如果說過年前那位華爾街知名證券經紀人Peter Schiff 的比特幣錢包「被盜」事件只是虛驚一場的話,那麼 2 月22 日,一位加密貨幣大鯨魚鯨用戶因為自己價值 4500 萬美金(約新台幣 13.7 億)的加密貨幣被盜,而在 Reddit 上發出了緊急求助的事件,就是一次極度慘痛血淋淋的案例,這也再次引出了那個歷史迷題「比特幣到底應該怎麼存?」
加密貨幣市場熱情起來了,駭客的熱情也起來了。
昨日,這位巨鯨在Reddit(目前已刪除)中發布貼文,聲稱自己剛剛丟失約 6 萬枚BCH(價值約3000 萬美元),重金請求礦工們能幫他找回來。
此外,丟失的不只是BCH,與此同時還丟失了1547 枚比特幣(價值約1500 萬美元)。
$30M BCH sim hack.
by inbtc
由於求助貼上附上了數為簽名,經證實,該貼文真實無疑,他確實丟失了當前價值上億比特幣(BTC)和比特現金(BCH)。
延伸閱讀:澳本聰威脅:「我可以關掉比特幣網路」—— 真的做得到嗎?
延伸閱讀:bZx駭客事件|存款年利率42%引爆擠兌危機!台灣技術團隊連夜打造 DeFi 逃脫裝置「拯救世界」的故事
這位萬幣侯是誰?
根據「zhoujianfu」在網路上透露的資訊,他的原名是Josh Jones,來自美國加利福尼亞州的一個小城聖莫尼卡。
讓人意外的是,他還是一名中國的女婿,2014 年7 月,他在Reddit 上透露,自己的中國岳母購買了43 枚比特幣。
能夠擁有如此大額比特幣的人,大概率是一位加密貨幣早期參與者,事實也確實如此。
Josh Jones 的Reddit 帳號註冊於2006 年,他是一位成功的企業家。作為一名開源軟件和技術咖,他在2014 年4 月,企業級產品提供商Inktank 被RedHat(紅帽)公司以1.75 億美元的價格收購之前,一直擔任該公司的董事會成員;並擔任Group B Strep International(GBSI)的CFO。
據了解,他還是網路託管領域最好的服務商之一DreamHost 的聯合創始人。
除了是一位創業者,生活上的Josh Jones 還是一名十足的特斯拉狂熱粉絲;無論是推特還是YouTube 上,他都曾多次提及馬斯克和特斯拉。
延伸閱讀:特斯拉股票上漲 38% 是 2020 最好的資產?分析師:比特幣將會後來居上
延伸閱讀:Elon Musk 再次在推特震撼國外社群:「比特幣不是我的安全詞」
有錢任性的Josh Jones,生活並不無聊。除了特斯拉,他還是一名 3D 列印愛好者。
2013 年10 月,他使用「Makerbot Replicator」列印了一根blingbling 的比特幣項鍊,列印過程被錄製放在YouTube 上;而在一個專門發布 3D 列印作品的網站thingiverse 上,陳列著他的更多作品,包括各種小動物、蔬菜、遊戲機等等。
據了解,Josh Jones 最早從2010 年開始接觸比特幣。
一篇2014 年的貼文顯示,他重啟了比特幣的交易平台Bitcoinbuilder,此前,他用該平台從Mt.Gox 上購買比特幣,隨後向公眾開放。
他曾聲稱在門頭溝(Mt.Gox)擁有43768 枚比特幣(一部分屬於他個人,一部分屬於網站用戶所有),而這家平台在 Mt. Gox 交易所破產後,也成了第二大債權人。
延伸閱讀:85 萬顆比特幣失竊案|日本法院駁回 CoinLab 向 Mt. Gox 提出的 4900 億訴訟索賠
延伸閱讀:加密「交易所」的興衰史: 從1996年電子黃金、Mt.Gox 時代、ICO 再到 DEX
也正是因此,有人猜測,由於Mt. Gox事件中的人真實姓名和電子郵件都是公開的,他很有可能早就被盯上了。
在BCH 分叉成功後,這位資深比特幣玩家,開始將目光轉向這個新的幣種,以至於有人根據他公開的地址,發現地址在2018 年還有5400 枚比特幣,而腦洞大開猜測他用其中的3900 個比特幣換了6 萬枚BCH。
比特耶穌的關注
求助貼文發布後,引來了比特幣耶穌Roger Ver的關注,他在貼文下方分析,駭客可能利用了電話公司進行攻擊,竊取他的手機號碼用於雙因素認證(2FA)。
根據這些資訊,安全公司慢霧分析稱:
猜測這名大戶使用的是一款知名的去中心化錢包服務,加上需使用SIM卡認證,也就是說有用戶系統,因此,這款錢包可能是 Blockchain.info ,「Blockchain.info的安全系統做得併不足夠好。」
按理說,作為一位資深比特幣玩家和技術咖,他對於駭客技術應該瞭如指掌,並且也懂得如何應對,理應不會出現這種被盜事件。
但沒想到,他居然倒在了SIM 卡這個最不安全的驗證方式上。
SIM 卡詐騙的方式很普遍,國外已經形成了一套成熟的犯罪鏈,簡單來說就是罪犯可以繞過運營商的安全措施,複製或者重新辦理一張受害人的電話卡,獲取手機驗證簡訊,從而盜取資產。
在他的貼文下,有人難掩震驚,的確很難想像,一位擁有上千枚比特幣的人,會依舊選擇用SIM 卡簡訊的方式作為最後的安全驗證渠道。
就好像一個人擁有一輛敞篷賓士,但車鑰匙就放在駕駛座上。
