FTX的$400 百萬損失揭示了SIM交換欺詐如何繞過加密貨幣安全

當FTX在2022年11月崩潰時，監管機構和加密社區急於了解黑客是如何從交易所的錢包中抽走$400 百萬的。最近的聯邦指控終於提供了答案——但它們也提出了關於究竟發生了什麼以及誰應承擔責任的不安問題。

破解FTX安全的SIM卡交換計劃

2024年1月，美國華盛頓特區檢察官辦公室公布了對羅伯特·鲍尔、卡特·羅恩和艾米莉·埃爾南德斯的指控——這三人被指控策劃了一起復雜但出人意料簡單的攻擊：SIM交換。

其工作原理如下：被告據稱從50多名受害者那裏獲取了個人信息，然後使用僞造的文件欺騙電信運營商將這些受害者的電話號碼轉移到他們控制的新設備上。通過將電話號碼重定向到他們自己的SIM卡，詐騙者攔截了兩步驗證代碼——保護金融帳戶的數字守門人。

一旦他們擁有了這些代碼，訪問FTX帳戶變得簡單。當合法帳戶持有人嘗試驗證登入時，驗證短信卻發送到了犯罪分子的手機上。詐騙者只需使用這些代碼冒充帳戶持有人，提取他們的餘額。

起訴書描述了與此模式相符的最大攻擊事件，其日期和金額與FTX的公開破產公告完全一致。聯邦消息人士已確認，FTX就是指控中提到的未具名的“受害公司-1”。

一個關鍵的空白：誰真正偷了錢？

這個案件令人困惑的地方在於：雖然鲍尔、羅恩和埃爾南德斯被控盜取個人信息並出售認證代碼，但起訴書在描述FTX資金的實際盜竊時顯著地將他們排除在外。

相反，指控提到了一些未被指名的“共謀者”，他們“獲得了對FTX帳戶的未經授權的訪問權”，並“向他們控制的錢包轉移了超過$400 百萬的虛擬貨幣”。在標準法律實踐中，檢察官在詳細說明被告所犯的行爲時會指明被告。最終盜竊案中這三名嫌疑人的缺席暗示有人執行了實際的盜竊。

這個語言細節很重要。在頭條新聞宣稱“謎團已解”時，起訴書卻悄悄地將核心作案者置於陰影之中。FTX黑客事件的真正策劃者可能仍然沒有被提及——至少現在是這樣。

爲什麼SIM交換有效以及監管機構爲何感到警覺

SIM卡交換之所以成功，是因爲它利用了現代安全基礎設施中的一個根本弱點。電信公司依賴相對基本的身分驗證——欺詐者可以用盜取的個人信息回答的問題。同時，加密交易所、銀行和科技平台將基於短信的認證視爲足夠的保護。

對於犯罪分子而言，SIM交換提供了理想的組合：低成本、最低限度的技術復雜性和成功的證明。這是在大規模上執行的基礎欺詐。

聯邦監管機構正在注意到這一點。2023年12月，聯邦通信委員會發布了新規則，要求無線服務提供商在處理SIM卡轉移之前加強客戶身分驗證。與此同時，證券交易委員會最近也遭遇了自身的SIM卡交換攻擊，這令人尷尬地提醒人們，即使是監管機構也仍然脆弱。

美國證券交易委員會（SEC）新的網路安全信息披露要求加重了這種壓力。美國監管的交易所現在必須記錄其安全協議，展示風險管理程序，並接受外部審計。這些要求確保客戶了解公司實施了哪些保護措施。

這對加密公司和用戶意味着什麼

鲍尔的起訴揭示了一個令人不安的真相：加密行業依賴於已經過時且日益不足的安全標準。FTX 的崩潰部分是由於一些早該被消除的原始攻擊方式。

對於在美國運營的交易所，前進的道路是明確的：採取超出監管最低標準的安全措施。這包括從基於短信的雙因素認證轉向更安全的替代方案，如硬件密鑰或身分驗證應用程序。這需要嚴格的身分驗證協議，以抵御社會工程攻擊。最重要的是，這要求透明度——客戶有權知道他們的交易所實施了哪些安全措施。

離岸平台面臨不同的壓力。沒有SEC的監管，他們無法以合規作爲賣點。相反，市場競爭將越來越獎勵那些自願採用透明的網路安全實踐的公司。抵制這種披露的公司將面臨懷疑的客戶——這是有道理的，考慮到FTX對安全治理的不透明做法。

FTX黑客事件和鲍尔的指控揭示了一個不可避免的現實：加密貨幣的基礎設施僅與其最薄弱的環節一樣安全。這個環節往往不是區塊鏈技術本身，而是保護錢包和帳戶訪問的面向用戶的認證系統。在行業尚未系統化防御措施以對抗SIM卡交換和類似攻擊之前，監管機構和用戶都無法相信不會再發生另一場$400 百萬的盜竊。