前不久的巨鯨丟幣事件再一次將SIM卡攻擊和數字資產安全問題推向了人們的視野。從目前已有的信息來看,這名巨鯨可以自己掌控私鑰(他進行了簽名驗證),並且自稱是遭到了SIM卡攻擊。對此,慢霧安全團隊分析稱:「猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基於 SIM 卡的簡訊雙因素認證,猜測可能是 Blockchain.info。」
巨鯨丟幣事件經過究竟是怎樣的?我們能從中吸取什麼教訓?散戶該如何安全的存儲數字資產?在挑選市面上的硬體錢包時,該注意哪些安全要素?2月28日下午,成都鏈安科技創始人&CEO楊霞做客鏈節點AMA,就以上熱門話題與社區用戶展開討論。
整體上來說在中國大陸,SIM卡被攻擊的可能性很低。
日常生活中,當我們丟失SIM卡時,可以去相應運營商申請「移植」SIM卡,這一過程中,用戶可以將電話號碼直接轉移到新的SIM設備上。我們通常說的SIM攻擊則是指黑客利用這一漏洞將用戶的SIM卡移植到自己的設備上,接下來,黑客就可以輕易通過驗證碼使用電子郵件上密碼重置的功能,再利用郵箱去竊取用戶的電子資產。但是楊霞目前在中國大陸,這樣的可能性很低,對此,她解釋道:如果一個攻擊者要對一個目標的SIM進行攻擊,在中國大陸地區,那他必須將目標的SIM卡信息全部克隆到自己可控的SIM卡上,這裡引用中國移動多年前發布的一個闢謠信息,「中國移動信息安全管理部門表示,SIM卡是客戶的識別模塊,上面存儲了手機客戶信息,在卡片里存有一組128位長度的密鑰以保障安全性,同時移動通信網絡是獨立在網際網路之外的網絡,先天上杜絕了來自網際網路黑客的攻擊,因此從技術上講,SIM卡遠程複製不可能辦到」,如果攻擊者要到營業廳去使用偽造的身份更改你的SIM卡,那就需要先把營運商的用戶數據篡改成他的虛假信息才能成功。從整體上來說在中國大陸,SIM卡被攻擊的可能性很低。
這裡我們需要注意的是,有社區用戶提到,微信、支付寶等中心化錢包就很少會受到SIM卡的攻擊,楊霞表示,這是因為微信、支付方式目前而言並不是手機驗證碼支付,而是使用的是生物特徵加支付密碼的方式。因此不能斷章取義地將這兩者的安全性歸結於「中心化」。而對於已經因為SIM卡而導致財產損失的用戶來說,起訴運營商也是一條維權的途徑,但至於最終的結果還是要看具體的情形和法律的規定。
要注意私鑰和個人信息的保護,同時對資產進行合理安全的分配
巨鯨丟幣事件再度將資產安全問題推到了我們的眼前,那麼普通人(主要針對那些加密資產不在三大交易所的用戶)如何保障自己的加密數字貨幣資產的安全性?楊霞強調:對於不選擇將資金存儲在大交易所的用戶來說,私鑰的保護和個人信息的保護就是重中之重,最簡單也易實行的安全手段是環境分割,比如建立專門用於操作資金轉移或者交易的一套系統,包括手機,郵箱等,將生活和交易分隔開,用於操作交易所的手機環境應保證純凈,不安裝任何不必要的應用,不用於通信,聊天,娛樂等與交易無關的活動,私鑰和助記詞的保管則建議使用原始但有效的紙張記錄的方式,避免使用截圖,截屏等形式通過網絡傳輸。
在私鑰和個人信息保護的基礎上,楊霞還表示,用戶需要關注合理安全的分配資金,對於普通的投資用戶來說最優的建議是將資金分為兩部分:交易資金和持有資金,交易資金可以理解成流動性更大的資金部分,用於在交易所進行幣幣交易等需要頻繁使用資金的環境,持有資金則是流動性較低的部分,可以是用戶比較長期看好的幣種或者穩定幣,這樣將資金進行合理的分割可以同時滿足交易的便利性和安全性。
當用戶需要將長期持有的資產存放在交易所時,則更需要關注交易所的挑選問題,對此,楊霞建議,用戶需要特別關注交易所的幾個維度:交易所的資金規模用戶規模、交易所運營歷史上的安全事件和處理結果、交易所上的項目的合規性和宣傳手段。關於這一點,她補充道:
比如如果交易所重點宣傳抵押資金高額返利等的話,那麼作為普通用戶這個時候可能就要提高警惕,謹慎判斷,要想選擇可以長期信任和使用的交易所需要綜合考慮交易所的技術模型和金融模型,能否合理使用安全技術決定了交易所對外源攻擊的抵抗能力,而有沒有合理的、持續化的經濟模型則決定了交易所能否擁有長期安全穩定的資金流,這兩者對於一個優秀的交易所來說是缺一不可的。
資產安全作為一個老生常談的問題確實是值得每一個普通用戶每天都思考的一個話題,或許當下我們能做的最好的資產保護方法,就是時刻保持安全意識在線,主動了解更多錢包、私鑰的相關知識和原理,雖然做不到萬無一失,但我們可以盡最大努力避免給攻擊者們可乘之機。