Khoản lỗ $400 triệu đô la của FTX tiết lộ cách mà các hành vi gian lận SIM có thể vượt qua bảo mật Tiền điện tử

Khi FTX sụp đổ vào tháng 11 năm 2022, các nhà quản lý và cộng đồng tiền điện tử đã vội vã tìm hiểu xem các hacker đã rút $400 triệu từ ví của sàn giao dịch như thế nào. Các cáo buộc liên bang gần đây cuối cùng đã cung cấp câu trả lời - nhưng chúng cũng đặt ra những câu hỏi khó chịu về những gì thực sự đã xảy ra và ai phải chịu trách nhiệm.

Kế Hoạch Đổi SIM Đã Vượt Qua Bảo Mật Của FTX

Vào tháng 1 năm 2024, Văn phòng Biện lý Hoa Kỳ cho Quận Columbia đã công bố các cáo buộc đối với Robert Powell, Carter Rohn và Emily Hernandez – ba cá nhân bị cáo buộc đã tổ chức một cuộc tấn công tinh vi nhưng lại đơn giản một cách bất ngờ: chuyển SIM.

Đây là cách mà nó hoạt động: Các bị cáo bị cáo buộc đã thu thập thông tin cá nhân từ hơn 50 nạn nhân, sau đó sử dụng tài liệu giả mạo để lừa các nhà cung cấp viễn thông chuyển số điện thoại của những nạn nhân đó sang các thiết bị mới dưới quyền kiểm soát của họ. Bằng cách chuyển hướng một số điện thoại đến thẻ SIM của riêng họ, những kẻ lừa đảo đã chặn các mã xác thực hai yếu tố – những Người bảo vệ kỹ thuật số bảo vệ tài khoản tài chính.

Khi họ có những mã đó, việc truy cập vào tài khoản FTX trở nên đơn giản. Khi các chủ tài khoản hợp pháp cố gắng xác thực đăng nhập, các tin nhắn xác thực đã được gửi đến điện thoại của kẻ phạm tội. Những kẻ lừa đảo chỉ cần sử dụng các mã này để giả mạo các chủ tài khoản và rút hết số dư của họ.

Bản cáo trạng mô tả cuộc tấn công lớn nhất phù hợp với mẫu này, với các ngày và số tiền hoàn toàn khớp với thông báo phá sản công khai của FTX. Các nguồn tin liên bang đã xác nhận rằng FTX là “Công ty Nạn nhân-1” không được nêu tên trong các cáo buộc.

Một Khoảng Trống Quan Trọng: Ai Thực Sự Đã Đánh Cắp Tiền?

Đây là điều làm cho vụ án này trở nên khó hiểu: trong khi Powell, Rohn và Hernandez bị buộc tội đánh cắp thông tin cá nhân và bán mã xác thực, bản cáo trạng đáng chú ý là không đề cập đến họ khi mô tả vụ trộm thực sự của quỹ FTX.

Thay vào đó, các cáo buộc đề cập đến những “đồng phạm” không được nêu tên, những người đã “tiếp cận trái phép các tài khoản FTX” và “chuyển hơn $400 triệu trong tiền ảo” đến các ví mà họ kiểm soát. Trong thực tiễn pháp lý tiêu chuẩn, các công tố viên sẽ nêu tên bị cáo khi mô tả các hành động mà họ đã thực hiện. Việc vắng mặt ba nghi phạm này trong vụ trộm cuối cùng gợi ý rằng có ai đó khác đã thực hiện vụ ăn cắp này.

Chi tiết ngôn ngữ này rất quan trọng. Trong khi các tiêu đề tuyên bố “bí ẩn đã được giải quyết,” thì bản cáo trạng lại lặng lẽ giữ những kẻ phạm tội chính trong bóng tối. Những kiến trúc sư thực sự của vụ hack FTX có thể vẫn chưa được nêu tên – ít nhất là trong thời điểm hiện tại.

