Vào ngày 3 tháng 10, @darengb đã đăng trên nền tảng mạng xã hội Được biết, tất cả các khóa thuộc quyền sở hữu của người dùng trênfriend.tech và các khóa của người dùng được giữ trong tài khoản của người khác đã được bán và số ETH còn lại trong ví của người dùng đã cạn kiệt. @darengb nói thêm: “Nếu tài khoản Twitter của bạn bị tấn công và tên thật của bạn bị tìm thấy, số điện thoại của bạn sẽ bị tìm thấy, điều này có thể xảy ra với bạn”.
Thẻ SIM đã bị hacker đánh cắp
Tên thật và số điện thoại đã được tìm kiếm từ tài khoản Twitter, sau đó khóa tài khoản friend.tech đã bị đánh cắp, logic đằng sau việc này là thẻ SIM liên kết với người dùng đã bị tin tặc đánh cắp.
@darengb cũng trình bày chi tiết về việc bạn bè của anh ấy đã bị đánh cắp như thế nào trong tweet của anh ấy, “Sáng sớm hôm nay, tôi bắt đầu nhận được thư rác mỗi phút, khiến tôi phải đặt điện thoại ở chế độ im lặng (tôi đoán đó là vấn đề), vì vậy tôi đã không nhìn thấy tin nhắn văn bản từ Verizon cho tôi biết ai đó đang cố truy cập vào tài khoản của tôi. Sự việc xảy ra nhanh chóng và Verizon hầu như không cho tôi thời gian để phản ứng. Tôi mở FriendTech, nghĩ rằng đã xảy ra lỗi vì phòng trò chuyện của tôi trống, tôi thử kiểm tra Octav và thấy khác những dòng tweet của mọi người trên FT về việc hoán đổi SIM và đó là lúc tôi nhận ra chuyện gì đang xảy ra."
Sự việc này cũng gây ra những bình luận sôi nổi từ cộng đồng, với bài đăng @IncomeSharks: "Điều tương tự cũng xảy ra với tôi, những người đó đã gửi cho tôi tin nhắn rác trước. Vì tổng đài sẽ không đợi tôi phê duyệt yêu cầu nên nếu tôi ở tuổi 10 Không có phản hồi trong vòng vài phút và họ sẽ chấp thuận việc đổi SIM. Quá tệ cho các nhà khai thác di động! Việc đổi SIM không phải là vấn đề."
@AloshyAkasoto cho biết: "Đây không chỉ là vấn đề củafriend.tech mà còn vì nhà cung cấp ví của họ cho phép người dùng đăng ký bằng số điện thoại của họ. Thật không may, số điện thoại là liên kết yếu nhất trong bảo mật mạng. Tất cả các lỗ hổng tương tự có thể tồn tại." trong các dApp sử dụng quyền riêng tư làm nhà cung cấp ví."
Xác minh qua SMS của Verizon có thể là một lỗ hổng bảo mật
Tuy nhiên, ngay từ ngày 18 tháng 9, @Montana_Wong đã nói trong một tweet: "Tôi là một fan hâm mộ củafriend.tech, nhưng tôi sợ giữ tiền ở đó. Bởi vì 1. Số dư trong ví của bạn là thông tin công khai 2. Nó sử dụng SMS để xác thực. Với số dư đủ cao, bạn trở thành mục tiêu để hoán đổi SIM...Tin tặc sẽ vứt chìa khóa bạn giữ và rút đô la của bạn."
Ngành liên kết viễn thông hỗ trợfriend.tech là Verizon. Verizon đã nhận được sự chấp thuận bằng sáng chế từ Văn phòng Nhãn hiệu và Bằng sáng chế Hoa Kỳ vào năm 2019, trong đó đề cập đến hệ thống dữ liệu liên quan đến chuỗi khối và thẻ SIM ảo. Theo tài liệu bằng sáng chế, hệ thống sẽ cung cấp một tài khoản người dùng đặc biệt cho thẻ SIM ảo (vSIM) và kích hoạt thẻ SIM trên thiết bị. Sau khi thẻ SIM được kích hoạt, một thông báo sẽ được xuất bản trên mạng blockchain để xác nhận việc kích hoạt.
