著者| Anidelシルヴァーノ
翻訳|火災火災醤油Zebian |徐ヴェイロン
制作|ブロック・チェーン・ベースキャンプ(blockchain_camp)
いわゆる事件を「SIMスワップがハッキング」という噂がありますが、中国は、BCHのおよそ$ 3000万失いました。この噂は今ポストを削除したのRedditに生まれ、ポストは、被害者がBCHへのアクセスを復元する助けに鉱夫を要求しました。犠牲者は、彼がまだ彼の秘密鍵を持っていると言い、自分自身の鉱山労働者を助けることができる人々に報酬を与えるだろう。
SIMのハッカーの攻撃からこの交換は何も新しいことではない、と過去に、いくつかの最終的に数百万ドルを失った被災者をハッキングSIMが、この最新のが、以前と同じではないが持っている被害者は明確なので、彼はまだ彼が管理されていない財布の中の黒だったことを意味し、その秘密鍵にアクセスすることができると言います。
図ソース:https://www.reddit.com/r/btc/comments/f7lbae/30m_bch_sim_hack/
SIMスワップハッカーの攻撃
このイベントの明確な理解のために、私は何SIM交換ハッカーの攻撃、そしてどのようにそれが実行されると説明します。簡単に言えば、SIMスワップハッカー攻撃は、個人的な事情にハッカーのアクセスであり、唯一の被害者の安全性に関する情報について。彼らはこれを達成するために、他のモバイルサービスプロバイダーを説得することで、デバイス上の電話番号を有効にします。
移動体通信事業者は、そのような変更を承認するように見える説得するに限り、ハッカーが自分の身元を証明するために情報を提供できるよう、顧客担当者が変更を加えることをいとわないだろう、難しいことではありません。
情報が漏洩した被害者であったかもしれないことをこれが意味。対象になる前に、彼らは、フィッシングやのソーシャルエンジニアリング攻撃の犠牲者であったかもしれません。
被害者は非常に熟練したハッカーSIM交換の対象となった場合、攻撃の成功は交換を承認するかどうかをオペレータに依存しているため、彼らは、非常に少し行うことができます。ハッカーがすべての要件を満たすことができれば、彼らは成功したハッキング攻撃することができます。
なぜハッカーは、SMSメッセージに関心のでしょうか?
さて、何人かの人々は、頼むかもしれないハッカーが被害者のネットワークを確保するために必要なすべての情報へのアクセスを持っていた場合、なぜ彼らはそれを攻撃するためにSIMカードを切り替えの手間を通過する必要があるのですか?ユーザーが二要素認証(2FA)を可能にするときに簡単に言えば、ため、SMSは、選択された多くのアプリケーションにおけるセキュリティの第二の層となっています。ワンタイムパスワード(OTP)の形態である提示します。
成功したSIMスイッチング保護の第二の層が破壊された手段、および保護を使用するすべてのアプリケーションが破棄されます。
また、電子メールやソーシャルメディアは、リカバリ時にアカウントの身元を確認するための方法としてSMSを使用してアカウント。ユーザーはそのGmailアカウントを復元したい場合例えば、一つだけSMS OTPはパスワードを変更する権限。
電子メールは、通常のSMSと同様の別の2FA方法として見られていることに注意してください。これは、それがいかに重要であるか、あなたの電話回線やSMSのセキュリティを維持するために、ことを示唆しています。しかし、簡単にかなりの程度までSMSが必要なデューデリジェンスモバイルサービスプロバイダに依存するため、口で言います。
SMS 2FA
交換は、SIMのハッカーの攻撃の前に行われていたが、SMSは、まだデジタル財布では、多くのアプリケーション、銀行のアプリケーション、集中型の暗号為替のための主要な選択肢の一つというようにですが。彼らは彼らの安全を確保するため、第三者に依存しすぎているので、実際には、SMS 2FAは、ユーザーに誤った安心感を与えます。
