Согласно сообщению на reddit от 22 февраля (сейчас удалено), инвестор, который, как представляется, является основателем хостинговой компании Dreamhost Джошем Джонсом, стал жертвой sim-свопинга (подмены SIM-карты), в результате которого хакеру удалось украсть $15 млн в биткоине $30 млн в bitcoin cash (BCH).
1 млн BCH украден! Стоимость — $30 млн. Также китайский криптокит заявил, что потерял $15 млн в BTC. Сейчас он просит помощи у майнеров. Я на связи с ведущими владельцами BCH-пулов на этом OMFG.
???
Адрес BCH: qzumak2rvxksjgkjuxe2fe5jxatktlsnhy5sthr5p7
BREAKING
1M $BCH sim hack!! worth $30M from 1 single Chinese whale (he claimed lost $15M $BTC too) He's now asking for help from miners ..I'm talking with top BCH pool owners on this OMFG
???
BCH address :qzumak2rvxksjgkjuxe2fe5jxatktlsnhy5sthr5p7
THIS IS REALLY BRUTAL pic.twitter.com/19XM3w5BL7
— Dovey 以德服人 Wan ?? (@DoveyWan) February 22, 2020
Злоумышленники похитили в общей сложности $45 млн, после чего пострадавший Чжоуцзяньфу обратился за помощью к ведущим майнерам BCH, чтобы отменить транзакции при 3 подтверждениях. Тем не менее, на момент написания статьи транзакции получили 32 подтверждения.
Сообщается, что хакеры разделили монеты, чтобы усложнить отслеживание средств. Партнёр-основатель Primitive Crypto Дови Ван предположила, что эти монеты могут быть отмыты через миксер.
Я до сих пор не могу поверить, что такое бывает. КАК МОЖНО ХРАНИТЬ ТАКОЕ ОГРОМНОЕ КОЛИЧЕСТВО КРИПТОАКТИВОВ НА ТЕЛЕФОНЕ???? Это самая глупая вещь за всю историю… Теперь хакеры делят BTC на небольшие части и загоняют их на миксер. Это очень серьёзный взлом.
Чтобы осуществить атаку sim swap, хакеру необходимо получить контроль над номером телефона жертвы. Согласно недавнему исследованию объединённой группы профессоров и Ph.D, за последние годы студенты факультета компьютерных наук Гарвардского университета и Центра политики информационных технологий Принстонского университета стали значительно чаще проводить sim swap.
По этому поводу доцент Принстона Арвинд Нараянан написал в Твиттере:
Злоумышленник звонит вашему оператору, представляется вами и просит перенести услугу на новую SIM-карту. Это довольно плохая практика, хотя сейчас сотни сайтов используют двухфакторную SMS-аутентификации, что подвергает риску ваши аккаунты.
“SIM swap” attacks have been in the news for years. They've enabled serious financial crimes and even a hack of the twitter CEO's account. We spent 6 months researching how vulnerable wireless accounts are to these attacks. Our draft study is out today. https://t.co/4teDV2LYDa
— Arvind Narayanan (@random_walker) January 10, 2020
Недавно профессиональный инвестор Грегг Беннетт подал иск против Bittrex, утверждая, что биржа нарушила или проигнорировала его собственные стандарты безопасности и отраслевые стандарты, что позволило хакерам украсть биткоины на сумму около $1 млн со счета Беннетта (это произошло в апреле 2019 года).
Изначально Беннет стал жертвой взлома SIM-карты, о чём оповестил службу поддержки Bittrex. Однако почти два часа его сообщение находилось без внимания, что позволило хакерам опустошить его аккаунт.