Vào tháng 1 năm ngoái, thông tin tuyển dụng quản lý đối tác của Verizon đăng trên LinkedIn cho thấy công ty có kế hoạch thâm nhập vào các lĩnh vực như NFT, Web 3 và Metaverse. Để phản hồi lại sự cố hoán đổi thẻ SIM này, @CryptoWithNick tuyên bố rằng Verizon đã triển khai tính năng mới "Num Lock" để chống lại việc hoán đổi thẻ SIM.
Tuy nhiên, các thành viên cộng đồng vẫn bày tỏ nghi ngờ về điều này, với bài đăng @wholeisticguy: "Quy trình và công nghệ về cơ bản là không an toàn và không ai có thể đảm bảo điều này. Tin nhắn văn bản, thẻ SIM và số điện thoại của bạn không an toàn và không được đảm bảo an toàn." ... Đừng bao giờ sử dụng những thứ này để bảo vệ bất cứ thứ gì, bất cứ thứ gì sử dụng chúng để đảm bảo an toàn đều không an toàn."
Vitalik cũng từng trải nghiệm Swap SIM trước đây
Có vẻ như những tổn thất do hoán đổi thẻ SIM không phải là mới. BlockBeats đưa tin vào ngày 10 tháng 9 rằng tài khoản Twitter của Ethereum Lianchuang Vitalik đã bị hack và các liên kết lừa đảo đã được đăng. Theo ZachXBT, tin tặc đã đánh cắp tổng cộng khoảng 691.000 USD. Vào ngày 12 tháng 9, Vitalik đăng trên mạng xã hội rằng anh đã khôi phục được tài khoản T-mobile của mình và xác nhận rằng cuộc tấn công trước đó là cuộc tấn công hoán đổi thẻ SIM.
Vitalik giải thích rằng trong trường hợp Hiện tại có suy đoán rằng số điện thoại di động đã bị rò rỉ khi đăng ký Twitter Blue.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Người dùng Friend.tech đã bị tấn công. Xác minh SMS của Verizon có phải là một lỗ hổng bảo mật không?
Nguồn: Block Groove
Vào ngày 3 tháng 10, @darengb đã đăng trên nền tảng mạng xã hội Được biết, tất cả các khóa thuộc quyền sở hữu của người dùng trênfriend.tech và các khóa của người dùng được giữ trong tài khoản của người khác đã được bán và số ETH còn lại trong ví của người dùng đã cạn kiệt. @darengb nói thêm: “Nếu tài khoản Twitter của bạn bị tấn công và tên thật của bạn bị tìm thấy, số điện thoại của bạn sẽ bị tìm thấy, điều này có thể xảy ra với bạn”.
Thẻ SIM đã bị hacker đánh cắp
Tên thật và số điện thoại đã được tìm kiếm từ tài khoản Twitter, sau đó khóa tài khoản friend.tech đã bị đánh cắp, logic đằng sau việc này là thẻ SIM liên kết với người dùng đã bị tin tặc đánh cắp.
@darengb cũng trình bày chi tiết về việc bạn bè của anh ấy đã bị đánh cắp như thế nào trong tweet của anh ấy, “Sáng sớm hôm nay, tôi bắt đầu nhận được thư rác mỗi phút, khiến tôi phải đặt điện thoại ở chế độ im lặng (tôi đoán đó là vấn đề), vì vậy tôi đã không nhìn thấy tin nhắn văn bản từ Verizon cho tôi biết ai đó đang cố truy cập vào tài khoản của tôi. Sự việc xảy ra nhanh chóng và Verizon hầu như không cho tôi thời gian để phản ứng. Tôi mở FriendTech, nghĩ rằng đã xảy ra lỗi vì phòng trò chuyện của tôi trống, tôi thử kiểm tra Octav và thấy khác những dòng tweet của mọi người trên FT về việc hoán đổi SIM và đó là lúc tôi nhận ra chuyện gì đang xảy ra."
