原文標題:《黑客瞄準了薩爾瓦多的30 美元比特幣羊毛》
原文來源:Yahoo Finance
原文編譯:白澤研究院
Chivo 錢包是薩爾瓦多政府為推行比特幣法案而在9 月7 日發布的國家級數字錢包,為此,薩爾瓦多承諾,下載並認證的Chivo 錢包用戶將獲得30 美元的比特幣獎勵。此舉使這個薩爾瓦多官方錢包在1 個月內的用戶量超過200 萬人。
薩爾瓦多總統納伊布·布克勒(Nayib Bukele) 表示:「與傳統銀行在40 年內進行國有化和私有化相比,我們似乎能夠在一個月內為更多人提供銀行服務。」
隨著對比特幣的採用,布克勒將他的國家置於「有關貨幣未來的全球討論」的中心。在比特幣法案的第7 條中,規定所有商家在客戶提供比特幣支付時必須接受比特幣作為一種支付方式。
黑客瞄準Chivo 錢包
起初,薩爾瓦多公民辛西婭·古鐵雷斯(Cynthia Gutierrez) 拒絕下載Chivo,但她最終決定在10 月16 日打開該錢包,因為她從薩爾瓦多同胞那裡得知黑客盜用了他們的身份信息,並激活了與他們的身份證相關聯的錢包。
古鐵雷斯接受采訪時說:「這種情況越來越多,進入了我的親密圈子。」
當古鐵雷斯輸入她的個人信息時,Chivo 錢包內彈出了一個窗口,說她的證件號碼已經與錢包相關聯。
古鐵雷斯的身份被盜案件是自9 月以來薩爾瓦多人上報的數百起案件之一。在10 月9 日至10 月14 日期間,薩爾瓦多的人權組織Cristosal 收到了755 份關於薩爾瓦多人報告Chivo 錢包身份被盜的通知。
黑客進行大規模的身份盜竊行動基於一個動機:每個錢包都裝有價值30 美元的比特幣,由薩爾瓦多總統納伊布·布克勒(Nayib Bukele) 政府提供,以鼓勵公民使用這種加密貨幣。
Chivo 的系統存在缺陷
根據Chivo 錢包的官網介紹,開戶需要對個人的汽車駕駛證進行正反面掃描,然後進行人臉識別,以核對註冊人身份。但一些薩爾瓦多人報告了該系統存在缺陷的證據。
亞當·弗洛雷斯(Adam Flores),一位薩爾瓦多的YouTube 用戶,聽說了黑客盜用身份的案件,他想起他的祖母沒有註冊Chivo 錢包,並決定現場測試一下。儘管弗洛雷斯只有祖母的汽車駕駛證複印件,但他還是試了試,令人驚訝的是,Chivo 接受了該申請的有效性。
弗洛雷斯完成了驗證過程,然後被要求進行實時面部識別。於是在他房間的牆上拍下了一張海報的照片,上面是《終結者》電影系列中的角色莎拉康納。面部識別系統幾秒鐘的驗證後,海報的照片竟然通過了驗證,並發放了30 美元的獎勵。
隨後,弗洛雷斯進行了另一次嘗試,使用了一個咖啡杯就足以取代汽車駕駛證,欺騙了Chivo 錢包的面部識別。
薩爾瓦多人並不總是嘗試自己開設賬戶。根據人權組織Cristosal 的說法,在報告身份被盜的700 名薩爾瓦多人中,大多數人請求熟人通過將他們的身份證件號碼放在收款人中來嘗試通過Chivo 轉賬,但他們發現地址「已準備好接收轉賬」。換句話說,他們的身份證號碼已經被非法註冊了。
由於擔心被冒充,薩爾瓦多的另一位公民羅曼埃斯基維爾(Ramón Esquivel)於10 月11 日讓一位熟人用他的汽車駕駛證將錢匯到一個錢包中。令他驚訝的是,轉賬成功了,儘管他從未激活過自己的賬戶。在事件發生後,他向司法部長辦公室提出了投訴:「我非常憤怒,我意識到黑客使用了我的身份信息。我被用來從事洗錢行為,這些行為以我的身份註冊,損害我的誠信。」
精明的黑客
在其他身份盜竊案中,黑客甚至將30 美元轉到其他被黑客入侵的賬戶中,而不是黑客自己的錢包。
兩週前,薩爾瓦多媒體主持人加布里埃拉·索薩(Gabriela Sosa) 試圖用駕駛證激活Chivo 錢包,但屏幕上跳出一條錯誤消息,告知她已經註冊。事情發生後,索薩立刻撥打了Chivo 的官方號碼,被告知她必須去Chivo 的當地站點。於是她去了那個求助中心,終於找回了賬戶,但30 美元卻被人轉走了。
於是索薩在推特上公佈了30 美元被轉到的賬戶詳細信息,賬戶使用者的名字是邁克爾·桑塔克魯斯。
幾天后,桑塔克魯斯收到了推特的消息,但他在此之前從未激活過他的Chivo 賬戶。於是他試圖嘗試打開他的錢包,但係統顯示駕駛證已經被註冊了。與索薩一樣,他也找到了Chivo 幫助中心,在恢復他的賬戶後,他意識到錢包已被用來其他被黑賬戶中接收資金。
圖片:用桑塔克魯斯的錢包進行的交易
Acción Ciudadana 是一家專門從事審計的非營利組織,在該集團總裁Humberto Sáenz 和董事Eduardo Escobar 發現黑客註冊了他們的Chivo 錢包後,於10 月12 日向總檢察長辦公室(FGR) 提交了一份通知。
Acción Ciudadana 表示,截至目前,在提交申請兩週後,總檢察長辦公室沒有回應。
Laura Nathape Hernández 是薩爾瓦多公司Legal Novis 的技術律師,她一直收到身份盜用受害者關於Chivo 錢包的幫助請求。根據Hernández 的說法,發現身份被盜用應該首先求助於Chivo 錢包。 「但我們也沒有太多關於誰負責的信息,我們不知道誰在管理它。這中間沒有透明度。」
Chivo 對此不負責,也沒有明確的解決流程
根據Chivo 錢包的使用條款,賬戶的授權以CHIVO SA de CV 執行的KYC 流程為條件,由政府創建並啟動錢包。該驗證過程「包括提供完全符合該過程所需的信息和文件。」
同時該條款還規定,用戶同意「不向第三方披露或洩露任何用於訪問該網站的信息、身份信息、密碼或任何代碼。」對於因黑客攻擊或丟失密碼而導致未經授權的第三方訪問您的賬戶而給用戶造成的任何損失或損害,它概不負責。
記者採訪了Chivo 的工作人員並提出問題:「在真實賬戶所有者未提供信息的情況下,誰應對黑客攻擊負責?」但工作人員並沒有回答。
薩爾瓦多媒體主持人索薩最終收回了她的30 美元比特幣,並強調她的投訴不是針對總統布克勒,只是她想提高對這個問題的認識。
古鐵雷斯尚未收回她的錢。 「我試圖聯繫客戶服務,但他們沒有給我答复,也沒有任何機構明確在這種情況下應遵循的流程。」
埃斯基維爾說他對30 美元的獎勵或政府應用程序不感興趣。 「如果我完全使用比特幣,我將使用一個錢包來保管我的錢。」
原文鏈接
特別聲明
免責聲明:本文不代表0x财经立場,且不構成投資建議,請謹慎對待,如需報導或加入交流群,請聯繫微信:VOICE-V。
來源:白澤研究院