来历:区块律动
10 月 3 日,@darengb 在社交媒体渠道 X(原 twitter)发文称「我刚刚被交流了 SIM 卡并被盗走了 22 ETH」。据悉,该用户在 friend.tech 上拥有的一切钥匙以及其他人账户上持有的该用户的钥匙都被卖掉了,现在该名用户钱包里剩下的 ETH 已被耗尽。「假如你的 Twitter 帐户被人肉搜索到你的真实名字,你的电话号码就会被找到,这种情况可能会产生在你身上。」@darengb 弥补道。
SIM 卡被黑客偷换
由 Twitter 帐户搜索到真实名字及电话号码,进而盗取 friend.tech 账户钥匙,其背面逻辑是用户绑定的 SIM 卡被黑客偷换。
@darengb 也在其推文中讲述了其 friend.tech 被盗的具体经过,「今日早些时候,我开始每分钟都收到废物邮件,这导致我把手机调成静音(我想这便是重点),所以我没有看到 Verizon 的短信告诉我有人企图拜访我的帐户。工作产生得很快,Verizon 几乎没有给我任何反应的时刻。我打开 FriendTech,以为存在错误,由于我的聊天室是空的,我尝试查看 Octav,然后在 FT 上看到其他人关于 SIM 卡交流的推文,就在那时我意识到产生了什么事。」
此事也引发了社区激烈谈论,其间 @IncomeSharks 发文表明,「同样的工作也产生在我身上,那些人先给我发送废物短信。由于运营商不会等待我同意该请求,因此假如我在 10 分钟内没有回复,他们就会同意 SIM 卡交流。移动运营商太糟糕了!Sim 交流不应该成为问题。」
@AloshyAkasoto 对此表明,「这不仅仅是一个 friend.tech 问题,还由于他们的钱包提供商 privy 答应用户运用他们的电话号码注册。不幸的是,电话号码是网络安全中最单薄的环节。一切运用 privy 作为钱包提供商的 dApp 中都可能存在相同的漏洞。」
Verizon 短信验证或为安全漏洞
但是,早在 9 月 18 日,@Montana_Wong 就在推文中说到:「我是 friend.tech 的粉丝,但我害怕在那里持有资金。由于 1. 你的钱包余额是公开信息 2. 它运用短信进行身份验证 拥有足够高的余额,你就会成为 SIM 交流的目标……黑客会扔掉你持有的钥匙 取出你的美元。」
而支撑着 friend.tech 背面的电信链接行业正是 Verizon。Verizon 在 2019 年取得美国专利于商标局的专利核准,这一专利提到了一个与区块链和虚拟 SIM 卡有关的数据系统。根据专利文件,这一系统将为虚拟 SIM 卡(vSIM)提供特别的用户帐户,并可以在设备上激活这一 SIM 卡。SIM 卡激活之后,将会在区块链网络上发布消息,承认这一激活行为。
去年 1 月,Verizon 在 LinkedIn 上发布的合作伙伴经理招聘信息显现,该公司方案进军 NFT、Web 3 和元宇宙等范畴。针对此次 SIM 卡交流事情,@CryptoWithNick表明,Verizon 实施了一项新功能「Num Lock」来对抗 SIM 卡交流。
但是,社区成员依然对此表明质疑,@wholeisticguy 发文表明,「流程和技能从根本上来说是不安全的,任何人都无法为此做出确保。短信、你的 SIM 卡和你的电话号码并不安全,也无法确保安全。永久不要用这些来保护任何东西,任何运用它们来确保安全的东西都是不安全的。」
Vitalik 此前也阅历 SIM Swap
SIM 卡的调换引起损失好像并不是新鲜事,BlockBeats 曾于 9 月 10 日报导,以太坊联创 Vitalik 的推特账号被黑客进犯并发布钓鱼链接。据 ZachXBT 表明,黑客共计盗走约 69.1 万美元。9 月 12 日,Vitalik 在社交媒体上发文表明,现已找回其 T-mobile 帐户,并承认此前的进犯是一次 SIM 卡交流进犯。
Vitalik 解说称,就 X 而言,持有电话号码足以重置其账户暗码,自己之前看到过「电话号码不安全,不要经过它们进行身份验证」的主张,但并没有意识到问题。现在推测是注册 Twitter Blue 时泄露了手机号。
此时快讯
【FTX攻击者再次将1.5万枚ETH转至THORChain】金色财经报道,据Scopescan监测数据显示,FTX攻击者再次将15000枚ETH(2450万美元)转至THORChain。到目前为止,他已转出9万枚ETH(1.47亿美元)。大多数ETH都兑换成BTC并桥接至比特币链。该巨鲸仍然在以太坊上拥有95748枚ETH(1.57亿美元)。
