巨鲸账号被盗,怎样防范SIM卡攻击风险

巨鲸账号被盗：

2月22日，一名为“zhoujianfu”的用户在reddit发帖称，价值3千万美元的BCH、1500万美元的BTC被盗。起初，很多人怀疑是玩笑，最后签名验证确定了这件事的真实性。按zhoujianfu的地址在区块链浏览器上查询，BTC分2笔被盗，共1594个，按6.8万/个的市场价计算，价值1.1亿元；

BCH分5笔被盗，共59480个，按2650元/个的市场价计算，价值1.6亿元。

石头验证时，这几笔转账交易已经确认超过50次，基本不可逆转了。这位叫“zhoujianfu”的巨鲸，损失高达2.7亿元。（与他自称的4500万美元略有差异，估计是四舍五入和计算价格的差异）

他是怎么被盗的？

据“zhoujianfu”的贴子和各方网友判断，这位巨鲸使用了半去中心化的Blockchain.info钱包，结果遭遇SIM卡攻击。具体流程不清，大致推测如下：

中心化的钱包，只要知道手机号，再通过SIM卡攻击获取短信验证码，更改登录密码，基本就能自由登录。转账时，如果需要短信验证码，再劫持一次，转账成功；如果需要交易密码，则通过短信验证码，修改交易密码。

“手机号+短信验证码”的组合太过强悍，很有必要在各个环节加强防范，避免重大损失。

存币环节，安排好冷钱包、本地热钱包、云钱包（中心化交易所）的3级资产规模梯度

1.大额币存在冷钱包，记好私钥。这位巨鲸也是心大，上亿的资金也敢存在热钱包，给黑客提供了可趁之机。

2.即使是小额币，也尽量用本地钱包，而不是云钱包，即必须掌握私钥才能登陆，不能仅用账户名（手机号）+密码就可以登陆。

3.尽量将常用设备和账户绑定。

交易环节，增加短信验证以外的其他方式

1.如果使用邮箱验证，尽量用不常用邮箱，邮箱修改密码方式去掉短信验证。

2.增加其他验证方式，如指纹验证，谷歌验证。

—-

编译者/作者：南极石头

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。