來源 | Yahoo Finance
編譯 | 白澤研究院
Chivo 錢包是薩爾瓦多政府為推行比特幣法案而在 9 月 7 日發布的國家級數字錢包,為此,薩爾瓦多承諾,下載并認證的 Chivo 錢包用戶將獲得 30 美元的比特幣獎勵。此舉使這個薩爾瓦多官方錢包在 1 個月內的用戶量超過 200 萬人。
薩爾瓦多總統納伊布·布克勒 (Nayib Bukele)表示:“與傳統銀行在 40 年內進行國有化和私有化相比,我們似乎能夠在一個月內為更多人提供銀行服務。”
隨著對比特幣的采用,布克勒將他的國家置于“有關貨幣未來的全球討論”的中心,在比特幣法案的第 7 條中,規定所有商家在客戶提供比特幣支付時必須接受比特幣作為一種支付方式,
黑客瞄準 Chivo 錢包
起初,薩爾瓦多公民辛西婭·古鐵雷斯 (Cynthia Gutierrez) 拒絕下載 Chivo,但她最終決定在 10 月 16 日打開該錢包,因為她從薩爾瓦多同胞那里得知黑客盜用了他們的身份資訊,并激活了與他們的身份證相關聯的錢包,
古鐵雷斯接受采訪時說:“這種情況越來越多,進入了我的親密圈子。”
當古鐵雷斯輸入她的個人資訊時,Chivo 錢包內彈出了一個窗口,說她的證件號碼已經與錢包相關聯。
古鐵雷斯的身份被盜案件是自 9 月以來薩爾瓦多人上報的數百起案件之一。在 10 月 9 日至 10 月 14 日期間,薩爾瓦多的人權組織 Cristosal 收到了 755 份關于薩爾瓦多人報告 Chivo 錢包身份被盜的通知,
黑客進行大規模的身份盜竊行動基于一個動機:每個錢包都裝有價值 30 美元的比特幣,由薩爾瓦多總統納伊布·布克勒 (Nayib Bukele) 政府提供,以鼓勵公民使用這種加密貨幣,
Chivo 的系統存在缺陷
根據 Chivo 錢包的官網介紹,開戶需要對個人的汽車行車執照進行正反面掃描,然后進行人臉識別,以核對注冊人身份,但一些薩爾瓦多人報告了該系統存在缺陷的證據。
亞當·弗洛雷斯(Adam Flores),一位薩爾瓦多的 YouTube 用戶,聽說了黑客盜用身份的案件,他想起他的祖母沒有注冊 Chivo 錢包,并決定現場測試一下,盡管弗洛雷斯只有祖母的汽車行車執照影印件,但他還是試了試,令人驚訝的是,Chivo 接受了該申請的有效性,
弗洛雷斯完成了驗證過程,然后被要求進行實時面部識別,于是在他房間的墻上拍下了一張海報的照片,上面是《終結者》電影系列中的角色莎拉康納,面部識別系統幾秒鐘的驗證后,海報的照片竟然通過了驗證,并發放了 30 美元的獎勵,
隨后,弗洛雷斯進行了另一次嘗試,使用了一個咖啡杯就足以取代汽車行車執照,欺騙了 Chivo 錢包的面部識別。
薩爾瓦多人并不總是嘗試自己開設賬戶。根據人權組織 Cristosal 的說法,在報告身份被盜的 700 名薩爾瓦多人中,大多數人請求熟人通過將他們的身份證件號碼放在收款人中來嘗試通過 Chivo 轉賬,但他們發現地址“已準備好接收轉賬”。換句話說,他們的身份證號碼已經被非法注冊了,
由于擔心被冒充,薩爾瓦多的另一位公民羅曼埃斯基維爾(Ramón Esquivel)于 10 月 11 日讓一位熟人用他的汽車行車執照將錢匯到一個錢包中。令他驚訝的是,轉賬成功了,盡管他從未激活過自己的賬戶。在事件發生后,他向司法部長辦公室提出了投訴:“我非常憤怒,我意識到黑客使用了我的身份資訊,我被用來從事洗錢行為,這些行為以我的身份注冊,損害我的誠信。”
精明的黑客
在其他身份盜竊案中,黑客甚至將 30 美元轉到其他被黑客入侵的賬戶中,而不是黑客自己的錢包。
兩周前,薩爾瓦多媒體主持人加布里埃拉·索薩 (Gabriela Sosa) 試圖用行車執照激活 Chivo 錢包,但屏幕上跳出一條錯誤消息,告知她已經注冊,事情發生后,索薩立刻撥打了 Chivo 的官方號碼,被告知她必須去 Chivo 的當地站點,于是她去了那個求助中心,終于找回了賬戶,但 30 美元卻被人轉走了。
于是索薩在推特上公布了 30 美元被轉到的賬戶詳細資訊,賬戶使用者的名字是邁克爾·桑塔克魯斯,
幾天后,桑塔克魯斯收到了推特的消息,但他在此之前從未激活過他的 Chivo 賬戶,于是他試圖嘗試打開他的錢包,但系統顯示行車執照已經被注冊了。與索薩一樣,他也找到了 Chivo 幫助中心,在恢復他的賬戶后,他意識到錢包已被用來其他被黑賬戶中接收資金,
圖片:用桑塔克魯斯的錢包進行的交易。
Acción Ciudadana 是一家專門從事審計的非營利組織,在該集團總裁 Humberto Sáenz 和董事 Eduardo Escobar 發現黑客注冊了他們的 Chivo 錢包后,于 10 月 12 日向總檢察長辦公室 (FGR) 提交了一份通知,
Acción Ciudadana 表示,截至目前,在提交申請兩周后,總檢察長辦公室沒有回應,
Laura Nathalie Hernández 是薩爾瓦多公司 Legal Novis 的技術律師,她一直收到身份盜用受害者關于 Chivo 錢包的幫助請求,根據 Hernández 的說法,發現身份被盜用應該首先求助于 Chivo 錢包。“但我們也沒有太多關于誰負責的資訊,我們不知道誰在管理它。這中間沒有透明度,”
Chivo 對此不負責,也沒有明確的解決流程
根據 Chivo 錢包的使用條款,賬戶的授權以 CHIVO SA de CV 執行的 KYC 流程為條件,由政府創建并啟動錢包。該驗證過程“包括提供完全符合該過程所需的資訊和文件,”
同時該條款還規定, 用戶同意“不向第三方披露或泄露任何用于訪問該網站的資訊、身份資訊、密碼或任何代碼。”對于因黑客攻擊或丟失密碼而導致未經授權的第三方訪問您的賬戶而給用戶造成的任何損失或損害,它概不負責。
記者采訪了 Chivo 的工作人員并提出問題:“在真實賬戶所有者未提供資訊的情況下,誰應對黑客攻擊負責?”但工作人員并沒有回答,
薩爾瓦多媒體主持人索薩最終收回了她的 30 美元比特幣,并強調她的投訴不是針對總統布克勒,只是她想提高對這個問題的認識。
古鐵雷斯尚未收回她的錢,“我試圖聯系客戶服務,但他們沒有給我答復,也沒有任何機構明確在這種情況下應遵循的流程,”
埃斯基維爾說他對 30 美元的獎勵或政府應用程式不感興趣,“如果我完全使用比特幣,我將使用一個錢包來保管我的錢,”
風險提示:
根據央行等部門發布《關于進一步防范和處置虛擬貨幣交易炒作風險的通知》,本文內容僅用于資訊分享,不對任何經營與投資行為進行推廣與背書,請讀者嚴格遵守所在地區法律法規,不參與任何非法金融行為,
