SIM 卡交換攻擊竊取 2400 萬美元！21 歲嫌犯清空加密投資人帳戶

21 歲的曼哈頓居民 Nicholas Truglia 涉嫌透過 SIM 卡交換攻擊，清空加密投資人 Michael Terpin 的帳戶，造成逾 2,300 萬美元損失，本人亦面臨 21 項重罪指控。整起案件最廣為流傳的細節，並非龐大的被盜金額，而是嫌疑人本人發布的一則推文：「偷 2,400 萬，卻仍無法交到朋友。」

SIM 換卡攻擊機制：如何在數小時內清空加密帳戶

SIM 卡交換攻擊是一種高度針對性的社交工程手法。攻擊者通過欺騙或賄賂電信業者客服人員，將受害者的手機號碼轉移至攻擊者控制的 SIM 卡上。一旦取得電話號碼控制權，攻擊者便可利用「忘記密碼」功能，透過簡訊驗證碼繞過雙重身份驗證（2FA），進而存取電郵、交易所帳戶及加密錢包。

Michael Terpin 表示，他於 2018 年 1 月 7 日遭受 SIM 換卡攻擊，帳戶中逾 2,300 萬美元的加密資產在極短時間內被轉走。事後，他對 Truglia 提起民事訴訟，聲明：「我提起這起訴訟，是我持續追討竊盜損失的一部分。」

嫌疑人的自我膨脹：一份宣誓書揭開的完整側寫

Truglia 的前夥伴 Chris David 提交的宣誓書，詳細記錄了嫌疑人在行竊期間的生活習慣與心理狀態，為整起案件提供了大量第一手資料。

Chris David 宣誓書中記錄的關鍵細節

奢靡的物質生活：勞力士手錶、月租 6,000 美元公寓、10 萬美元現金放置衣櫃

自比羅賓漢：稱自己「從富人那裡搶奪，卻不分給窮人」

公開宣揚 SIM 換卡行為：透過 Twitter 帳號 @erupts 吹噓曾對父親實施 SIM 換卡攻擊

宣稱永遠不會被捕：「他們怎麼證明我的故事是錯的？沒有人能把我關進監獄，我願意拿生命來打賭。」

其他行為記錄：David 在宣誓書中另提及 Truglia 習慣逃避餐廳帳單

在所有細節中，影響最深遠的是那則推文——「偷了 2,400 萬，卻仍無法交到朋友」。這句充滿自我嘲諷意味的公開表述，最終成為呈庭文件的一部分，也成為加密安全社群廣為引用的警示案例。

案件結果與加密安全的長期啟示

Truglia 於 2018 年 11 月在曼哈頓被捕，隨後被引渡至加州，面臨 21 項重罪指控。他的案件是早期 SIM 換卡攻擊針對高淨值加密資產持有者的代表性案例，也深刻揭示了以電話號碼為基礎的 2FA 驗證機制的核心弱點：攻擊者無需入侵設備，只需控制一個電話號碼，即可接管大量關聯帳戶。

此案促使加密社群更廣泛地討論驗證方案的升級必要性，推動更多用戶和機構從簡訊 2FA 轉向驗證器應用程式（Authenticator App）或硬體安全金鑰。

常見問題

什麼是 SIM 卡交換攻擊，為何加密資產特別容易受影響？

SIM 卡交換攻擊是攻擊者欺騙電信業者將受害者電話號碼轉移至自己 SIM 卡的社交工程手法。由於大多數加密交易所的帳戶重置流程依賴簡訊驗證碼，取得號碼控制權後即可完整繞過 2FA，使加密資產成為高度脆弱的目標。

Michael Terpin 的案件對加密安全產生了哪些影響？

Terpin 對 Truglia 的訴訟是加密安全史上最具代表性的 SIM 換卡案例之一，推動了業界對電信業者責任認定的廣泛討論，並促使加密社群更積極地倡導棄用簡訊 2FA、改用更安全的硬體驗證方案。

如何有效防禦 SIM 卡交換攻擊？

核心防護包括：以硬體安全金鑰或驗證器應用程式取代簡訊 2FA；向電信業者申請設定 SIM 鎖定或帳戶 PIN 碼；避免將重要加密資產帳戶與電話號碼直接綁定；並定期審查所有帳戶的驗證方式，降低電話號碼被轉走後的資產曝險。