friend.tech用户遭SIM Swap攻击 Verizon短信验证是安全漏洞?
来源:区块律动
10 月 3 日,@darengb 在社交媒体平台 X(原 twitter)发文称「我刚刚被交换了 SIM 卡并被盗走了 22 ETH」。据悉,该用户在 friend.tech 上拥有的所有钥匙以及其他人账户上持有的该用户的钥匙都被卖掉了,目前该名用户钱包里剩下的 ETH 已被耗尽。「如果你的 Twitter 帐户被人肉搜索到你的真实姓名,你的电话号码就会被找到,这种情况可能会发生在你身上。」@darengb 补充道。
SIM 卡被黑客偷换
由 Twitter 帐户搜索到真实姓名及电话号码,进而盗取 friend.tech 账户钥匙,其背后逻辑是用户绑定的 SIM 卡被黑客偷换。
@darengb 也在其推文中讲述了其 friend.tech 被盗的详细经过,「今天早些时候,我开始每分钟都收到垃圾邮件,这导致我把手机调成静音(我想这就是重点),所以我没有看到 Verizon 的短信告诉我有人试图访问我的帐户。事情发生得很快,Verizon 几乎没有给我任何反应的时间。我打开 FriendTech,以为存在错误,因为我的聊天室是空的,我尝试查看 Octav,然后在 FT 上看到其他人关于 SIM 卡交换的推文,就在那时我意识到发生了什么事。」
此事也引发了社区激烈评论,其中 @IncomeSharks 发文表示,「同样的事情也发生在我身上,那些人先给我发送垃圾短信。因为运营商不会等待我批准该请求,因此如果我在 10 分钟内没有回复,他们就会批准 SIM 卡交换。移动运营商太糟糕了!Sim 交换不应该成为问题。」
@AloshyAkasoto 对此表示,「这不仅仅是一个 friend.tech 问题,还因为他们的钱包提供商 privy 允许用户使用他们的电话号码注册。不幸的是,电话号码是网络安全中最薄弱的环节。所有使用 privy 作为钱包提供商的 dApp 中都可能存在相同的漏洞。」
Verizon 短信验证或为安全漏洞
然而,早在 9 月 18 日,@Montana_Wong 就在推文中说到:「我是 friend.tech 的粉丝,但我害怕在那里持有资金。因为 1. 你的钱包余额是公开信息 2. 它使用短信进行身份验证 拥有足够高的余额,你就会成为 SIM 交换的目标……黑客会扔掉你持有的钥匙 取出你的美元。」
而支撑着 friend.tech 背后的电信链接行业正是 Verizon。Verizon 在 2019 年获得美国专利于商标局的专利核准,这一专利提到了一个与区块链和虚拟 SIM 卡有关的数据系统。根据专利文件,这一系统将为虚拟 SIM 卡(vSIM)提供特殊的用户帐户,并可以在设备上激活这一 SIM 卡。SIM 卡激活之后,将会在区块链网络上发布消息,确认这一激活行为。
去年 1 月,Verizon 在 LinkedIn 上发布的合作伙伴经理招聘信息显示,该公司计划进军 NFT、Web 3 和元宇宙等领域。针对此次 SIM 卡交换事件,@CryptoWithNick表示,Verizon 实施了一项新功能「Num Lock」来对抗 SIM 卡交换。
然而,社区成员仍然对此表示质疑,@wholeisticguy 发文表示,「流程和技术从根本上来说是不安全的,任何人都无法为此做出保证。短信、你的 SIM 卡和你的电话号码并不安全,也无法保证安全。永远不要用这些来保护任何东西,任何使用它们来保证安全的东西都是不安全的。」
Vitalik 此前也经历 SIM Swap
SIM 卡的调换引起损失似乎并不是新鲜事,BlockBeats 曾于 9 月 10 日报道,以太坊联创 Vitalik 的推特账号被黑客攻击并发布钓鱼链接。据 ZachXBT 表示,黑客共计盗走约 69.1 万美元。9 月 12 日,Vitalik 在社交媒体上发文表示,已经找回其 T-mobile 帐户,并确认此前的攻击是一次 SIM 卡交换攻击。
Vitalik 解释称,就 X 而言,持有电话号码足以重置其账户密码,自己之前看到过「电话号码不安全,不要通过它们进行身份验证」的建议,但并没有意识到问题。目前推测是注册 Twitter Blue 时泄露了手机号。