入侵 SEC 官方 X 帳號、假傳聖旨「核准比特幣 ETF」！美 25 歲駭客坦承犯行

去年 1 月駭入美國證管會（SEC）官方 X 帳號，因而導致帳號 被盜用於發布假貼文、佯稱「已核准比特幣現貨 ETF 上市」 的男子 Eric Council Jr.，於周一在華盛頓特區聯邦法院認罪。

這起事件發生在 2024 年 1 月 9 日，當時美國 SEC 的官方 X 帳號發文稱 「已核准比特幣 ETF 在所有註冊的全國證交所上市」，由於時間點與 ETF 審核截止日相近，許多投資人一度信以為真，市場情緒瞬間沸騰，比特幣也應聲飆漲超過 1 千美元至 4.8 萬美元。

但隨後 SEC 主席 Gary Gensler 出面澄清是「帳號被駭客盜用」，並未有任何比特幣現貨 ETF 獲得批准，市場熱情被潑冷水，比特幣隨即下跌至 4.5 萬美元。

根據美國司法部（DoJ）的聲明，25 歲的 Eric Council Jr. 被指控與共犯合謀駭入 SEC 帳號，他於 去年 10 月落網 後，周一在法院認罪，罪名包括 「共謀嚴重身分盜竊罪」及 「存取設備詐欺罪」，最高可能面臨 5 年徒刑，量刑預計會在 5 月 16 日宣判。

此外， Eric Council Jr. 也同意被沒收 5 萬美元，這筆款項來自共犯支付給他的「駭客酬勞」，並透過比特幣支付。

駭客手法曝光：SIM 卡挾持攻擊 + 偽造身分證件

根據美國司法部說法， Eric Council Jr.  在網路上使用「Ronin」、「Easymunny」和「AGiantSchnauzer」等化名，並運用「SIM 卡挾持攻擊（SIM Swap Attack）」的手法，竊取了與 SEC 官方 X 帳號綁定的手機門號，進而取得帳號控制權。

檢方詳細揭露了駭客入侵的過程：

1. 偽造身份證件： Eric Council Jr. 利用特殊設備偽造了一張假身分證，受害者個資由共犯提供。
2. 冒充受害者： Eric Council Jr. 使用假身分證騙取電信業者的信任，要求將受害者的手機門號轉移到自己掌控的 SIM 卡上。
3. 奪取 SEC 帳號控制權：手機門號成功轉移後，駭客透過簡訊驗證登入 SEC 的官方 X 帳號，並發布假消息。

值得一提的是，美國 SEC 在事發後隔天正式核准了比特幣現貨 ETF 。雖然這起駭客攻擊最終未影響 SEC 的決策進程，但卻揭露了金融監管機構在社群媒體帳號資安方面的漏洞，也讓市場投資人對資訊真實性更加警惕。

曾呼籲投資人使用「多重驗證」今打臉自己！X 官方：SEC 帳號未啟用 2FA