薩爾瓦多的 30 美元比特幣羊毛被黑客盯上,大量居民身份被盜用


原文標題:《黑客瞄準了薩爾瓦多的 30 美元比特幣羊毛》
來源:Yahoo Finance
編譯:白澤研究院

Chivo 錢包是薩爾瓦多政府為推行比特幣法案而在 9 月 7 日釋出的國家級數字錢包,為此,薩爾瓦多承諾,下載並認證的 Chivo 錢包使用者將獲得 30 美元的比特幣獎勵。此舉使這個薩爾瓦多官方錢包在 1 個月內的使用者量超過 200 萬人。

薩爾瓦多總統納伊布·布克勒 (Nayib Bukele) 表示:「與傳統銀行在 40 年內進行國有化和私有化相比,我們似乎能夠在一個月內為更多人提供銀行服務。」

隨著對比特幣的採用,布克勒將他的國家置於「有關貨幣未來的全球討論」的中心。在比特幣法案的第 7 條中,規定所有商家在客戶提供比特幣支付時必須接受比特幣作為一種支付方式。

黑客瞄準 Chivo 錢包

起初,薩爾瓦多公民辛西婭·古鐵雷斯 (Cynthia Gutierrez) 拒絕下載 Chivo,但她最終決定在 10 月 16 日開啟該錢包,因為她從薩爾瓦多同胞那裡得知黑客盜用了他們的身份資訊,並啟用了與他們的身份證相關聯的錢包。

古鐵雷斯接受採訪時說:「這種情況越來越多,進入了我的親密圈子。」

當古鐵雷斯輸入她的個人資訊時,Chivo 錢包內彈出了一個視窗,說她的證件號碼已經與錢包相關聯。


古鐵雷斯的身份被盜案件是自 9 月以來薩爾瓦多人上報的數百起案件之一。在 10 月 9 日至 10 月 14 日期間,薩爾瓦多的人權組織 Cristosal 收到了 755 份關於薩爾瓦多人報告 Chivo 錢包身份被盜的通知。

延伸閱讀  OpenSea 現釣魚攻擊,使用者該如何保護 NFT 資產安全?

黑客進行大規模的身份盜竊行動基於一個動機:每個錢包都裝有價值 30 美元的比特幣,由薩爾瓦多總統納伊布·布克勒 (Nayib Bukele) 政府提供,以鼓勵公民使用這種加密貨幣。

Chivo 的系統存在缺陷

根據 Chivo 錢包的官網介紹,開戶需要對個人的汽車駕駛證進行正反面掃描,然後進行人臉識別,以核對註冊人身份。但一些薩爾瓦多人報告了該系統存在缺陷的證據。

亞當·弗洛雷斯(Adam Flores),一位薩爾瓦多的 YouTube 使用者,聽說了黑客盜用身份的案件,他想起他的祖母沒有註冊 Chivo 錢包,並決定現場測試一下。儘管弗洛雷斯只有祖母的汽車駕駛證影印件,但他還是試了試,令人驚訝的是,Chivo 接受了該申請的有效性。

弗洛雷斯完成了驗證過程,然後被要求進行實時面部識別。於是在他房間的牆上拍下了一張海報的照片,上面是《終結者》電影系列中的角色莎拉康納。面部識別系統幾秒鐘的驗證後,海報的照片竟然通過了驗證,併發放了 30 美元的獎勵。

隨後,弗洛雷斯進行了另一次嘗試,使用了一個咖啡杯就足以取代汽車駕駛證,欺騙了 Chivo 錢包的面部識別。


薩爾瓦多人並不總是嘗試自己開設賬戶。根據人權組織 Cristosal 的說法,在報告身份被盜的 700 名薩爾瓦多人中,大多數人請求熟人通過將他們的身份證件號碼放在收款人中來嘗試通過 Chivo 轉賬,但他們發現地址「已準備好接收轉賬」。換句話說,他們的身份證號碼已經被非法註冊了。

