編者按:本文來自區塊鏈大本營,作者:DavidHollerith,翻譯:泓技,Odaily星球日報經授權轉載。使用電話號碼進行身份驗證是一種不怎么可取的安全認證方法。將比特幣交給提供加密貨幣交換或借貸等服務的第三方也會降低安全性--“不是你的秘鑰,則硬幣不屬于你”是安全性建議,這點在Twitter和比特幣圈內已廣為傳播。舉個例子:在過去十年的大部分時間里,這兩種做法的結合導致了越來越多的SIM交換攻擊,最終導致盜竊比特幣和其他加密貨幣的行為日益猖獗。SIM卡交換是攻擊者獲得受害者無線電話帳戶控制權的一種低成本、非技術性的方式。要發起攻擊,黑客需要知道移動無線運營商如何驗證身份以及有關受害者的某些信息。通常,得到受害者的一個電話號碼就足夠了。現在,有明確的證據表明,美國大多數擁有無線運營商電話號碼的人都容易受到SIM交換的攻擊。如果你持有不想被盜的比特幣,這一事實可能會更加令人痛苦。
SIM卡交換的興起
由哈佛大學計算機科學系和普林斯頓大學信息技術政策中心的教授和博士組成的聯合研究小組在2020年1月發表的一項經驗研究中證明了潛在的SIM交換的日益增加。普林斯頓大學副教授,論文的作者之一阿文德·納拉亞南在推特上總結道:“攻擊者打電話給你的載體,假裝是你,并要求將服務轉移到新的由攻擊者控制的SIM卡上。這已經夠糟糕了,但是數百個網站還在使用SMS(ShortMessageService短信服務)進行兩因素身份驗證,使你的帳戶處于危險之中。”該研究測試了美國五家主要無線運營商的身份驗證協議--AT&T,T-Mobile,Tracfone,USMobile和Verizon。SIM卡交換測試為每個運營商嘗試10個不同的預付費帳戶,經過測試之后,作者發現所有五個運營商都使用了被認為不安全的身份驗證方法。納拉亞南表示:“綜合起來,這些發現有助于解釋為什么SIM卡交換一直是一個持續存在的問題。”更麻煩的是,SIM卡交換問題已經嚴重到在研究期間納拉亞南的手機SIM卡都被交換了。當他打電話報告欺詐行為時,其運營商的客戶服務部門在驗證了攻擊者之后就無法對教授進行驗證。最后納拉亞南通過運用研究成果來利用運營商的協議漏洞,從而重新獲得了對無線帳戶的控制。幸運的是,納拉亞南迅速做到了這一點。一旦攻擊者控制了受害者的無線帳戶,他們就有可能進行大量的破壞。如研究中所述,這在很大程度上是由于用戶為在線訪問數字資產設置的不安全的身份驗證方法和安全性問題。此外,該研究還發現了17個網站,僅憑SIM交換就可以破壞用戶帳戶。該研究發布后不久,T-Mobile告知作者,在對其進行審查后,它已停止使用“最近的號碼”進行客戶身份驗證。
滑雪板品牌Kemper通過SIMBA Chain發布NFTs系列:金色財經報道,單板滑雪品牌Kemper Snowboards已準備好在極限運動類別中推出NFT產品。NFT的發布將以其復古單板向80和90年代致敬。NFT系列的推出得到了SIMBA市場的支持-由SIMBA Chain構建。區塊鏈技術平臺將為客戶托管Kemper的數字房間,并提供支持、銷售建議、托管等。Riders Collectiv是一個獨一無二的首創空間,將為粉絲和追隨者提供所有類型的極限運動NFT。TheCollectiv正在與該領域更多相關的合作伙伴和專業人士合作,為公司的品牌提供舉辦其獨家NFT的機會,作為單一的快節奏、以行動為中心的數字體驗。添加到Collectiv的項目將在SIMBA Market的極限運動類別中提供。(cryptonews)[2022/4/8 14:11:22]
通過SIM交換盜取比特幣