不管怎樣,悲劇已經發生,重要的是還能不能挽回,因此,出現了文章開頭的求助貼文。
救命方法:放棄 1500 萬美元比特幣,期望找回 3000 萬美元 BCH 的雙花攻擊
按照他在Reddit 上想法,他已經放棄了那價值1500 萬美金的比特幣,他希望找回那3000 萬美金的BCH,方法就是用雙花攻擊。
雙花簡單來說,就是讓現在的這條鏈作廢,在被盜之前的623333 區塊高度後重新開始生成區塊,接一條新鏈。
作為一個比特幣的早期玩家,礦工圈子他必定早已滲透,BCH 的算力遠小於比特幣,從理論上,讓礦工們幫忙是可行的,因為按照比特幣的邏輯,最長鏈原則,只要新鏈比舊鏈長,就可以認定新鏈為主鏈。
延伸閱讀:得天獨厚的中國礦工|三分之二的比特幣產出來自中國,66% 的算力貢獻持續攀升
為什麼說這條路可行?因為確實在 BCH 鏈上發生過
2019 年5 月,一位攻擊者利用了BCH 上一個長久以來的BUG,在BCH 5 月份升級是製造了一次攻擊。
當時的情況是,這位攻擊者發送了大量的交易,但因為之前的BUG 原因,BCH 的礦工們不能打包這些交易,而如果攻擊者的節點打包了這些交易,他就能拿走這些幣。
於是BCH 的幾大礦池聯合,連續出了10 個空塊,保證主鏈沒有按照攻擊者的方式進行下去,解決了這次攻擊。
所以說,這就是理論上可行的邏輯。
事件完整版:區塊鏈還是不可篡改的嗎?比特幣現金悄悄地遭受了一場「善意的 51% 攻擊」
延伸閱讀:「近在眼前的51%雙花攻擊」——可租借算力造成「流動性算力市場」的衍生風險
但現在該怎麼做?
但是問題是,礦池們之所以要連續出10 個空塊,是因為在BCH 裡,有一個新的機制,名為滾動檢查點,10 個區塊為一個檢查點,只要超過10 個區塊,就不能回滾到10 個區塊前。
這是BCH 特有的機制,BTC 和BSV 並沒有,這個機製本意是保護用戶資產,但在BCH 反對者看來,這已經完全違背了中本聰比特幣的理念,把最長鏈原則徹底作廢,如果發生有人作惡,只要作惡者可以連續出10 個塊,作惡者的記錄就會永遠保留在BCH 鏈上。
而當時還沒有發生過的情況,今天發生了。
延伸閱讀:PeckShield 資安報告:2019 年度區塊鏈十大安全事件總結,損失高達76.79 億美元
滾動檢查點機制
正是因為這個滾動檢查點機制,曾經手持3000 萬美金BCH 的大佬已經無法回滾,因為從攻擊發生的區塊高度到現在,早已超過了10 個塊,無法回滾。
這應該是BCH 史上以來,作惡者的行為第一次被徹底記錄在網路上,誰都更改不了了。
常見駭客攻擊:Sim Swap
回滾這條路行不通,要想找回損失,有人建議他去狀告SIM 卡公司,因為按照目前的推論,Josh Jones 是被駭客進行了手機SIM 攻擊,駭客複製了他的SIM 卡,獲得了簡訊。
如果運營商安全措施嚴格一些,意外或許就能避免。
延伸閱讀:美國一名學生駭 SIM 卡竊「上億台幣」的密碼貨幣,花錢買直升機跑趴,法院判 10 年有期徒刑
延伸閱讀:SIM 卡遭竊被駭「7.3 億台幣」加密貨幣,受害者告美國電信巨頭 AT&T「技術疏失」
狀告SIM 卡公司,也確實有人做過。
兩年前,加密貨幣基金BitAngels 的創始人Michael Terpin 遭遇了和Josh 一模一樣的事情,他的錢包也被駭客以SIM 卡攻擊的方式盜取。
一位年輕駭客給他打了一個電話,導致他錢包裡300 萬個加密貨幣丟失,據說,當時價值2400 萬美元。
Michael 二話不說就把自己使用的運營商AT&T 告上了法庭,要求賠償2 億美金。這不是他第一次遇到這種事,也不是只有他一個人遇到這種事情,SIM 詐騙已經形成了一個成熟的犯罪模式。
這起官司直到現在也沒有結束,法庭在去年年中的時候要求AT&T 回應Michael 的訴求,隨後就沒有消息了。
但起碼給了Josh Jones 一個選擇方向,電信商也不是不能起訴。
我們應該注意什麼
我們身邊發生類似電信詐騙的事件不多,一般我們理解的電信詐騙完全屬於另外一種犯罪模式,得益於我們當前運營商的安全要求,如果不是本人出現,你的手機SIM 卡很少會被複製或者重新辦理。但這並不代表這對於我們沒有警示意義。
對於大額資產的帳戶,安全措施尤為重要,首先要保存好自己的私鑰,在錢包行業還沒有大幅度迭代的當前,保存好自己的私鑰和助記詞顯得尤為關鍵,不管是早先Peter Schiff 輸錯了密碼,還是近日一位毒梟將私鑰藏在魚竿中但魚竿丟失的事件,無一不再提醒妥善保存私鑰的重要性。
其次,區塊律動BlockBeats 提醒用戶一定要使用2FA 驗證方式,同時盡量少用簡訊驗證,多使用類似Google 驗證的安全方式,提升帳戶安全性。
希望大家手裡珍貴的比特幣,永遠安全。
?相關報導?
新手必讀|如何保護你的數位資產?個人的安全觀念與習慣養成
澳本聰威脅:「我可以關掉比特幣網路」—— 真的做得到嗎?
位址解析研究:資金盤 PlusToken 剩餘贓款拋壓,可能讓比特幣繼續下跌兩個月
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
