虽然 Chivo 钱包的用户量已经达到里程碑，但黑客似乎瞄准了 30 美元的比特币奖励。

Chivo 钱包是萨尔瓦多政府为推行比特币法案而在 9 月 7 日发布的国家级数字钱包，为此，萨尔瓦多承诺，下载并认证的 Chivo 钱包用户将获得 30 美元的比特币奖励。此举使这个萨尔瓦多官方钱包在 1 个月内的用户量超过 200 万人。

萨尔瓦多总统纳伊布·布克勒 (Nayib Bukele)表示：“与传统银行在 40 年内进行国有化和私有化相比，我们似乎能够在一个月内为更多人提供银行服务。”

随着对比特币的采用，布克勒将他的国家置于“有关货币未来的全球讨论”的中心。在比特币法案的第 7 条中，规定所有商家在客户提供比特币支付时必须接受比特币作为一种支付方式。

黑客瞄准 Chivo 钱包

起初，萨尔瓦多公民辛西娅·古铁雷斯 (Cynthia Gutierrez) 拒绝下载 Chivo，但她最终决定在 10 月 16 日打开该钱包，因为她从萨尔瓦多同胞那里得知黑客盗用了他们的身份信息，并激活了与他们的身份证相关联的钱包。

古铁雷斯接受采访时说：“这种情况越来越多，进入了我的亲密圈子。”

当古铁雷斯输入她的个人信息时，Chivo 钱包内弹出了一个窗口，说她的证件号码已经与钱包相关联。

古铁雷斯的身份被盗案件是自 9 月以来萨尔瓦多人上报的数百起案件之一。在 10 月 9 日至 10 月 14 日期间，萨尔瓦多的人权组织 Cristosal 收到了 755 份关于萨尔瓦多人报告 Chivo 钱包身份被盗的通知。

黑客进行大规模的身份盗窃行动基于一个动机：每个钱包都装有价值 30 美元的比特币，由萨尔瓦多总统纳伊布·布克勒 (Nayib Bukele) 政府提供，以鼓励公民使用这种加密货币。

Chivo 的系统存在缺陷

根据 Chivo 钱包的官网介绍，开户需要对个人的汽车驾驶证进行正反面扫描，然后进行人脸识别，以核对注册人身份。但一些萨尔瓦多人报告了该系统存在缺陷的证据。

亚当·弗洛雷斯（Adam Flores），一位萨尔瓦多的 YouTube 用户，听说了黑客盗用身份的案件，他想起他的祖母没有注册 Chivo 钱包，并决定现场测试一下。尽管弗洛雷斯只有祖母的汽车驾驶证复印件，但他还是试了试，令人惊讶的是，Chivo 接受了该申请的有效性。

弗洛雷斯完成了验证过程，然后被要求进行实时面部识别。于是在他房间的墙上拍下了一张海报的照片，上面是《终结者》电影系列中的角色莎拉康纳。面部识别系统几秒钟的验证后，海报的照片竟然通过了验证，并发放了 30 美元的奖励。

随后，弗洛雷斯进行了另一次尝试，使用了一个咖啡杯就足以取代汽车驾驶证，欺骗了 Chivo 钱包的面部识别。

萨尔瓦多人并不总是尝试自己开设账户。根据人权组织 Cristosal 的说法，在报告身份被盗的 700 名萨尔瓦多人中，大多数人请求熟人通过将他们的身份证件号码放在收款人中来尝试通过 Chivo 转账，但他们发现地址“已准备好接收转账”。换句话说，他们的身份证号码已经被非法注册了。

由于担心被冒充，萨尔瓦多的另一位公民罗曼埃斯基维尔（Ramón Esquivel）于 10 月 11 日让一位熟人用他的汽车驾驶证将钱汇到一个钱包中。令他惊讶的是，转账成功了，尽管他从未激活过自己的账户。在事件发生后，他向司法部长办公室提出了投诉：“我非常愤怒，我意识到黑客使用了我的身份信息。我被用来从事洗钱行为，这些行为以我的身份注册，损害我的诚信。”

精明的黑客

在其他身份盗窃案中，黑客甚至将 30 美元转到其他被黑客入侵的账户中，而不是黑客自己的钱包。

两周前，萨尔瓦多媒体主持人加布里埃拉·索萨 (Gabriela Sosa) 试图用驾驶证激活 Chivo 钱包，但屏幕上跳出一条错误消息，告知她已经注册。事情发生后，索萨立刻拨打了 Chivo 的官方号码，被告知她必须去 Chivo 的当地站点。于是她去了那个求助中心，终于找回了账户，但 30 美元却被人转走了。

于是索萨在推特上公布了 30 美元被转到的账户详细信息，账户使用者的名字是迈克尔·桑塔克鲁斯。

几天后，桑塔克鲁斯收到了推特的消息，但他在此之前从未激活过他的 Chivo 账户。于是他试图尝试打开他的钱包，但系统显示驾驶证已经被注册了。与索萨一样，他也找到了 Chivo 帮助中心，在恢复他的账户后，他意识到钱包已被用来其他被黑账户中接收资金。

图片：用桑塔克鲁斯的钱包进行的交易。

Acción Ciudadana 是一家专门从事审计的非营利组织，在该集团总裁 Humberto Sáenz 和董事 Eduardo Escobar 发现黑客注册了他们的 Chivo 钱包后，于 10 月 12 日向总检察长办公室 (FGR) 提交了一份通知。

Acción Ciudadana 表示，截至目前，在提交申请两周后，总检察长办公室没有回应。

Laura Nathalie Hernández 是萨尔瓦多公司 Legal Novis 的技术律师，她一直收到身份盗用受害者关于 Chivo 钱包的帮助请求。根据 Hernández 的说法，发现身份被盗用应该首先求助于 Chivo 钱包。“但我们也没有太多关于谁负责的信息，我们不知道谁在管理它。这中间没有透明度。”

Chivo 对此不负责，也没有明确的解决流程

根据 Chivo 钱包的使用条款，账户的授权以 CHIVO SA de CV 执行的 KYC 流程为条件，由政府创建并启动钱包。该验证过程“包括提供完全符合该过程所需的信息和文件。”

同时该条款还规定, 用户同意“不向第三方披露或泄露任何用于访问该网站的信息、身份信息、密码或任何代码。”对于因黑客攻击或丢失密码而导致未经授权的第三方访问您的账户而给用户造成的任何损失或损害，它概不负责。

记者采访了 Chivo 的工作人员并提出问题：“在真实账户所有者未提供信息的情况下，谁应对黑客攻击负责？”但工作人员并没有回答。

萨尔瓦多媒体主持人索萨最终收回了她的 30 美元比特币，并强调她的投诉不是针对总统布克勒，只是她想提高对这个问题的认识。

古铁雷斯尚未收回她的钱。“我试图联系客户服务，但他们没有给我答复，也没有任何机构明确在这种情况下应遵循的流程。”

埃斯基维尔说他对 30 美元的奖励或政府应用程序不感兴趣。“如果我完全使用比特币，我将使用一个钱包来保管我的钱。”

风险提示：

根据央行等部门发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》，本文内容仅用于信息分享，不对任何经营与投资行为进行推广与背书，请读者严格遵守所在地区法律法规，不参与任何非法金融行为。