SIM交換已經進行了多年。許多SIM卡交換目標屬于以下兩個類別之一:擁有珍貴社交媒體帳戶的名人,例如Twitter的首席執行官,杰克·多爾西或擁有大量加密貨幣的人。去年,在比特幣牛市鼎盛時期,一些加密貨幣所有者就被進行了SIM交換。2019年12月,加密貨幣記者和播客LauraShin發布了一個播客片段,講述了她作為最近的SIM卡交換受害者的經歷。Shin并未遭到搶劫,但她的經歷值得注意,因為她透露,盡管她之前曾在2016年報道過該主題并在幾年前積極保護自己的帳戶,但她仍然很脆弱。最終,使比特幣所有者比其他無線運營商客戶更容易作為SIM交換目標的事實是,比特幣交易記錄在區塊鏈上,因此它們不能被撤銷。與無線帳戶不同,當局要抓住被盜的比特幣要困難得多。此外,與大多數在線銀行賬戶不同,只有少數加密貨幣交易所由FDIC保險提供擔保,該保險為會員銀行中的存款提供最高25萬美元的保險。當將比特幣的價值視為一種去中心化的不可變資產時,這是很合理的。但這也意味著安全永遠不應被視為理所當然。
資產管理公司Simplify向美國SEC提交Web3 ETF申請:1月13日消息,資產管理公司Simplify Asset Management向美國證券交易委員會(SEC)提交了針對Web3的交易所交易基金 (ETF)申請,Simplify Volt Web3 ETF旨在跟蹤有望從技術基礎設施中受益的Web3公司。如果獲得批準,將以股票代碼WIII在紐約證券交易所進行交易。該主動管理型ETF將由Simplify Asset Management CEO兼聯合創始人Paul Kim及其首席信息官兼聯合創始人David Berns管理,不直接投資加密貨幣,但會將其總資產的10%分配到灰度比特幣信托基金。(CoinDesk)[2022/1/13 8:45:47]
正義之輪轉得太慢
企業家和投資者邁克爾·特平是高凈值加密貨幣所有者,他與人共同創立了第一個針對比特幣愛好者的天使基金,即Bitangels基金,他們都非常清楚這一宗旨。“正義之輪轉得很慢,”特平在接受《比特幣雜志》采訪時說。關于Terpin案的司法糾紛卷入了他于2018年8月針對AT&T進行的2.24億美元持續訴訟中。兩次有組織的黑客交換了Terpin的T-Mobile和AT&T帳戶相關的SIM卡。據他介紹,第一次SIM交換后,一群攻擊者“在波士頓的兩家商店里互相毆打,以使我放棄這兩個帳戶的憑據。”在進行了這些交換之后,黑客在Terpin開設的交換帳戶中搶了一半多一點的比特幣,“當時比特幣大約是100美元。”第一次SIM交換后,Terpin要求兩個運營商提供更高的安全性。事實證明,AT&T和T-Mobile各自提供了“高級配置保護選項”。但是,就像Terpin說的一樣,當T-Mobile的店內驗證“無端口”選項和AT&T添加的六位數帳戶密碼都被證明無用時,2018年1月,一名新澤西AT&T零售店的19歲員工出賣了Terpin的賬戶密碼,以換取100美元的賄賂。作為回報,這組攻擊者盜竊了2400萬美元的山寨幣。“是的,”Terpin說,“他們唯一能得到的就是山寨幣,但那天它們恰好具有很高的價值。”與比特幣不同,Terpin被盜的山寨幣沒有可用的錢包私鑰硬件備份選項。盡管Terpin的上一次SIM交換發生在兩年多以前,但他說,每周都有一名新的SIM交換受害者與他聯系,以尋求幫助。如果他們真想解決的話,他會將他們指向他的法律團隊和加利福尼亞州的REACT工作組。
StormX首席執行官Simon Yu:最近的加密熱潮帶來了更多采用:金色財經報道,加密公司StormX的首席執行官Simon Yu表示,2021年的加密貨幣使用情況與2017年反彈時的不同,散戶和機構對加密的興趣比以往任何時候都迎來了更多的采用。將加密貨幣融入日常生活的各個方面為其自身提供了成長和鞏固的空間,??它正在成為法定貨幣的重要替代金融體系,并且人們已開始注意到這一點。[2021/6/19 23:49:12]
SIM卡交換盜賊的故事
