薩爾瓦多政府爲居民新註冊錢包提供 30 美元比特幣獎勵,但部分居民身份被盜用,錢包內比特幣被轉移。
Chivo 錢包是薩爾瓦多政府爲推行比特幣法案而在 9 月 7 日發佈的國家級數字錢包,爲此,薩爾瓦多承諾,下載並認證的 Chivo 錢包用戶將獲得 30 美元的比特幣獎勵。此舉使這個薩爾瓦多官方錢包在 1 個月內的用戶量超過 200 萬人。
薩爾瓦多總統納伊布·布克勒 (Nayib Bukele) 表示:
與傳統銀行在 40 年內進行國有化和私有化相比,我們似乎能夠在一個月內爲更多人提供銀行服務。
隨著對比特幣的採用,布克勒將他的國家置於「有關貨幣未來的全球討論」的中心。在比特幣法案的第 7 條中,規定所有商家在客戶提供比特幣支付時必須接受比特幣作爲一種支付方式。
駭客瞄準 Chivo 錢包
起初,薩爾瓦多公民辛西婭·古鐵雷斯 (Cynthia Gutierrez) 拒絕下載 Chivo,但她最終決定在 10 月 16 日打開該錢包,因爲她從薩爾瓦多同胞那裡得知駭客盜用了他們的身份訊息,並啟動了與他們的身份證相關聯的錢包。
古鐵雷斯接受採訪時說
這種情況越來越多,進入了我的親密圈子。
當古鐵雷斯輸入她的個人訊息時,Chivo 錢包內彈出了一個窗口,說她的證件號碼已經與錢包相關聯。
古鐵雷斯的身份被盜案件是自 9 月以來薩爾瓦多人上報的數百起案件之一。在 10 月 9 日至 10 月 14 日期間,薩爾瓦多的人權組織 Cristosal 收到了 755 份關於薩爾瓦多人報告 Chivo 錢包身份被盜的通知。
駭客進行大規模的身份盜竊行動基於一個動機:每個錢包都裝有價值 30 美元的比特幣,由薩爾瓦多總統納伊布·布克勒 (Nayib Bukele) 政府提供,以鼓勵公民使用這種加密貨幣。
Chivo 的系統存在缺陷
根據 Chivo 錢包的官網介紹,開戶需要對個人的汽車駕駛證進行正反面掃描,然後進行人臉識別,以核對註冊人身份。但一些薩爾瓦多人報告了該系統存在缺陷的證據。
亞當·弗洛雷斯(Adam Flores),一位薩爾瓦多的 YouTube 用戶,聽說了駭客盜用身份的案件,他想起他的祖母沒有註冊 Chivo 錢包,並決定現場測試一下。儘管弗洛雷斯只有祖母的汽車駕駛證複印件,但他還是試了試,令人驚訝的是,Chivo 接受了該申請的有效性。
弗洛雷斯完成了驗證過程,然後被要求進行實時面部識別。於是在他房間的牆上拍下了一張海報的照片,上面是《終結者》電影系列中的角色莎拉康納。面部識別系統幾秒鐘的驗證後,海報的照片竟然通過了驗證,並發放了 30 美元的獎勵。
隨後,弗洛雷斯進行了另一次嘗試,使用了一個咖啡杯就足以取代汽車駕駛證,欺騙了 Chivo 錢包的面部識別。
薩爾瓦多人並不總是嘗試自己開設帳戶。根據人權組織 Cristosal 的說法,在報告身份被盜的 700 名薩爾瓦多人中,大多數人請求熟人通過將他們的身份證件號碼放在收款人中來嘗試通過 Chivo 轉賬,但他們發現地址「已準備好接收轉帳」。換句話說,他們的身份證號碼已經被非法註冊了。
由於擔心被冒充,薩爾瓦多的另一位公民羅曼埃斯基維爾(Ramón Esquivel)於 10 月 11 日讓一位熟人用他的汽車駕駛證將錢匯到一個錢包中。令他驚訝的是,轉帳成功了,儘管他從未啟動過自己的賬戶。在事件發生後,他向司法部長辦公室提出了投訴:
我非常憤怒,我意識到駭客使用了我的身份訊息。我被用來從事洗錢行爲,這些行爲以我的身份註冊,損害我的誠信。
精明的駭客
在其他身份盜竊案中,駭客甚至將 30 美元轉到其他被駭客入侵的帳戶中,而不是駭客自己的錢包。
兩週前,薩爾瓦多媒體主持人加布裏埃拉·索薩 (Gabriela Sosa) 試圖用駕駛證啟動 Chivo 錢包,但屏幕上跳出一條錯誤消息,告知她已經註冊。事情發生後,索薩立刻撥打了 Chivo 的官方號碼,被告知她必須去 Chivo 的當地站點。於是她去了那個求助中心,終於找回了帳戶,但 30 美元卻被人轉走了。
於是索薩在推特上公佈了 30 美元被轉到的帳戶詳細信息,帳戶使用者的名字是邁克爾·桑塔克魯斯。
幾天後,桑塔克魯斯收到了推特的消息,但他在此之前從未啟動過他的 Chivo 賬戶。於是他試圖嘗試打開他的錢包,但系統顯示駕駛證已經被註冊了。與索薩一樣,他也找到了 Chivo 幫助中心,在恢復他的帳戶後,他意識到錢包已被用來其他被駭帳戶中接收資金。
圖片:用桑塔克魯斯的錢包進行的交易
Acción Ciudadana 是一家專門從事審計的非營利組織,在該集團總裁 Humberto Sáenz 和董事 Eduardo Escobar 發現駭客註冊了他們的 Chivo 錢包後,於 10 月 12 日向總檢察長辦公室 (FGR) 提交了一份通知。
Acción Ciudadana 表示,截至目前,在提交申請兩週後,總檢察長辦公室沒有回應。
Laura Nathalie Hernández 是薩爾瓦多公司 Legal Novis 的技術律師,她一直收到身份盜用受害者關於 Chivo 錢包的幫助請求。根據 Hernández 的說法,發現身份被盜用應該首先求助於 Chivo 錢包。
但我們也沒有太多關於誰負責的訊息,我們不知道誰在管理它。這中間沒有透明度。
Chivo 對此不負責,也沒有明確的解決流程
根據 Chivo 錢包的使用條款,帳戶的授權以 CHIVO SA de CV 執行的 KYC 流程爲條件,由政府創建並啓動錢包。該驗證過程「包括提供完全符合該過程所需的訊息和文件。」
同時該條款還規定,用戶同意「不向第三方披露或泄露任何用於訪問該網站的訊息、身份訊息、密碼或任何代碼。」對於因駭客攻擊或丟失密碼而導致未經授權的第三方訪問您的帳戶而給用戶造成的任何損失或損害,它概不負責。
記者採訪了 Chivo 的工作人員並提出問題:
在真實帳戶所有者未提供訊息的情況下,誰應對駭客攻擊負責?
但工作人員並沒有回答。
薩爾瓦多媒體主持人索薩最終收回了她的 30 美元比特幣,並強調她的投訴不是針對總統布克勒,只是她想提高對這個問題的認識。
古鐵雷斯尚未收回她的錢。
「我試圖聯繫客戶服務,但他們沒有給我答覆,也沒有任何機構明確在這種情況下應遵循的流程。」
埃斯基維爾說他對 30 美元的獎勵或政府應用程序不感興趣。
「如果我完全使用比特幣,我將使用一個錢包來保管我的錢。」
