前不久的巨鲸丢币事件再一次将SIM卡攻击和数字资产安全问题推向了人们的视野。从目前已有的信息来看,这名巨鲸可以自己掌控私钥(他进行了签名验证),并且自称是遭到了SIM卡攻击。对此,慢雾安全团队分析称:“猜测是使用了一款很知名的去中心化钱包服务,而且这种去中心化钱包居然还需要SIM卡认证,也就是说有用户系统,可以开启基于 SIM 卡的短信双因素认证,猜测可能是 Blockchain.info。”
巨鲸丢币事件经过究竟是怎样的?我们能从中吸取什么教训?散户该如何安全的存储数字资产?在挑选市面上的硬件钱包时,该注意哪些安全要素?2月28日下午,成都链安科技创始人&CEO杨霞做客链节点AMA,就以上热门话题与社区用户展开讨论。
整体上来说在中国大陆,SIM卡被攻击的可能性很低。 日常生活中,当我们丢失SIM卡时,可以去相应运营商申请“移植”SIM卡,这一过程中,用户可以将电话号码直接转移到新的SIM设备上。我们通常说的SIM攻击则是指黑客利用这一漏洞将用户的SIM卡移植到自己的设备上,接下来,黑客就可以轻易通过验证码使用电子邮件上密码重置的功能,再利用邮箱去窃取用户的电子资产。但是杨霞目前在中国大陆,这样的可能性很低,对此,她解释道: 如果一个攻击者要对一个目标的SIM进行攻击,在中国大陆地区,那他必须将目标的SIM卡信息全部克隆到自己可控的SIM卡上,这里引用中国移动多年前发布的一个辟谣信息,“中国移动信息安全管理部门表示,SIM卡是客户的识别模块,上面存储了手机客户信息,在卡片里存有一组128位长度的密钥以保障安全性,同时移动通信网络是独立在因特网之外的网络,先天上杜绝了来自因特网黑客的攻击,因此从技术上讲,SIM卡远程复制不可能办到”,如果攻击者要到营业厅去使用伪造的身份更改你的SIM卡,那就需要先把营运商的用户数据篡改成他的虚假信息才能成功。从整体上来说在中国大陆,SIM卡被攻击的可能性很低。 
当用户需要将长期持有的资产存放在交易所时,则更需要关注交易所的挑选问题,对此,杨霞建议,用户需要特别关注交易所的几个维度:交易所的资金规模用户规模、交易所运营历史上的安全事件和处理结果、交易所上的项目的合规性和宣传手段。关于这一点,她补充道:
比如如果交易所重点宣传抵押资金高额返利等的话,那么作为普通用户这个时候可能就要提高警惕,谨慎判断,要想选择可以长期信任和使用的交易所需要综合考虑交易所的技术模型和金融模型,能否合理使用安全技术决定了交易所对外源攻击的抵抗能力,而有没有合理的、持续化的经济模型则决定了交易所能否拥有长期安全稳定的资金流,这两者对于一个优秀的交易所来说是缺一不可的。 资产安全作为一个老生常谈的问题确实是值得每一个普通用户每天都思考的一个话题,或许当下我们能做的最好的资产保护方法,就是时刻保持安全意识在线,主动了解更多钱包、私钥的相关知识和原理,虽然做不到万无一失,但我们可以尽最大努力避免给攻击者们可乘之机。
详情回顾本期AMA:https://www.chainnode.com/ama/410811
—-
编译者/作者:链节点ChainNode
玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。
