在一名 Coinbase 用戶起訴該加密貨幣交易所 96,000 美元後,加密社區開始辯論是否應繼續使用簡訊雙因素認證(2FA)來保障賬戶安全。
賈里德·弗格森(Jared Ferguson)於 3 月 6 日在美國加利福尼亞北區地方法院對 Coinbase 提起訴訟,聲稱在身份竊賊從他的賬戶中提取資金後,他失去了「90%的畢生積蓄」,並且 Coinbase 拒絕賠償他。
據稱,弗格森成為了一種名為「SIM 卡交換」(SIM swapping)的身份盜竊手段的受害者,這種手段允許詐騙者通過欺騙電信公司將電話號碼與他們自己的 SIM 卡綁定,從而控制這些電話號碼。
這使得他們能夠繞過賬戶上的任何簡訊 2FA, allegedly 在本案中,他們成功確認了從弗格森 Coinbase 賬戶中提取 96,000 美元的操作。
弗格森聲稱,在 5 月 9 日他的手機被黑後,他的手機無法使用,並表示在按照服務提供商 T-Mobile 的指示恢復服務並更換 SIM 卡後,他發現資金已從 Coinbase 賬戶中提取。T-Mobile 曾因 SIM 卡交換案件在 2021 年 2 月被一名受害者起訴,該案件導致價值約 45萬美元的比特幣被盜。
Coinbase 否認對弗格森賬戶被黑事件負有任何責任,並在一封電子郵件中告知他,「您對您的電子郵件、密碼、2FA 代碼和設備的安全負責。」加密社區普遍對弗格森的訴訟是否能成功表示懷疑,並指出 Coinbase 鼓勵用戶使用認證器應用程序進行 2FA,而非簡訊認證,稱簡訊認證是「最不安全」的認證方式。一些 Reddit 用戶在一篇標題為「永遠不要使用簡訊 2FA」的帖子中討論了此訴訟,甚至建議應該禁止使用簡訊 2FA,但也指出,這對於許多服務來說是唯一可用的認證選項,正如一位用戶所說:「不幸的是,我使用的許多服務仍然沒有提供認證器 2FA。但我確實認為簡訊認證方法已經證明不安全,應該禁止。」
區塊鏈安全公司 CertiK 在 9 月曾警告使用簡訊 2FA 的風險,其安全專家傑西·勒克萊爾(Jesse Leclere)告訴 Cointelegraph:「簡訊 2FA 總比沒有好,但它是當前使用的最脆弱的 2FA 形式。」
勒克萊爾表示,像 Google Authenticator 或 Duo 這樣的專用認證器應用程序提供了幾乎與簡訊 2FA 相同的便利,同時消除了 SIM 卡交換的風險。
一位 Reddit 用戶分享了類似的建議,但也提到將認證器應用程序添加到手機上會使設備成為單點故障,並建議使用獨立的硬體認證設備。
