FTX的$400 百万损失揭示了SIM交换欺诈如何绕过加密货币安全

当FTX在2022年11月崩溃时，监管机构和加密社区急于了解黑客是如何从交易所的钱包中抽走$400 百万的。最近的联邦指控终于提供了答案——但它们也提出了关于究竟发生了什么以及谁应承担责任的不安问题。

破解FTX安全的SIM卡交换计划

2024年1月，美国华盛顿特区检察官办公室公布了对罗伯特·鲍威尔、卡特·罗恩和艾米莉·埃尔南德斯的指控——这三人被指控策划了一起复杂但出人意料简单的攻击：SIM交换。

其工作原理如下：被告据称从50多名受害者那里获取了个人信息，然后使用伪造的文件欺骗电信运营商将这些受害者的电话号码转移到他们控制的新设备上。通过将电话号码重定向到他们自己的SIM卡，诈骗者拦截了两步验证代码——保护金融账户的数字守门人。

一旦他们拥有了这些代码，访问FTX账户变得简单。当合法账户持有人尝试验证登录时，验证短信却发送到了犯罪分子的手机上。诈骗者只需使用这些代码冒充账户持有人，提取他们的余额。

起诉书描述了与此模式相符的最大攻击事件，其日期和金额与FTX的公开破产公告完全一致。联邦消息人士已确认，FTX就是指控中提到的未具名的“受害公司-1”。

一个关键的空白：谁真正偷了钱？

这个案件令人困惑的地方在于：虽然鲍威尔、罗恩和埃尔南德斯被控盗取个人信息并出售认证代码，但起诉书在描述FTX资金的实际盗窃时显著地将他们排除在外。

相反，指控提到了一些未被指名的“共谋者”，他们“获得了对FTX账户的未经授权的访问权”，并“向他们控制的钱包转移了超过$400 百万的虚拟货币”。在标准法律实践中，检察官在详细说明被告所犯的行为时会指明被告。最终盗窃案中这三名嫌疑人的缺席暗示有人执行了实际的盗窃。

这个语言细节很重要。在头条新闻宣称“谜团已解”时，起诉书却悄悄地将核心作案者置于阴影之中。FTX黑客事件的真正策划者可能仍然没有被提及——至少现在是这样。

为什么SIM交换有效以及监管机构为何感到警觉

SIM卡交换之所以成功，是因为它利用了现代安全基础设施中的一个根本弱点。电信公司依赖相对基本的身份验证——欺诈者可以用盗取的个人信息回答的问题。同时，加密交易所、银行和科技平台将基于短信的认证视为足够的保护。

对于犯罪分子而言，SIM交换提供了理想的组合：低成本、最低限度的技术复杂性和成功的证明。这是在大规模上执行的基础欺诈。

联邦监管机构正在注意到这一点。2023年12月，联邦通信委员会发布了新规则，要求无线服务提供商在处理SIM卡转移之前加强客户身份验证。与此同时，证券交易委员会最近也遭遇了自身的SIM卡交换攻击，这令人尴尬地提醒人们，即使是监管机构也仍然脆弱。

美国证券交易委员会（SEC）新的网络安全信息披露要求加重了这种压力。美国监管的交易所现在必须记录其安全协议，展示风险管理程序，并接受外部审计。这些要求确保客户了解公司实施了哪些保护措施。

这对加密公司和用户意味着什么

鲍威尔的起诉揭示了一个令人不安的真相：加密行业依赖于已经过时且日益不足的安全标准。FTX 的崩溃部分是由于一些早该被消除的原始攻击方式。

对于在美国运营的交易所，前进的道路是明确的：采取超出监管最低标准的安全措施。这包括从基于短信的双因素认证转向更安全的替代方案，如硬件密钥或身份验证应用程序。这需要严格的身份验证协议，以抵御社会工程攻击。最重要的是，这要求透明度——客户有权知道他们的交易所实施了哪些安全措施。

离岸平台面临不同的压力。没有SEC的监管，他们无法以合规作为卖点。相反，市场竞争将越来越奖励那些自愿采用透明的网络安全实践的公司。抵制这种披露的公司将面临怀疑的客户——这是有道理的，考虑到FTX对安全治理的不透明做法。

FTX黑客事件和鲍威尔的指控揭示了一个不可避免的现实：加密货币的基础设施仅与其最薄弱的环节一样安全。这个环节往往不是区块链技术本身，而是保护钱包和账户访问的面向用户的认证系统。在行业尚未系统化防御措施以对抗SIM卡交换和类似攻击之前，监管机构和用户都无法相信不会再发生另一场$400 百万的盗窃。