Sự việc này cũng gây ra những bình luận sôi nổi từ cộng đồng, với bài đăng @IncomeSharks: "Điều tương tự cũng xảy ra với tôi, những người đó đã gửi cho tôi tin nhắn rác trước. Vì tổng đài sẽ không đợi tôi phê duyệt yêu cầu nên nếu tôi ở tuổi 10 Không có phản hồi trong vòng vài phút và họ sẽ chấp thuận việc đổi SIM. Quá tệ cho các nhà khai thác di động! Việc đổi SIM không phải là vấn đề."
@AloshyAkasoto cho biết: "Đây không chỉ là vấn đề củafriend.tech mà còn vì nhà cung cấp ví của họ cho phép người dùng đăng ký bằng số điện thoại của họ. Thật không may, số điện thoại là liên kết yếu nhất trong bảo mật mạng. Tất cả các lỗ hổng tương tự có thể tồn tại." trong các dApp sử dụng quyền riêng tư làm nhà cung cấp ví."
Xác minh qua SMS của Verizon có thể là một lỗ hổng bảo mật
Tuy nhiên, ngay từ ngày 18 tháng 9, @Montana_Wong đã nói trong một tweet: "Tôi là một fan hâm mộ củafriend.tech, nhưng tôi sợ giữ tiền ở đó. Bởi vì 1. Số dư trong ví của bạn là thông tin công khai 2. Nó sử dụng SMS để xác thực. Với số dư đủ cao, bạn trở thành mục tiêu để hoán đổi SIM...Tin tặc sẽ vứt chìa khóa bạn giữ và rút đô la của bạn."
Ngành liên kết viễn thông hỗ trợfriend.tech là Verizon. Verizon đã nhận được sự chấp thuận bằng sáng chế từ Văn phòng Nhãn hiệu và Bằng sáng chế Hoa Kỳ vào năm 2019, trong đó đề cập đến hệ thống dữ liệu liên quan đến chuỗi khối và thẻ SIM ảo. Theo tài liệu bằng sáng chế, hệ thống sẽ cung cấp một tài khoản người dùng đặc biệt cho thẻ SIM ảo (vSIM) và kích hoạt thẻ SIM trên thiết bị. Sau khi thẻ SIM được kích hoạt, một thông báo sẽ được xuất bản trên mạng blockchain để xác nhận việc kích hoạt.
Vào tháng 1 năm ngoái, thông tin tuyển dụng quản lý đối tác của Verizon đăng trên LinkedIn cho thấy công ty có kế hoạch thâm nhập vào các lĩnh vực như NFT, Web 3 và Metaverse. Để phản hồi lại sự cố hoán đổi thẻ SIM này, @CryptoWithNick tuyên bố rằng Verizon đã triển khai tính năng mới "Num Lock" để chống lại việc hoán đổi thẻ SIM.
Tuy nhiên, các thành viên cộng đồng vẫn bày tỏ nghi ngờ về điều này, với bài đăng @wholeisticguy: "Quy trình và công nghệ về cơ bản là không an toàn và không ai có thể đảm bảo điều này. Tin nhắn văn bản, thẻ SIM và số điện thoại của bạn không an toàn và không được đảm bảo an toàn." ... Đừng bao giờ sử dụng những thứ này để bảo vệ bất cứ thứ gì, bất cứ thứ gì sử dụng chúng để đảm bảo an toàn đều không an toàn."
Vitalik cũng từng trải nghiệm Swap SIM trước đây
Có vẻ như những tổn thất do hoán đổi thẻ SIM không phải là mới. BlockBeats đưa tin vào ngày 10 tháng 9 rằng tài khoản Twitter của Ethereum Lianchuang Vitalik đã bị hack và các liên kết lừa đảo đã được đăng. Theo ZachXBT, tin tặc đã đánh cắp tổng cộng khoảng 691.000 USD. Vào ngày 12 tháng 9, Vitalik đăng trên mạng xã hội rằng anh đã khôi phục được tài khoản T-mobile của mình và xác nhận rằng cuộc tấn công trước đó là cuộc tấn công hoán đổi thẻ SIM.
Vitalik giải thích rằng trong trường hợp Hiện tại có suy đoán rằng số điện thoại di động đã bị rò rỉ khi đăng ký Twitter Blue.