CoinDesk: FTX 黑客事件 未解的 SIM 卡盜幣謎團

作者 | Andrew Adams，Coindesk

編譯 | 吳說區塊鏈

本文介紹了美國司法部近期公布的一起關於 SIM 卡劫持案件的起訴書，並認為案件被告 Powell 等人不是 FTX 黑客事件的攻擊者。同時文章還介紹了有關 SIM 卡劫持的商業風險和對加密行業可能帶來的監管壓力。

近日美國司法部悄然解封了一份起訴書，一些主流及加密媒體迅速報導此事，稱其為"解開"了一宗價值 4 億美元的加密貨幣盜竊之謎，這些加密貨幣此前由已倒閉的加密貨幣交易所 FTX 持有。

然而，這份起訴書並非結束謎團的關鍵。它顯露一個事實是：不論是在岸還是離岸的加密貨幣公司都面臨著越來越多的監管和經濟方面的擔憂。特別是，2022 年 11 月發生的針對 FTX 的"SIM 卡劫持"欺詐事件，幾乎可以看作是最基本的"黑客"手段------這種手段依賴於盜用身份和冒充金融賬戶持有人，主要攻擊那些為客戶和賬戶持有人提供逐漸顯得陳舊的雙重或多重認證（即"2FA"和"MFA"）隱私保護的公司。

美國的聯邦監管者正日益重視依賴易受 SIM 卡劫持攻擊的隱私保護程序系統的潛在危害。聯邦通信委員會正在制定新規則，同時，美國證券交易委員會（SEC）近期推出的網絡安全規定很可能迫使企業提升對抗這一特定威脅的隱私防護措施。尤其在 SEC 自己不久前經歷了 SIM 卡劫持事件後，它或許更加堅定了加強這方面規制的決心。

新指控和 FTX 黑客

2024 年 1 月 24 日，哥倫比亞特區的美國檢察官辦公室公開了一份起訴書，標題為美國訴 Powell 等人。據稱，Robert Powell、Carter Rohn 和 Emily Hernandez 合作盜取了 50 多名受害者的個人識別信息（PII）。

這三人隨後使用這些被盜信息創建假身份證件，目的是欺騙電信提供商，將身份盜竊受害者的手機賬號轉移到被告或未命名的"共謀者"持有的新設備上。這三名被告向其售出了被盜的 PII。

該計劃依賴於將受害者的電話號碼重新分配到犯罪分子控制的物理電話上，這需要將受害者的號碼（本質上是身份）轉移或移植到用戶身份模塊（或"SIM"） ，"卡片實際保存在犯罪分子的的新設備中。這被稱為"SIM 卡劫持"計劃。

通過在美國訴 Powell 案中所述的 SIM 卡劫持計劃，被告和未命名的共謀者欺騙無線電信提供商，將手機號碼從合法用戶的 SIM 卡重新分配給被告或那些未命名共謀者控制的 SIM 卡。SIM 卡劫持隨後允許 Powell 三人及其他人訪問受害者在各種金融機構的電子賬戶，從這些賬戶中盜取資金。

SIM 卡劫持對被告的主要好處是能夠在新的、欺詐性的設備上攔截來自那些金融賬戶的消息，這些消息旨在驗證訪問賬戶的人是否為合法賬戶持有人。通常，如果沒有涉及欺詐，這種認證將導致發送 SMS 短信或其他消息給合法用戶，然後用戶通過提供短信或消息中包含的代碼來驗證對賬戶的嘗試訪問。然而，在這種情況下，秘密代碼直接發送給了詐騙者，他們使用該代碼冒充賬戶持有人並提取資金。

儘管 Powell 的起訴書沒有將 FTX 命名為受害者，但起訴書中描述的最大一起 SIM 卡劫持欺詐事件的指控顯然指的是 FTX 在該公司公開宣布破產時發生的"黑客"事件------日期、時間和金額與公開報導的那次黑客攻擊相吻合，媒體報導已包括調查內部人士提供的確認，即 FTX 就是 Powell 中所述的"受害公司-1"。FTX 黑客事件發生時，人們對肇事者有很多猜測：內部人士作案、政府監管機構暗中操作？