Terpin還參與了針對NicholasTruglia的民事訴訟,NicholasTruglia是一名21歲的紐約市居民,被控通過SIM卡互換竊取2400萬美元。Truglia最初被指控從硅谷高管兼StopSIMCrime.org的創建者RossWhite竊取了100萬美元的加密貨幣。Terpin聲稱,在Truglia的另一次SIM欺詐保釋聽證會上的證據表明Truglia可能也是他2400萬美元攻擊背后的SIM卡交換者。在Terpin襲擊的同一天,Truglia向家人和朋友發送了郵件,表明他從錢包中竊取了價值超過2000萬美元的加密貨幣,并將其轉換為比特幣,他的生活永遠改變了。盡管調查仍在進行中,但Terpin聲稱Truglia是由26人組成的分散式SIM卡交換小組的成員之一。調查記者布萊恩·克雷布斯將Truglia的案子與盜竊SIM卡交換者的其他幾項逮捕,指控和刑罰結合在一起,對這些角色進行詳細的描述。據克雷布斯說,他們都是男性,年齡在25歲以下。2020年1月,一份報告指責18歲的加拿大居民SamyBensaci對區塊鏈研究小組負責人DonTapscott實施SIM交換,所幸的是這未能成功。這個故事將加密貨幣社區中的許多SIM交換目標與其在紐約市舉行的年度共識會議的出席聯系起來。它還證實了Krebs的報告,該報告將SIM交換加密貨幣盜竊行為與名為OGUsers.com的在線論壇的用戶相聯系。比特幣和隱私專家MattOdell說:“我認為每個人總是對年輕一代采用新技術感到措手不及。”他參與了多個項目,例如共同主持“地窖故事”播客。就像大規模采用本身一樣,比特幣和相關的SIM卡交換盜竊的現象似乎是由年輕一代針對較原始系統的受害者發起的。
聲音 | AMO基金會創始人Sang Gyoo Sim:中國將引領汽車數據區塊鏈市場:AMO基金會創始人Sang Gyoo Sim博士今日表示,對中國引領汽車數據區塊鏈市場抱有最大期望。據荷蘭2017年中國汽車銷售報告,中國當年汽車銷量增長2.6%,略高于2420萬輛,達2011年1230萬輛的兩倍。此外,隨著全球智能城市試點的啟動,中國擁有超500個智能城市的建設計劃。據此,中國具備在全國范圍內采用區塊鏈技術的優良環境,中國不僅可引領科技界趨勢,還是大數據收集和分析的核心,相信中國會為AMO區塊鏈的未來奠定堅實基礎。[2018/11/2]
選擇安全而不是方便
Webroot的安全分析師泰勒·莫菲特表示:“圍繞這項技術創造的法律總是落后的。”他指的是比特幣所有者由于其無線運營商而處于獨特的危險境地。“我看不出在未來五年內會出現,到那時,黑客已經從SIM交換盜竊加密貨幣中賺了一大筆錢。”莫菲特是眾多認為在權衡便利性和安全性時,人們將始終傾向于便利性的人之一。這正是無線運營商賬戶和整個美國社會被設計成的方式。但是響亮的聲音開始發出。2020年1月9日,美國六位議員簽署了致美國聯邦通信委員會主席阿吉特·派的一封信,他此前曾擔任Verizon的總顧問。該信提倡加強針對無線客戶的SIM交換欺詐保護,并指出了調查人員與REACT工作組就SIM交換總損失的聲明:“他們已經知道3000多名SIM交換受害者,這造成了7000萬美元的損失。“這封信還解決了SIM卡交換黑客行為變得更加復雜的指控問題。現在,攻擊者還通過欺騙或強迫零售員工在其計算機上以遠程桌面協議的形式運行惡意軟件,從而直接入侵無線運營商計算機中,而不僅僅是行賄。信中寫道:“你是否曾看到有關違規的報道……涉及對無線運營商的入侵,包括零售商店中的計算機以及客戶服務代理商使用的計算機?”更加嚴重的是,這封信的立法者和作者認識到,SIM卡交換盜竊對國家安全構成了非常現實的威脅。據稱許多政府機構雇員使用不同級別的2FA。在這種假設下,有組織的黑客或民族國家行為者團體可以訪問公共官員的電子郵件帳戶,然后以幾種嚴重的破壞性方式利用該訪問權,例如從聯邦緊急事務管理局的警報和警告中發出虛假的緊急警報。Terpin在2019年秋季向FCC發送了類似的信,其中有更具體的要求。