Tại sao SIM Swaps hoạt động và tại sao các cơ quan quản lý lo ngại

Việc chuyển SIM thành công bởi vì nó khai thác một điểm yếu cơ bản trong hạ tầng bảo mật hiện đại. Các công ty viễn thông dựa vào việc xác minh danh tính tương đối cơ bản – những câu hỏi mà kẻ lừa đảo có thể trả lời bằng thông tin cá nhân bị đánh cắp. Trong khi đó, các sàn giao dịch tiền điện tử, ngân hàng và nền tảng công nghệ coi xác thực qua SMS là biện pháp bảo vệ đủ.

Đối với tội phạm, việc hoán đổi SIM cung cấp một sự kết hợp lý tưởng: chi phí thấp, trình độ kỹ thuật tối thiểu và thành công đã được chứng minh. Đây là một hình thức gian lận cơ bản được thực hiện trên quy mô lớn.

Các cơ quan quản lý liên bang đang chú ý. Vào tháng 12 năm 2023, Ủy ban Truyền thông Liên bang đã ban hành các quy định mới yêu cầu các nhà cung cấp dịch vụ không dây phải củng cố xác thực khách hàng trước khi xử lý việc chuyển SIM. Trong khi đó, SEC gần đây đã chịu một cuộc tấn công SIM swap – một lời nhắc nhở xấu hổ rằng ngay cả các cơ quan quản lý cũng vẫn dễ bị tổn thương.

Các yêu cầu công bố an ninh mạng mới của SEC làm gia tăng áp lực này. Các sàn giao dịch được quản lý bởi Hoa Kỳ giờ đây phải tài liệu hóa các giao thức bảo mật của họ, chứng minh các quy trình quản lý rủi ro, và trải qua các cuộc kiểm toán bên ngoài. Những yêu cầu này đảm bảo rằng khách hàng hiểu những gì mà các công ty đã thực hiện để bảo vệ.

Điều này có nghĩa gì đối với các công ty và người dùng Crypto

Bản cáo trạng của Powell tiết lộ một sự thật không thoải mái: ngành công nghiệp crypto phụ thuộc vào các tiêu chuẩn an ninh đã có từ hàng thập kỷ và ngày càng không đủ. Sự sụp đổ của FTX một phần là do những vectơ tấn công nguyên thủy mà lẽ ra phải được trung hòa từ lâu.

Đối với các sàn giao dịch hoạt động tại Hoa Kỳ, con đường phía trước là rõ ràng: áp dụng các biện pháp bảo mật vượt quá mức tối thiểu quy định. Điều này bao gồm việc chuyển đổi từ xác thực hai yếu tố dựa trên SMS sang các lựa chọn thay thế an toàn hơn như khóa phần cứng hoặc ứng dụng xác thực. Nó đòi hỏi các quy trình xác minh danh tính nghiêm ngặt để chống lại kỹ thuật xã hội. Quan trọng nhất, điều này đòi hỏi sự minh bạch – khách hàng xứng đáng biết các biện pháp bảo mật mà sàn giao dịch của họ đã áp dụng.

Các nền tảng ngoài khơi phải đối mặt với áp lực khác. Thiếu sự giám sát của SEC, họ không thể núp bóng dưới sự tuân thủ quy định như một điểm bán hàng. Thay vào đó, cạnh tranh trên thị trường sẽ ngày càng thưởng cho những ai tự nguyện áp dụng các thực tiễn an ninh mạng minh bạch. Các công ty không chấp nhận sự công khai như vậy sẽ đối mặt với khách hàng hoài nghi – điều này là hợp lý, xét đến cách tiếp cận mờ ám của FTX đối với quản trị an ninh.

Cuộc tấn công FTX và các cáo buộc đối với Powell minh họa một thực tế không thể tránh khỏi: cơ sở hạ tầng tiền điện tử chỉ an toàn như liên kết yếu nhất của nó. Liên kết đó thường không phải là công nghệ blockchain mà là các hệ thống xác thực hướng đến con người bảo vệ quyền truy cập vào ví và tài khoản. Cho đến khi ngành công nghiệp hệ thống hóa các biện pháp phòng thủ chống lại việc hoán đổi SIM và các cuộc tấn công tương tự, cả các nhà quản lý lẫn người dùng đều không thể tin tưởng rằng một vụ trộm $400 triệu khác sẽ không xảy ra nữa.