V神:帳戶被害原因是受到「SIM卡交換攻擊」
以太坊創辦人維塔利克·布特林(Vitalik Buterin,人稱V神) 的X(前Twitter)帳戶,於本月9日被駭之後,昨(13)日首度透過去中心化社交協議Farcaster打破沉默,發文證實帳戶被駭的原因為「SIM卡交換攻擊」(SIM-swap attack)。
💡SIM卡交換攻擊(SIM-swap attack): 駭客透過各種方式偷竊手機號碼後,便能夠接收所有與受害者相關的簡訊、電話和驗證碼,進而對受害者的帳戶進行攻擊或是濫用。
布特林的X帳號在9日被駭後,發表了一篇詐騙貼文,宣稱小狐狸錢包等以太坊基礎設施的開發商Consensys因應即將帶來的「坎昆升級」,推出了新的紀念NFT,並附上釣魚連結供用戶「免費鑄造」(Free Mint),只要連結錢包並授權鑄造,錢包內的資產就會被轉移。
根據著名鏈上偵探ZachXBT統計,這起事件導致受害者總共損失超過69.1萬美元(約為新台幣2千1百萬)。
布特林在Farcaster上的貼文中表示,駭客利用社交工程(Social Engineering)的方式,先是欺騙電信業者T-mobile,取得了布特林手機號碼的控制權,而後再透過該手機號碼來重置他的 X 帳戶密碼,來控制布特林擁有490萬追蹤者的帳戶。
💡社交工程(Social Engineering): 一種攻擊者利用與人互動和操弄來達到目的的技術,最常見作法是欺騙電信公司,將受害者的手機號碼轉移到攻擊者的SIM卡上,因為在攻擊流程中,防守最薄弱的關卡通常是電信公司的客服,這就是一種社交工程。
布特林表示以前他就有聽過建議,表示手機號碼並不安全,不應使用手機號碼作為驗證,但他當時沒有放在心上,但現在明白了事情的嚴重。
最後,他也提到了去中心化社交協議 Farcaster 的安全性,該平台使用以太坊地址作為驗證,保護帳戶被駭。
什麼是去中心化社交協議Farcaster?
Farcaster Protocol 是繼 Lens Protocol 之後,另一個備受關注的去中心化社交協議,由 Coinbase 的前高階主管創立的項目,在最新一輪的募資中,由著名風投 a16z 領投,總共募得了3,000萬美元,是社交協議中最受矚目的項目之一。
Farcaster 的目標是成為 Web3 去中心化社交的基礎設施,讓去中心化應用程式(dApp)能透過區塊鏈技術,讓用戶能選擇要提供哪些資訊給去中心化應用程式;同時該協議也讓去中心化應用程式間能建立關係,共享用戶資訊,不再將用戶資訊託管給 Facebook、Google等中心化公司。
Farcaster 也透過以太坊保護其安全性,並能透過以太坊地址進行帳戶恢復,進一步確保安全。
本次布特林遭遇的SIM卡交換攻擊,並不是 T-Mobile 第一次的出包事件。在 2020年,T-Mobile就曾經因類似的攻擊事件,使價值870萬美元的加密貨幣被駭而被起訴;2021年2月,因為再次因為SIM卡交換攻擊,使用戶損失當時市價 45萬美元的比特幣。
資料來源:Cointelegraph、Decrypt、Medium、Vitalik Butterin Farcaster
核稿編輯:高敬原