他寫道:“我建議FCC讓所有美國運營商都收回其私密密碼。”這是無線運營商的核心安全故障–與銀行,航空公司和酒店不同,這些機構的無線帳戶的密碼訪問權限是基于是否具有密碼而“通過”或“失敗”,但運營商員工可以使用整個無線帳戶的密碼。主要是為了方便客戶,當客戶摔壞或丟失手機,然后急需返回我們的以移動設備為中心的世界時。但是,鑒于許多運營商商店,甚至以最大運營商名稱冠名的商店,實際上都是第三方擁有和經營的,因此這種核心安全漏洞顯得更加糟糕。“不僅僅是電信公司的員工,”Yubico的首席產品官GuidoAppenzeller說。Yubico是一家以發明YubiKey聞名的硬件安全公司。“每個第三方零售雇員都可以訪問這些數據庫。”在某些地區,第三方零售運營商的最低時薪每小時低至10美元,很明顯,這就是為什么零售零售商會以每100美元的價格泄露數千個帳戶密碼的原因。
Fxstreet分析師Tanya Abrosimova:看漲勢頭在減弱 比特幣波動性下降至去年5月以來最低水平:Fxstreet分析師Tanya Abrosimova分析,加密貨幣市場正在復蘇,但看漲勢頭在減弱,復蘇可能會暫停。最近幾周市場波動性有所下降,自2018年初以來,30天比特幣波動率指數下降8%,現報2.77%,這是自2017年5月以來的最低水平。[2018/6/6]
保護自己免受SIM交換的影響應該是比特幣文化的一部分
從一開始,比特幣文化中就有一條深植其代碼中的共同信仰—獲得真正的自由意味著要承擔個人,財務和技術責任的新高度。隱私和操作安全沒有什么不同,通常我們不會為了方便而犧牲它們,但會在交易和借貸等牟利活動中喪失。總體而言,損失更多是提高比特幣安全性的最佳動力,但重要的是不要以為你的行李不夠大而成為盜竊的受害者。打破常規是無線運營商未針對比特幣用戶進行優化的原因之一。大多數人不會成為SIM交換的目標,但是,根據Appenzeller的說法,如果有人“說有超過10,000美元的比特幣錢包,SIM交換無疑在經濟上對黑客有吸引力”。還有一些更復雜,更容易獲得的惡意軟件攻擊實例,它們繞過了基于應用程序的2FA,而無需進行SIM交換。其中包括使用冒名頂替者的仿冒網站,例如上次Binance黑客攻擊中所使用的網站,以及危害更大的DNS劫持或中行為,通常由民族行為者用來從事間諜活動,例如海龜行動。好消息是,有可用的技術可以防止SIM交換和更復雜的網絡釣魚攻擊。大眾消費者市場上最強大的2FA方法是U2F,即使用USB的兩因素身份驗證。Appenzeller表示,使用U2F消除了基于SIM卡的攻擊的風險,并消除了“網絡釣魚和其他中間人攻擊以及其他惡意軟件攻擊”。他的公司Yubico與Google共同創建了U2F,并在其旗艦產品YubiKey中使用了U2F。這樣,YubiKey相當于2FA的硬件錢包,并且在撰寫本文時,還沒有一個用戶成為SIM交換相關盜竊的犧牲品。
如何避免SIM卡交換攻擊
對于本文,我們與幾位安全專家和比特幣社區成員進行了交談。根據這些信息,以下列出了為避免SIM卡交換攻擊而應做的“不要做的事項”:對于初學者和普通比特幣用戶將比特幣保存在硬件錢包中,并停止使用基于電話的2FA。“請使用硬件設備和multisig保護你的私鑰。不要使用基于瀏覽器的錢包,因為它們具有巨大的攻擊面。請勿將基于硬件的2FA用于支持它的任何Web應用程序。不要使用SMS2FA,也不要通過電話號碼重置/恢復在線帳戶。”-JamesonLopp,比特幣核心工程師如果你不使用比特幣進行交易,請不要將其保留在交易所中。請參閱此交易清,這些交易所因黑客和其他惡意活動而丟失了客戶的錢。與你的電話運營商討論加強安全性,并使用基于應用程序的身份驗證器。“你可以要求電話運營商提供更高的安全性。你不應該使用SMS驗證器。使用GoogleAuthenticator或Authy等身份驗證應用。”