數字人:手機號驗證不堪一擊？ Coinbase用戶遭遇SIM卡轉移攻擊_SolarMineX

攻前些天有人的Coinbase賬號遭遇了SIMPortAttack，損失了超過10萬美金的數字貨幣，很慘痛。擊過程大概是：攻擊者通過社會工程學等手法拿到目標用戶的隱私，并到運營商欺騙得到一張新的SIM卡，然后通過同樣的手機號輕松搞定目標用戶在Coinbase上的權限。

Solana Labs宣布加密智能手機Saga將于5月8日公開發售，預訂設備已開始發貨:金色財經報道，Solana Labs宣布其加密智能手機Saga將于5月8日公開發售，目前預訂設備已開始發貨，這款手機配備512 GB 存儲空間，兩個后置攝像頭鏡頭，6.67 英寸 OLED 顯示屏和指紋掃描儀，其中有具有用于加密集成的 Solana Mobile Stack (SMS)和用于私鑰存儲的自定義“種子庫”。通過提供專用的加密智能手機，Solana將滿足對移動設備上安全、用戶友好的加密體驗的需求，售價或定為1000美元。（coindesk）[2023/4/14 14:03:10]

SIM都被轉移了，這就很麻煩了，基本來說我們很多在線服務都是通過手機號來做的二次驗證或直接身份驗證，這是一個非常中心化的認證方式，手機號成為攻擊的弱點。

福建農信手機銀行數字人民幣上線:金色財經消息，近期，福建省的福州、廈門入選第三批數字人民幣試點城市。為積極融入央行數字人民幣先行先試的浪潮，緊跟數字人民幣發展趨勢，福建省農信于4月27日在手機銀行正式上線了福建農信數字人民幣系統。

該系統在福建農信手機銀行增加數字人民幣功能模塊，實現銀行卡綁定、充錢包、存銀行、轉錢、掃一掃、付錢、收錢等相關功能。日常生活中，福建農信用戶可持手機在大型商超、便利店、酒店、醫院藥店、連鎖餐飲店、特色景點使用數字人民幣進行在線支付，全方位滿足支付需求。（福建日報）[2022/5/7 2:57:01]

這個攻擊以前在國內也有不少案例，運營商的風控策略也越來越強大，但策略這東西總是有繞過方式，這種方式主要就是社會工程學，當然也不排除其他方式的結合。

現場 | ShoCard企業發展主管：把用戶ID放在基于區塊鏈證書驗證的智能手機上有助保護用戶數據:據CoinTime現場報道，美西時間9月13日，在圣何塞舉辦的Blockworld 2018區塊鏈開發者及技術峰會上， ShoCard企業發展主管Armin Ebrahimi說：“目前系統下之所以存在許多安全漏洞，是因為我們用了大約40年幾乎不變的“ID+密碼”的模式，許多補救措施對于用戶來說比較繁瑣，技術上來講比較廢雜，大規模的應用成本也很高。我們需要徹底轉變這種傳統模式，與以往把所有數據都放在服務器上的模式不用，我們需要把用戶ID放在基于區塊鏈技術的，已經有證書驗證的智能手機上。區塊鏈可以將用戶的ID和證書分享給其他參與方，這些參與方無需依賴相互的服務或者數據庫，用戶可以自主決定與誰分享什么數據，因此隱私將得到保護；用戶數據是在本地手機上加密、儲存并生產RSA簽名或哈希值并上傳到區塊鏈上的。[2018/9/14]

不是我不信任運營商或中心化服務，而是這種重要的資產，大家要更加謹慎了，大額的數字貨幣是不是應該有更安全的存放方式？相關平臺的安全風控策略是不是也該多琢磨如何再提升提升？

攻擊示意圖見下面，第一張圖是正常流程，第二張圖是攻擊流程。

Tags：數字人區塊鏈COIOLA數字人民幣怎么用微信支付魔獸幣應用區塊鏈嗎Storage CoinSolarMineX

TUSD