导读：一天时间，Coinbase 账户里价值 10 万美元的加密资产飞灰烟灭!Bitgo 的工程主管 Sean Coonce 以为只是因为不小心摔了手机导致 SIM 故障失去了移动服务，不曾料到这却是一场黑客盗币的信号。

上周三，我丢失了价值10万美元的加密货币。这笔钱在一天内就因为一次“SIM卡转移攻击”从我的 Coinbase 账户中消失了，这件事已经过去好几天了，我整个人都非常沮丧。食不知味，夜不能寐，觉得自己被焦虑、懊悔和难堪的感觉浸没。

这是我人生中最昂贵的一课，我想与尽可能多的人分享我从这次事件中得到的经验教训，希望借此提高大家对这类SIM卡攻击的认识，从而加强你们在线身份的安全性。

01 攻击的细节

你可能会先问一个问题，究竟什么是“SIM 卡转移攻击”?为了讲清楚攻击发生的原由，需要大家先来看一下典型的在线身份验证。对于大多数人来说，下面这张图应该看起来很熟悉：

03 经验教训和建议

这是我人生中最昂贵的一课。我在一天内永远地失去了这笔对我而言意义重大的净资产。

以下是我的一些如何加强防护措施的建议：

1、使用硬件钱包保护你的密码：无论什么时候，如果你没在交易，就把你的密码保存在硬件钱包/离线钱包/多重签名钱包，而不是把资金闲置在交易平台中。

我把 Coinbase 当作一个银行账户，一旦遭受攻击，没有任何可以挽回的措施。虽然我比大多数人更了解把钱放在交易平台的风险，但从未想过这种事情会发生在我身上。我现在非常后悔没有对我的加密货币采取更有力的安全措施。

2、基于手机短信服务的二次验证并不够安全：无论你想保护线上资产还是线上身份，请使用一些硬件装备来增强防护措施。这样一来，攻击者为了实施攻击，就必须在现实生活中拿到你储存密码的装备。

谷歌身份验证器和 Authy 可以将你的移动设备转变为这样的硬件装备，从而提高安全性，但我建议你更进一步：选一个你可以实际控制且不会被攻击者欺骗的 Yubikey(一个小型USB设备)。

3、减少你的上网痕迹：抑制你想要在网上分享个人身份信息的冲动(比如，你的出生日期、住址、带有地理位置信息的图片等)。在发生攻击时，所有这类公开的数据信息都有可能会被用做发起攻击的工具。

4、谷歌的语音二次验证：在某些情况下，在线服务不支持基于硬件的二次验证(它们依赖于安全性较弱的短信服务二次验证)。这种时候，你最好创建一个谷歌语音电话号码(它无法通过SIM卡转移)并使用谷歌语音电话作为你二次验证的工具。

4、再创建一个电子邮件地址：不要将所有东西都绑定到同一个电子邮件地址。为一些非常重要的在线身份(如银行账户、社交媒体账户、加密货币交易平台等)再创建一个邮件地址。这个邮件地址得保密，不要将它用于任何其他内容，使用基于硬件的二次验证增强这个邮件地址的安全性。

5、离线密码管理器：使用密码管理器输入密码，最好是能使用离线密码的管理器，比如Password Store(一个用于管理密码的软件)。

04 小结

我讲出这次事件始末，目的是让大家知道遭到攻击是多么容易的一件事，希望大家采纳我在上面提出的建议来加强你们的在线身份安全性。

我本可以做一些非常简单、轻松的防护措施来保护自己，我也总忍不住地去想“如果我····”，那事情的发展是不是就会完全不一样了。然而，当我这样想的时候，另外两种想法也向我袭来：懒惰和幸存者偏差。

之前我从未经历过攻击，因此我没有严肃对待我的在线安全问题。虽然我了解自己的风险状况，但我总是懒得以更严谨的态度来保护我的资产。所以，我恳请你们从我的这些错误中吸取教训。