很多報導 Powell 起訴書的文章標題都宣稱謎團已經解開：三名被告實施了 FTX 黑客攻擊。但實際上，起訴書的內容卻暗示了相反的情況。雖然起訴書確切地列出了三名被告的姓名，並詳細描述了他們涉嫌盜竊個人識別信息（PII）、將電話號碼轉移到通過欺詐手段獲得的 SIM 卡，以及銷售竊取的 FTX 訪問碼的行為，但在描述實際盜取 FTX 資金的過程時，起訴書顯著地沒有提及這三名被告。

相反，它提到"共謀者未經授權訪問了 FTX 賬戶"和"共謀者將超過 4 億美元的虛擬貨幣從 FTX 的虛擬貨幣錢包轉移到由共謀者控制的虛擬貨幣錢包。" 起訴書起草的慣例是在被告實施的行為中提及被告的名字。在這裡，是未命名的"共謀者"採取了最終也是最重要的步驟。這些"共謀者"可能是誰的謎團仍然存在，並且可能會持續下去，直到新的指控出現或審判揭示更多事實。

監管機構和商業風險

FTX 案件凸顯了檢察官和監管機構對 SIM 卡劫持計劃的簡單性和普遍性日益增長的認識。閱讀 Powell 起訴書，與閱讀聯邦和州檢察官每年追查的數百份信用卡盜竊指控中的一份沒有什麼不同。就欺詐行為而言，SIM 卡劫持成本低、技術含量不高、且形式化。但是，如果你是犯罪分子，這種方法有效。

SIM卡劫持的有效性在很大程度上是電信反欺詐和身份驗證協議的漏洞以及許多在線服務提供商（包括金融服務公司）默認使用的相對薄弱的反欺詐和身份驗證程序的結果。最近，在 2023 年 12 月，聯邦通信委員會發布了一份報告和命令，採取措施旨在解決無線服務提供商的 SIM 卡劫持漏洞。報告和命令包括要求無線提供商在執行 Powell 起訴書中描述的 SIM 更換之前，使用安全的客戶認證方法，同時試圖保持客戶在合法更換設備的電話號碼時享受的相對便利。面對著 SIM 卡劫持行為者利用基本的多因素認證（MFA）和較不安全的兩因素認證（2FA），特別是通過不安全的 SMS 消息通道的便利性日益增長的認識，這種平衡行為將繼續給電信公司和依賴它們的服務提供商（包括加密公司）帶來挑戰。

加密安全

無線服務提供商並不是唯一面臨與 Powell 起訴書指控相關的日益增長審查的團體。這個案例對加密行業也有教訓和警告。

即使 Powell 案的被告不是實際訪問和耗盡 FTX 錢包的人，他們據稱提供了這樣做的認證碼，這些認證碼是通過一個相對基本的 SIM 卡劫持計劃獲得的。在 SEC 新興的網絡安全制度的背景下，該案例突顯了在美國運營的交易所需要開發評估和管理網絡安全風險的流程的需求，包括在 FTX 案例中所實施的"黑客"行為。鑑於 SEC 自身最近成為 SIM 卡劫持攻擊的受害者，我們可以預期其執法部門將更加關注針對交易所的 SIM 卡劫持攻擊。

這可能會讓那些避免 SEC 或其他監管機構監督的離岸交易所處於不利地位。SEC 關於定期公開披露有關網絡安全風險管理、策略和治理信息的要求，加之外部審計，確保了客戶和交易對手能夠理解這些公司採取的措施來減輕類似 FTX 事件的風險。離岸公司可能會採取類似透明的網絡安全披露方法，但這需要這些公司願意透明，而這些公司可能對透明度的概念有些抵觸------正如 FTX 所示。加密公司和項目可以預期會面臨來自監管機構和市場的更大壓力，要求它們採納、披露、展示和維護遠高於僅能阻止基礎欺詐者（如 Powell 案中所描述的被告）攜帶數百萬美元逃走的網絡安全實踐水平。