この場合、ユーザーは時間にアクセスすることを許可唯一の人物である場合にのみ、SMS 2FAは安全です。そのためSMS 2FAオペレータのネットワークを通じて、これは常に使用SMSプロトコルの脆弱性(例えばSIMJackerの脆弱性)どこでもリスクのハッカーへの悪者のネットワークから、内部および外部のリスクに直面します。
私たちのSIMを守ります
私たちのSIMを保護する唯一の方法は、機密情報を入手するために、インターネットからハッカーを防ぐためです。あなたがサイトのニーズに精通していないときしたがって、余分な注意が必要、KYCであるか、または個人情報をアップロードします。URLリンクは、あなたが本当にサイトを入力するか、ログインしたいことを確認するために、ダブルチェックする必要があります。
このオプションを持っている場合、強くあなたがアンチフィッシング機能を有効にすることをお勧めします。また、ハッカーが機密情報を入手するためにソーシャルエンジニアリングの様々な技術を使用することに注意してください。顧客の担当者は、基本的に、我々は不要な情報を要求しません、あなたに連絡するためのイニシアチブを取ることはありませ、覚えておいてください。
図ソース:https://でメディア
いずれの場合は、余分な予防措置として、他の認証方法を有効にする必要があります。電子メール、および(例えばYubiキーなど)のハードウェアキー(例えば、GoogleのオーセンティケータまたはAuthyなど)の認証アプリケーションを含む2FA代替方法。ハッカーがあなたのSIMにアクセスできる場合、セキュリティの余分な層は間違いなく、セキュリティを向上させ、攻撃を防ぐことができます。
しかし、別の方法で暗号化保護の2FA通貨の資産に対処する必要はありませんがあります。あなたが完全に支配し、彼らの資産へのアクセス権を持っているので、実際には、第三者に依存することなく、2FAを有効にする必要はありません。この管理されていない財布やアカウントは、ユーザーが完全に制御を持っており、それにその資産にアクセスします。
管理されていない財布やアカウント
管理対象外の財布は、ユーザーが自分の秘密鍵(PK)暗号化ウォレットオフラインツールを作成することができます。が、このツールは、他の開発者によって作成されましたが、ユーザーのみがアクセスできるキーを生成します。他の人が所有者によって共有されている秘密鍵にアクセスしたい唯一の方法。
ほとんどの場合、ユーザーは、PKはPKの安全性を確保するためには、そのような金庫や安全と、一枚の紙を書き、安全な場所に置くことになります。他人に対し、強化されたセキュリティ機能を備えた専用のUSBキーの一部の店舗では、ハードウェアの財布を使用します。
管理されていない財布SIM交換ハッカーの攻撃
BCHは、盗まれたと宣言彼はハッカーの攻撃SIM交換の犠牲者と主張したが、彼らはまだ民間黒の財布でなければなりません。この人の管理対象外の財布は、SIMの交換によって盗まれたことを示していると思われるので、少し戸惑いコミュニティを暗号化するために、何人かの人々をリードしてきました。
財布から財布を交換又はホスティングサービスプロバイダを集中した場合、それらのほとんどは彼らの財布を保護するためにSMS 2FAを使用しているので、それは、理にかなっています。被害者は自分の秘密鍵へのアクセス権を持っているのでしかし、我々は結論付けることができます:これは確かに管理されていない財布です。
攻撃者は、元のRedditの上のポスト、また更新を取り除いた後、ハッカーの攻撃の詳細は、公衆に対して本質的には不明です。ハッカーの攻撃は彼らのお金を管理対象外の財布から盗まれた被害者の推測という点でユニークです。
おなじみの管理対象外の財布の作品は、これらの資金を得るための唯一の方法は、その秘密鍵を得ることであることを知っています。秘密鍵を使用することはほとんど不可能そんなにお金ユーザーがSMS経由でアクセスすることができました。
最後は、それが起こったのかある中で私たちは、これがあると判断することはできないかもしれませんが、我々はすべて知っている:成功したハッカー管理されていないアクセスの札入れの財布のお金を得るための唯一の方法はプライベートです。
