friend.tech用戶遭SIM Swap攻擊 Verizon短信驗證是安全漏洞？

發表於 2023-10-08 13:14 作者： 區塊律動BlockBeats

來源：區塊律動

10 月 3 日，@darengb 在社交媒體平台 X（原 twitter）發文稱「我剛剛被交換了 SIM 卡並被盜走了 22 ETH」。據悉，該用戶在 friend.tech 上擁有的所有鑰匙以及其他人账戶上持有的該用戶的鑰匙都被賣掉了，目前該名用戶錢包裏剩下的 ETH 已被耗盡。「如果你的 Twitter 帳戶被人肉搜索到你的真實姓名，你的電話號碼就會被找到，這種情況可能會發生在你身上。」@darengb 補充道。

SIM 卡被黑客偷換

由 Twitter 帳戶搜索到真實姓名及電話號碼，進而盜取 friend.tech 账戶鑰匙，其背後邏輯是用戶綁定的 SIM 卡被黑客偷換。

@darengb 也在其推文中講述了其 friend.tech 被盜的詳細經過，「今天早些時候，我开始每分鐘都收到垃圾郵件，這導致我把手機調成靜音（我想這就是重點），所以我沒有看到 Verizon 的短信告訴我有人試圖訪問我的帳戶。事情發生得很快，Verizon 幾乎沒有給我任何反應的時間。我打开 FriendTech，以爲存在錯誤，因爲我的聊天室是空的，我嘗試查看 Octav，然後在 FT 上看到其他人關於 SIM 卡交換的推文，就在那時我意識到發生了什么事。」

此事也引發了社區激烈評論，其中 @IncomeSharks 發文表示，「同樣的事情也發生在我身上，那些人先給我發送垃圾短信。因爲運營商不會等待我批准該請求，因此如果我在 10 分鐘內沒有回復，他們就會批准 SIM 卡交換。移動運營商太糟糕了！Sim 交換不應該成爲問題。」

@AloshyAkasoto 對此表示，「這不僅僅是一個 friend.tech 問題，還因爲他們的錢包提供商 privy 允許用戶使用他們的電話號碼注冊。不幸的是，電話號碼是網絡安全中最薄弱的環節。所有使用 privy 作爲錢包提供商的 dApp 中都可能存在相同的漏洞。」

Verizon 短信驗證或爲安全漏洞

然而，早在 9 月 18 日，@Montana_Wong 就在推文中說到：「我是 friend.tech 的粉絲，但我害怕在那裏持有資金。因爲 1. 你的錢包余額是公开信息 2. 它使用短信進行身份驗證 擁有足夠高的余額，你就會成爲 SIM 交換的目標……黑客會扔掉你持有的鑰匙 取出你的美元。」

而支撐着 friend.tech 背後的電信鏈接行業正是 Verizon。Verizon 在 2019 年獲得美國專利於商標局的專利核准，這一專利提到了一個與區塊鏈和虛擬 SIM 卡有關的數據系統。根據專利文件，這一系統將爲虛擬 SIM 卡（vSIM）提供特殊的用戶帳戶，並可以在設備上激活這一 SIM 卡。SIM 卡激活之後，將會在區塊鏈網絡上發布消息，確認這一激活行爲。

去年 1 月，Verizon 在 LinkedIn 上發布的合作夥伴經理招聘信息顯示，該公司計劃進軍 NFT、Web 3 和元宇宙等領域。針對此次 SIM 卡交換事件，@CryptoWithNick表示，Verizon 實施了一項新功能「Num Lock」來對抗 SIM 卡交換。

然而，社區成員仍然對此表示質疑，@wholeisticguy 發文表示，「流程和技術從根本上來說是不安全的，任何人都無法爲此做出保證。短信、你的 SIM 卡和你的電話號碼並不安全，也無法保證安全。永遠不要用這些來保護任何東西，任何使用它們來保證安全的東西都是不安全的。」

Vitalik 此前也經歷 SIM Swap

SIM 卡的調換引起損失似乎並不是新鮮事，BlockBeats 曾於 9 月 10 日報道，以太坊聯創 Vitalik 的推特账號被黑客攻擊並發布釣魚鏈接。據 ZachXBT 表示，黑客共計盜走約 69.1 萬美元。9 月 12 日，Vitalik 在社交媒體上發文表示，已經找回其 T-mobile 帳戶，並確認此前的攻擊是一次 SIM 卡交換攻擊。

Vitalik 解釋稱，就 X 而言，持有電話號碼足以重置其账戶密碼，自己之前看到過「電話號碼不安全，不要通過它們進行身份驗證」的建議，但並沒有意識到問題。目前推測是注冊 Twitter Blue 時泄露了手機號。

標題：friend.tech用戶遭SIM Swap攻擊 Verizon短信驗證是安全漏洞？

地址：https://www.coinsdeep.com/article/52258.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。