薩爾瓦多的比特幣錢包 Chivo 的安全性問題近日再度躍上焦點,不少薩國民眾皆反映其身分遭盜用,網路上也流傳大量輕鬆破解驗證程序的實測影片,甚至連海報跟馬克杯的照片都可以註冊帳號,薩國當地的非營利組織則指責主管機關權責不明、根本沒提供適當救濟管道及負責人。
(前情提要:薩爾瓦多總統:1/3的國民在用 Chivo 比特幣錢包,超過當地任一家銀行)
(事件背景:薩爾瓦多 : 將空投「所有國民30美元 比特幣」、建錢包Chivo;巴拉圭法案送國會)
薩爾瓦多自 9 月 7 日讓比特幣(BTC)成為法定貨幣以來已將近兩個月,但 Chivo 錢包的安全性疑慮依舊未減、頻傳民眾遭到駭客盜用身分,馬克杯、電影魔鬼終結者的海報都可以拿來驗證身分,更多帳號不只被歹徒盜走空投的 30 美元、還被當人頭轉移資金。
延伸閱讀:薩爾瓦多政府持700BTC,遭質疑:根本不知道是誰在控制私鑰?
魔鬼終結者海報、馬克杯都能驗證身分
據外媒《Cointelegraph》報導,光是在 10 月 9 日至 10 月 14 日短短五天內,薩爾瓦多人權組織 Cristosal 便收到 755 份薩國人的身份遭到冒用拿來註冊 Chivo 錢包的消息。
薩國民眾辛西婭 · 古帖雷茲(Cynthia Gutierrez)便是一例,28 歲的她在 10 月 16 日首度打開 Chivo App,卻發現自己的身分證編號已經被用來註冊,取得了薩國政府免費空投給民眾的 30 美元 BTC。
據 Chivo 官網介紹,想註冊 Chivo 必須提供薩國的身分證、並且進行人臉掃描,然而這套系統的精準程度受到質疑。
一位薩國 Youtuber 亞當 · 佛洛雷斯(Adam Flores)用祖母的身分證影本嘗試註冊,結果系統竟然接受這份文件,更扯的還在後頭,當驗證程序來到臉部掃描時,佛洛雷斯將鏡頭對準牆上《魔鬼終結者》海報的沙拉康納女演員,結果 Chivo 允許其註冊、如實的空投了 30 美元 BTC。
薩國學生團體 MAS_SV89 異想天開,將馬克杯當作註冊的身分證,接著在臉部掃描時再次拍攝該馬克杯,結果同樣註冊成功。
MAS_SV89 在推特上直言:
正如你所看到的,一個杯子也可以代替身分證和你的臉驗證,
這套系統是用你的稅金製作的,同時再發你繳的錢回來給你。
Probando la seguridad de la Chivo Wallet; como verán hasta una taza acepta por DUI o rostro del usuario el maravilloso sistema de seguridad de esta wallet hecha a la carrera con tus impuestos y para regalar tu propio dinero.#NoAlBitcoin #NoALaChivoWallet pic.twitter.com/WX3dNz1UzJ
— Movimiento Acción Social (@MAS_SV89) October 2, 2021
許多受害者打電話向 Chivo 客服中心求助,即使成功恢復帳號,30 美元的空投卻早已被轉走。
歹徒甚至還會再轉好幾個彎,當受害者向薩國當局投訴,追查至資金轉移目的地時,該錢包卻只是另一個被駭客盜用的身分,受害者 Santacruz 的身分便被當成五個被駭帳號轉移資金的人頭。
另一位受害者 Ramón Esquivel 憤怒的表示:
我的身分被用來洗錢,這些行為以我的身分註冊、損害了我的信用。
主管權責不明
薩國非營利組織 Acción Ciudadana 的律師 Laura Nathalie Hernández 就表示,該組織的總裁身分遭到冒用,只能選擇向薩國總檢察長辦公室(FGR)求助,但從 10 月 12 日迄今都毫無消息。
Hernández 建議其他受害人將受害過程 PO 上社群媒體、喚起大眾注意力,同時再向 FGR 投訴,試圖以大眾的力量喚醒公部門。但 Hernández 也指出薩國政府並未公布誰是主管機關、又或是第三方服務商:
我們不知道誰來管理它,
如果是第三方公司的話,它根本沒有透明度可言。
📍相關報導📍
薩爾瓦多BTC錢包遭轟問題多, 65%手機竟無法支援;全國用率達17%
薩爾瓦多千人遊行,「燒毀比特幣ATM」激烈抗議;Chivo錢包已超50萬用戶
法案生效!比特幣正式成為「薩爾瓦多的法定貨幣」,總統府警告:商家拒用BTC犯法
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
