上週,比特幣在推特上可謂出盡了風頭。
一位駭客利用推特的漏洞,黑了政商界大佬和知名企業在內的130個賬號。
然後釋出了“你給我的比特幣地址打幣,打一個,我還你倆”的釣魚資訊。
雖然這個騙術很low,推特官方也在一小時內將駭客控制的賬戶進行了鎖定,但是仍然有不少人上當。
另外,由於此次事件的影響實在太大,甚至連前總統奧巴馬和總統候選人拜登都涉及其中,所以美國FBI也已經介入了調查。
那麼這次推特比特幣事件具體是怎麼回事兒?
駭客又是如何對推特進行攻擊的?
推特因此陷入了什麼樣的爭議呢?
今天鑑叔就和大家深入來聊一聊這裡面的故事。
推特比特幣詐騙始末
美東時間7月15日下午3點左右,幣安、孫宇晨、Coinbase、Gemini等幣圈知名推特賬號釋出訊息稱,他們正在與“加密健康組織”合作,將回饋社羣5000個比特幣,同時貼出了相應的捐贈地址。
幾分鐘後,駭客索性將美國各界大佬的推特賬戶一併打包,傳送了相似的內容,其中就包括特斯拉CEO馬斯克、亞馬遜CEO貝佐斯、前美國總統奧巴馬、美國首富比爾蓋茨、投資大師巴菲特、著名歌手侃爺Kenye West等等。
鑑叔透過區塊鏈瀏覽器查詢到,最終有 380 多人給這個地址轉入過比特幣,該地址總計收到了 12.8 個比特幣,價值約 12 萬美元。
而駭客在收到比特幣之後,直接開始線上“洗幣”:分批轉出,接著拆分成更小數額比特幣,不同批次比特幣再度混淆。
隨後,推特官方快速跟進,釋出了一個宣告,宣稱其檢測到駭客是透過一些非法的手段,得到了推特內部管理工具的訪問許可權,從而控制了這些受害的賬戶。
駭客行為揭秘
那駭客具體是如何獲得這些賬戶的許可權的呢?
而這個推特管理工具到底起到了什麼樣的作用?
為了解答這兩個疑問,鑑叔先帶大家來看一看推特內部的管理工具。
如下圖所示,推特的內部管理工具能夠顯示使用者的標籤以及賬戶狀態。
而這個管理工具最不安全的功能,就是它能夠在不通知使用者的情況下,直接修改使用者繫結的郵箱。
而推特賬戶的繫結郵箱,其最大的作用就是在密碼重置時可以接收相應的密碼重置連結。
接下來,鑑叔就來模擬一下駭客的攻擊過程。
假如駭客要攻擊的是鑑叔的推特賬戶:
第一步,駭客透過某些非法手段,獲取了推特官方管理工具的訪問許可權。
第二步,駭客拿到推特管理工具的許可權之後,透過管理工具把鑑叔賬戶的繫結郵箱改成自己的郵箱,同時關閉簡訊或谷歌驗證碼驗證。
第三步,駭客點選重置密碼,這時候密碼重置連結已經傳送到駭客的郵箱了,然後完成密碼重置。
至此,駭客就已經完全控制我的賬戶了,而鑑叔則對此事一無所知。
以上最關鍵的其實就是第二步,駭客透過推特的管理工具,可以在不經過鑑叔同意的情況下,直接把我賬號繫結的郵箱改掉。
另外,就在這次推特比特幣事件發生的前幾天,在一個駭客社羣就已經出現了可以給任何推特賬戶換綁郵箱的收費服務,每次服務收費250美金,並且只接收比特幣。
由此來看,這正是推特最大的安全漏洞。
換一個角度,這個事情也給大家敲響了一個警鐘:中心化平臺可以在不經過使用者同意的情況下,擁有變更使用者任何資料的許可權,這些資料包括繫結郵箱,個人資訊等所有內容。
事件的影響
這是推特史上最為嚴重的攻擊事件,當天推特股價盤後還大跌了4%。
畢竟美國有非常多的名人和政要都活躍在推特這個社交媒體上,比如“推特治國”的特朗普總統。
2020年11月,美國將再次舉行大選,而在這種關鍵時期,總統候選人拜登的賬戶也遭遇攻擊。
引得很多陰謀論者懷疑,為什麼拜登的賬戶被黑了,而特朗普的卻沒事?
最終,連 FBI 都已經介入調查此次推特駭客事件了。
而在FBI啟動調查的同時,很多區塊鏈信徒則在思考中心化產品的問題。
V神在推特的官方回覆中諷刺其管理工具帶來的巨大安全漏洞。
EOS創始人BM也表示,是時候出一個區塊鏈版的推特了。
在一個去中心化的平臺上,並不會出現如此大面積賬號被駭客控制的情況。
因為對於去中心化平臺而言,任何賬戶的控制權都在使用者自己手上。
即使某個人的賬戶私鑰被駭客獲取,駭客也只能控制這個私鑰對應的一個賬戶。
而不像中心化平臺,只要獲得了平臺的內部許可權,他就能夠控制整個平臺。
鑑叔總結
這次事件也被懷疑是駭客直接花錢買通了推特員工。
畢竟,推特擁有世界頂級的安防系統,如果沒有“內鬼”的配合,駭客單刀直入攻擊的難度相當之大。
其實任何中心化平臺都有作惡的可能,而是否作惡取決於公司或者員工的道德。
而這次推特比特幣駭客事件猶如中心化世界的一枚炸彈,暴露出中心化平臺的風險——平臺擁有對賬戶的絕對控制權,使用者對此不應該有百分之百的信賴和安全感。
但是對於加密世界來講,卻並不是壞事。
它無疑能夠讓更多的人關注比特幣,關注區塊鏈,關注去中心化的魅力。