狱的人。

动态 | 研究报告：加密挖矿黑客从截获元数据获得额外收入:据Coindesk消息，随着加密货币价格走低，幽灵加密挖矿黑客正转向截获元数据。网络安全公司Carbon Black最新发布的一份报告表示，2018年著名的Monero加密挖矿僵尸网络包含一个二级组件，可以获取IP地址、域名信息、用户名和密码。Carbon Black研究人员格雷格·福斯(Greg Foss)和玛丽安·梁(Marian Liang)称，2018年的僵尸网络行动被称为“Access Mining”，在过去两年中，他们一直在收集秘密数据，在这个过程中收获了数百万美元。黑客把安全数据变成了第二收入来源。一台感染病的机器在黑暗网络市场的平均售价为6.75美元。受感染的机器甚至可以出租24到48小时，作为黑客的被动收入来源。根据机器的位置和所有者的不同，机器的值可能会飙升。这两名研究人员表示，Access Mining很可能是继2018年熊市之后降低Monero（XMR）价格的结果。[2019/8/8]

本月早些时候，也有来自美国密歇根州的9个人被指控密谋通过劫持SIM卡窃取价值约240万美元的数字货币。黑客团伙遍布美国和爱尔兰，自称为"TheCommunity"。

动态 | 前开发人员披露Cryptopia黑客攻击行为是为掩盖相关公司的商业行为:据Bitcoinist消息，7月18日，一位自称是Cryptopia前开发人员的twitter用户vcdragon发文章称，自己和Cryptopia联合创始人Adam于2014年1月左右创建了兴趣项目Cryptopia，并随着Cryptopia逐渐成型，Adam辞去他在Intranet的开发人员职位，而Intranet公司不想批准Adam离职。随着加密市场的兴起，Intranet公司于2017年初提出，收购Cryptopia 20%股份，并将负责Cryptopia所有业务管理和发展，比如帮助招聘和管理员工、纳税、游说监管机构等业务。随后，Intranet通过雇佣新员工要求再获得Cryptopia 5%的股份，并最终迫使Adam辞职。同时，在该文章中，vcdragon还揭露了其他问题，Vcdragon在文章结尾处表示，其认为这次黑客攻击是为了掩盖Intranet所有的商业行为。[2019/7/20]

1.不使用手机号码进行双重身份认证，而是使用Google或Authy代替；

黑客盗币使出的手段五花八门，除了SIM卡交换外，利用“假充值”漏洞的黑客也相当猖獗。

03

5月2日，交易所BitoPro的XRP遭遇攻击，导致价格出现崩盘现象，损失约700万个XRP。据慢雾安全团队的溯源分析，这起攻击的本质原是BitoPro对接XRP时，充值校验不严谨，出现假充值漏洞。

前几日，降维安全实验室也发消息称，关注到不少项目方/交易所在确认客户交易时，只检测了是否存在交易哈希(txhash)，并未检测交易状态(txstatus)。这样容易遭受“假充值(FakeCharge)”攻击。恶意用户只需要发起延迟交易，并在随后的实际延迟交易中造成硬失败(hard_fail)，就可以不使用任何EOS，完成充值/押注等操作。

业内人士表示，“假充值”本质其实就是一种“空手套白狼”的行为，黑客利用交易所充值漏洞把钱包中并不存在的加密货币存入交易所账号，再通过交易套现或者套成其它币种并将其转走。部分交易所可能存在仅根据交易回执状态和链上确认次数对交易结果作判断，忽略了对账户实际状态的检查。

但事实上，这里的交易回执状态显示成功仅仅表明上链成功，并不代表完成了实际转账，如果交易所据此承认该笔转账就会产生虚假转账问题。除此之外，还有些交易所的充值校验代码并不严谨，黑客只需在客户端代码上稍动手脚就可以使无效交易变得有效。

据加密货币数据公司Chainalysis的研究资料显示，从2009年诞生到今年3月初，比特币已经有287-379万枚永久丢失，丢失的数量占到比特币总量的17%-23%，价值超过150亿美元。

而截至目前，全球数字货币交易所因安全问题损失金额已超29亿美金，假充值攻击作为一种频现的攻击方式，可以让攻击者轻易获取目标交易所资产，造成巨额损失。

04

资产安全一直是数字世界的重中之重，而黑客却成了安全的克星。但是，正如世界上的人千差万别一样，黑客也极富个人特色。

五一假期的最后一天，程序员的大本营被黑客攻击了。黑客放言“不交比特币赎金，就公开用户私有代码”，并给了十天限期。受到攻击的不仅仅是GitHub的私有库，其他代码托管网站GitLab、Bitbucket也同样受到了攻击。

这是司空见惯的勒索事件。慢雾科技创始人余弦表示，GitHub成为供应链攻击的重灾区，开发者活跃的地方，不仅存在后门仓库，还可能因为自己账号被黑，进而导致自己的仓库被偷偷植入后门。在区块链领域，历史上已经有几起被披露的供应链攻击事件，现在、未来还会有，开发者应该安全加固好自己的账号，包括：密码、双因素、私钥等，虽然这是个很简单的事，但总有人就是懒或无知或缺乏敬畏。

2014年8月15日，黑客从比特儿盗走了5000万个NXT币，价值约为1000万人民币。原因是比特儿平台将所谓的冷钱包私钥放在了服务器上，使得NXT并没有实现冷存储，于是获得钱包私钥的黑客将币取走。

有意思的是，当时平台和黑客谈判，愿意支付110个比特币作为赎金以赎回丢失的平台币，但最终结果是黑客拿走了比特币，也未归还NXT。比特儿也因为这个事件成为当时圈内的大笑话。

2014年12月，白帽黑客Johoe从某钱包里“盗取”了300枚BTC。原因是在钱包软件升级过程中产生了技术问题，导致临时性安全漏洞出现，这个安全漏洞仅仅存在了2个多小时，但还是给了Joheo机会。有趣的是，事后，Johoe如数归还了盗取的比特币。

今年3月份，日本媒体宣布，Monacoin被盗案终于水落石出，这名盗取了1500万日元的黑客是个“爱玩”的未成年。当警察问他盗币原因时，他回答说：“我发现了别人不知道的作弊漏洞，就想当个电子游戏玩一玩。”

然而，“利”字边上一把刀，有道是：君子爱财，取之有道。

标签：SIM比特币加密货币ANISIMPLE价格比特币最新价格行情走势加密货币市场行情走势分析MANITOS

BNB热门资讯