したがって、我々は彼が誤ってオンラインで保存するので、財布の所有者の判断ミスのせいにこのハッカーの攻撃は、SMSやプライベートを使用してアクセスすることができます置くことができます。秘密鍵は、上記のものなど、いくつかの悲惨な結果を持っているかもしれません。このルールを無視して、管理対象外の財布の基本的なルールのいずれかを使用してオフラインで保たれています。
管理されていない財布と取引が最も安全なまま
これは、管理対象外の財布のセキュリティ上の欠陥や脆弱性のイベントのいずれかのタイプに関与したことがなかったです。いわゆるSIMスワップハッキングがtrueの場合、ハッカーは、彼が適切に自分の秘密鍵を保護しなかったので、ユーザーのセキュリティ過失が原因である可能性があり、またはオンラインまたはそのSIM秘密鍵を介してアクセスすることができます。
管理プロパティを持つ財布は、セキュリティ管理されていない財布のレベルに達することはありません。私は、その資産のだけ聞かせて、ユーザーが管理対象外の財布は大文字で、最大かつ最適な安全性を達成するために、絶対的かつ完全な制御を持っていると思います。
このセキュリティは、管理対象外の財布を使用して、すべてのサービスに拡張することができます。そのようなこの分権為替Newdex(DEXs)として含めて、これらの交換システムは、管理対象の交換作業に証拠金の顧客を必要としない財布を開催しました。
(Newdex:https://newdex.io/ )
トレーダーは唯一彼らのデジタル資産に対する権利をホスティングして失われますその時点でトランザクションを実行すると、すべてのトランザクションは、最適な安全性を確保し、顧客の財布の管理対象外で直接行われます。ほとんどすぐに取引を実行する(NewdexがEOSを使用するなど)DEXsの高度にスケーラブルなブロックチェーンを使用。
過去にCEX事業者は、このような流動性のほとんどを作るよう、セキュリティの向上の多くを行ったがオフラインのままと保険を得るが、財産所有者は、そのホスティング権利を放棄したことがなかったので、それはまだ、セキュリティとDEXパーを提供していません。
CEXは、外部の脅威からのリスクを低減しているかもしれませんが、実際にどんな進歩をしないで、システム上のユーザーアカウントを維持し、デジタル顧客資産のそのプラットフォームを維持する必要があります。様々な理由により、顧客の資産はまだ規制、あるいは破産問題に準拠し、このような技術的な問題失われた財布の寒さの秘密鍵のプラットフォームとして、CEXの中に閉じ込めていてもよいです。
SIMはそれをハック交換で管理されていない財布に発生する可能性がありますか?
適切な条件の下で、それは可能、しかし非常に低いです。管理されていない財布の所有者は、秘密鍵をオフラインを維持するために、すべての通知を無視するにはハッカーのスパイ、安全でないネットワークで無責任にアクセス(例えばSMS)を無視します。
イベントは本当にばかり噂であるかもしれないが、それはまた、この方法は、管理対象外の黒の財布の可能性であるいくつかの興味深い質問につながっています。
それはすべて一つのことにダウンしています:セキュリティ管理対象外の財布は、資産の所有者は、セキュリティの財布を扱うか、秘密鍵の会計処理方法に依存します。長い推奨安全手順に従うように財産所有者のように、彼らは世界でも、最も集中型の交換は比較できない、前例のないセキュリティを楽しむことができるはずです。
セキュリティブロックチェーン技術の一種でも最も集中交換もご用意しており、提供することができます。
オリジナルます。https://hackernoon.com/is-a-dollar30-million-bch-sim-swap-hack-possible-in-a-non-custodial-wallet-rzib3y8d
翻訳、転載してください接触マイクロ手紙のこの記事CSDNブロックチェーン本部:1360515146
推奨読書
私たちは、古い鉄に求めて見て!????
