转自币乎:AlphaBo
就在上个月,一位自称“zhoujianfu”的用户在 Reddit.com 上发帖求救,称自己刚刚丢失了 1547 个比特币和不到 6 万个比特币现金(目前总计价值 2.6 亿元)。
SIM卡诈骗在加密世界并非新闻,早在2018年,美国投资者 Michael
Terpin 向 AT&T; 提起了一起价值高达 2.24 亿美元的诉讼。因为他认为这家电信巨头向黑客提供了访问他手机号码的途径,这直接导致他损失了价值 2400 万美元的加密货币。
结合两个用户数字资产被盗,
著名区块链安全公司慢雾安全团队在跟进分析后推测攻击主要原因在于巨鲸用户使用某中心化钱包服务,而且这种中心化钱包居然还需要 SIM 卡认证(也就是说有用户系统),可以开启基于 SIM 卡的短信双因素认证,
而黑客就是利用这一漏洞,通过技术手段将受害者的 SIM 卡移植到他们控制的电话上,修改了密码,从而顺利转移资产。
攻击过程如图所示:
除了个人用户遭受攻击,交易所也是黑客经常攻击的对象。
而区块链资安公司 PeckShield 曾分析,「交易所、帐号托管系统、个人用户」都是潜在的安全突破口。
如何从根源上减少资产安全带来的风险?有两个思路,
第一方式就是没有用户系统
第二种方式就是不集中管理用户资产
大部分交易平台主要在风控防御系统部署上存在不足,即使是头部交易所也不例外。
黑客通过劫持第三方服务商验证码短信,从而攻击部分没有绑定谷歌验证码的用户。因此暴露其自身风控系统存在问题,一是忽视单一验证用户被劫持情况,二是没有对修改登录和交易密码的账户进行一定时间段的提现和交易限制,三是没有树立用户安全防范意识。
第二种方式就是不集中管理用户资产。
中心化交易所负责持有及保护所有用户的资金,当你在一个中心化交易所上购买加密货币或将加密货币存入中心化交易所之时,你并不持有这些加密货币的私钥,所以严格意义上来说,你放在中心化交易所的资产,只是一串数字而已。
由于区块链匿名和不可逆的特性,数字资产一旦被盗就很难追回。而用户的数字资产又是托管在平台,平台集中保管的巨额数字资产成为了所有黑客垂涎的目标。
而目前的中心化交易所,很难彻底解决上面的两个难题。
而解决的思路,或许就只有去中心化交易所。
以Newdex为例:
在去中心化交易所Newdex,没有所谓的用户体系,所以,用户不用“注册个人信息并且接收手机验证码进行开户,完成充值交易资产后单,订单成交后申请提现,资产到账钱包”这一系列中心化交易所的交易流程。
用户只要通过钱包直接登录,在“发现”栏中进入Newdex的钱包嵌入版并开始交易挂单,资产通过智能合约执行的委托账户冻结,交易结束直接到账到钱包。
所以,黑客无法通过钓鱼网站获得用户的密码,不会因为创始人去世、跑路丢失自己的资产。因为是中心化托管,资金过度会合就像是银行,于是便成为了黑客狩猎偏向,只要得手,便可荣华富贵。
同时,去中心化交易所Newdex不存在几种管理用户资产的问题。
通过比特币富豪榜,我们发现排名前10的,70%都是中心化交易所的冷钱包地址。
而去中心化交易所就像住在一个街区的住户,小偷偷了其中一家,也只是一家的丧失不会殃及其余;但如果所有住户把资产存入银行,小偷偷掉银行,那所有人的资产就都没了。
中心化交易所集聚圈内90%的交易量,用户自然关心自己的财产安全,从巨鲸资产被盗,交易所资产被盗,我们不难发现,其实风险就在我们身边。