泰勒·莫菲特對于使用無線電話帳戶共享身份的任何人重新訪問你的無線運營商和其他在線帳戶的安全策略。你可以嘗試入侵自己的帳戶來進行測試。Twofactorauth.org是一個不錯的起點。“從長遠來看,我認為真正的問題是為什么我們仍然使用電話號碼?檢查你是否安全的最簡單方法是嘗試使用你的電話號碼進入所有帳戶,如果可以的話,你會遇到SIM卡交換漏洞。”—馬特·奧德爾對于那些認為自己的比特幣硬件錢包足夠安全的人結合使用密碼管理器和你的比特幣錢包。定期測試你的程序,即使它很簡單。“我正在使用密碼管理器,這是一個很好的做法。與我一起工作的每個人都使用密碼管理器。”—GuidoAppenzeller“就密碼/密鑰管理而言,我使用多個加密USB備份的可靠密碼管理器。房屋外面至少一個備份。我總是在旅行時攜帶一份副本,偶爾與我的妻子和另一個兄弟一起進行測試和設置瀏覽。我的大部分資產位于硬件錢包上,然后適度放入比特幣核心錢包,我用它為我的所有Casa,移動應用,Lightning,beta客戶等提供資金。”—加密貨幣播客主持人GuySwann為了獲得最高的安全性,對消費者友好擁有至少一個YubiKey,它們相對便宜。“購買多個YubiKeys,并盡可能將它們用于2FA。許多密碼管理器支持YubiKey2FA,而許多Web應用程序現在支持U2F2FA,較新的YubiKeys也支持。如果Web應用程序僅支持TOTP滾動代碼,你仍然可以使用Yubico身份驗證器應用程序將數據保存在YubiKey上。”—詹姆森·洛普避免更復雜的攻擊為敏感帳戶網頁添加書簽。“Binancehack是一個很好的例子,說明應用程序2FA何時可能失敗。在這種情況下,他們正在Google中搜索Binance并選擇第一個網頁,在這種情況下,這是一個假網站,通過付費將其推到Google搜索的頂部促銷一天。你應該在敏感網頁上添加書簽,黑客可能會嘗試偽造這些網頁。”泰勒·莫菲特積極改善你的操作安全性為“SIM卡交換”或“黑客”和“法院案例”設置Google警報。“作為平民,很難將操作安全性視為對其他公民重要的事物。現實世界中許多最佳的操作安全性實例--好的操作安全性和差的操作安全性-通常是從詳細描述犯罪組織的法庭文件中提取的。其他好的例子通常來自情報或軍事領域,似乎很少適用。”—@5auth,cryptomarket和黑暗市場研究員。有關如何保護你的比特幣免受SIM交換攻擊以及如果發生意外時如何處理的更多信息,請參閱《SIM交換圣經》。當比特幣牛市時,攻擊往往會發生。
編者按:本文來自蜂巢財經News,作者:凱爾,Odaily星球日報經授權轉載。1月10日,尚幣合約交易所平臺幣SOB的私募投資者終究沒等來退幣,這家交易所又一次放了鴿子.
1900/1/1 0:00:00智能合約能夠完全顛覆現有商業邏輯。目前,區塊鏈技術和加密貨幣引起了廣泛討論,然而在區塊鏈上可自動執行的智能合約卻時常被忽視或甚至被誤解.
1900/1/1 0:00:00文/陳海寧編輯/獨秀本文首發于微信公眾號鋅鏈接,關注公眾號,和我們一起探索產業區塊鏈價值。如需轉載文章,請微信申請開白名單。2019年是產業區塊鏈元年,這是一個富有爭議的命題.
1900/1/1 0:00:00編者按:本文來自:以太坊愛好者,作者:PaulSztorc,翻譯&校對:IANLIU&阿劍,Odaily星球日報經授權轉載.
1900/1/1 0:00:00編者按:本文來自互鏈脈搏,作者:互鏈脈搏·元尚,Odaily星球日報經授權轉載。“1024會議”后,區塊鏈的應用落地明顯加快了。上不上鏈已經不是問題,但如何上鏈以及上什么鏈成了問題.
1900/1/1 0:00:00根據Zcash基金會1月30日公布的投票結果,Zcash社區已同意繼續資助由ZCC和Zcash基金牽頭的隱私幣ZEC的開發.
1900/1/1 0:00:00