由於擔心被冒充,薩爾瓦多的另一位公民羅曼埃斯基維爾(Ramón Esquivel)於 10 月 11 日讓一位熟人用他的汽車駕駛證將錢匯到一個錢包中。令他驚訝的是,轉賬成功了,儘管他從未啟用過自己的賬戶。在事件發生後,他向司法部長辦公室提出了投訴:「我非常憤怒,我意識到黑客使用了我的身份資訊。我被用來從事洗錢行為,這些行為以我的身份註冊,損害我的誠信。」

精明的黑客

在其他身份盜竊案中,黑客甚至將 30 美元轉到其他被黑客入侵的賬戶中,而不是黑客自己的錢包。

兩週前,薩爾瓦多媒體主持人加布裡埃拉·索薩 (Gabriela Sosa) 試圖用駕駛證啟用 Chivo 錢包,但螢幕上跳出一條錯誤訊息,告知她已經註冊。事情發生後,索薩立刻撥打了 Chivo 的官方號碼,被告知她必須去 Chivo 的當地站點。於是她去了那個求助中心,終於找回了賬戶,但 30 美元卻被人轉走了。

延伸閱讀  DeFi 協議要如何設計國庫策略?瞭解六項原則

於是索薩在推特上公佈了 30 美元被轉到的賬戶詳細資訊,賬戶使用者的名字是邁克爾·桑塔克魯斯。

幾天後,桑塔克魯斯收到了推特的訊息,但他在此之前從未啟用過他的 Chivo 賬戶。於是他試圖嘗試開啟他的錢包,但系統顯示駕駛證已經被註冊了。與索薩一樣,他也找到了 Chivo 幫助中心,在恢復他的賬戶後,他意識到錢包已被用來其他被黑賬戶中接收資金。


Acción Ciudadana 是一家專門從事審計的非營利組織,在該集團總裁 Humberto Sáenz 和董事 Eduardo Escobar 發現黑客註冊了他們的 Chivo 錢包後,於 10 月 12 日向總檢察長辦公室 (FGR) 提交了一份通知。

Acción Ciudadana 表示,截至目前,在提交申請兩週後,總檢察長辦公室沒有迴應。

Laura Nathalie Hernández 是薩爾瓦多公司 Legal Novis 的技術律師,她一直收到身份盜用受害者關於 Chivo 錢包的幫助請求。根據 Hernández 的說法,發現身份被盜用應該首先求助於 Chivo 錢包。「但我們也沒有太多關於誰負責的資訊,我們不知道誰在管理它。這中間沒有透明度。」

Chivo 對此不負責,也沒有明確的解決流程

根據 Chivo 錢包的使用條款,賬戶的授權以 CHIVO SA de CV 執行的 KYC 流程為條件,由政府建立並啟動錢包。該驗證過程「包括提供完全符合該過程所需的資訊和檔案。」

同時該條款還規定,使用者同意「不向第三方披露或洩露任何用於訪問該網站的資訊、身份資訊、密碼或任何程式碼。」對於因黑客攻擊或丟失密碼而導致未經授權的第三方訪問您的賬戶而給使用者造成的任何損失或損害,它概不負責。

延伸閱讀  觀點:為什麼說我們處在以太坊的黃金時代?

記者採訪了 Chivo 的工作人員並提出問題:「在真實賬戶所有者未提供資訊的情況下,誰應對黑客攻擊負責?」但工作人員並沒有回答。

薩爾瓦多媒體主持人索薩最終收回了她的 30 美元比特幣,並強調她的投訴不是針對總統布克勒,只是她想提高對這個問題的認識。

古鐵雷斯尚未收回她的錢。「我試圖聯絡客戶服務,但他們沒有給我答覆,也沒有任何機構明確在這種情況下應遵循的流程。」

埃斯基維爾說他對 30 美元的獎勵或政府應用程式不感興趣。「如果我完全使用比特幣,我將使用一個錢包來保管我的錢。」

Scroll to Top