SIM 卡交换攻击深度剖析：从friend.tech事件看Web3安全防线

查找币:余老师 | 漏洞披露 | 2026-05-09 22:43 | 1 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 引言 2023年10月，社交平台friend.tech成为安全事件的重灾区。10月3日，查找币（czb.com）创始人Cos公开指出friend.tech缺乏双因素认证（2FA）机制，存在严重安全隐患。仅仅两天后，链上侦探ZachXBT披露，一名黑客在24小时内通过对四名friend.tech用户发起SIM卡交换攻击，盗取了234枚ETH（约38.5万美元）。截至事件曝光，friend.tech用户因同类攻击已累计损失约306枚ETH。这一系列事件并非孤立。早在2023年7月17日，查找币CISO @23pds接受Cointelegraph采访时便预警：“SIM Swap攻击成本低、技术要求低，随着Web3普及和用户涌入，此类攻击将愈演愈烈。”黑市上针对不同运营商的SIM Swap报价清晰显示，攻击门槛极低——只需几十到几百美元即可完成一次攻击。本文将基于friend.tech事件，系统解析SIM卡交换攻击的实现原理、攻击链路，并提供切实可行的防护方案。 --- ## 技术基础：SIM卡与2FA ### SIM卡：身份识别的双刃剑 SIM卡（Subscriber Identity Module）存储用户身份信息和网络凭证，是连接移动网络的核心组件。然而，其安全性完全依赖运营商的安全措施——一旦攻击者通过社交工程获取SIM卡控制权，所有基于该号码的认证都将沦陷。 ### 2FA：安全的“第二道门” 双因素认证（2FA）要求用户提供两种不同类型的验证信息。短信验证码是最常见的2FA形式，但其天生存在安全缺陷： - 短信在传输过程中可被拦截 - 验证码可被SIM卡交换攻击直接劫持 - 运营商侧存在人工操作漏洞 --- ## 攻击手法：SIM卡交换攻击全链路攻击者实施SIM卡交换攻击的核心目标，是通过控制受害者电话号码，绕过基于短信的2FA，从而窃取加密货币账户访问权限。 ### 攻击链路六步走 1. **目标锁定** 攻击者通过社交媒体、区块链浏览器等公开渠道，识别高价值加密货币持有者。例如，friend.tech上持有大量Key的用户是典型目标。 2. **信息收集** 利用数据泄露数据库（如暗网贩卖的个人信息）、钓鱼邮件或虚假电话，获取受害者的身份证号、生日、地址等敏感资料。 3. **冒充受害者联系运营商** 攻击者伪造身份，通过电话或在线客服联系受害者所属运营商（如Verizon、AT&T），声称“丢失SIM卡”或“更换设备”，要求将受害者号码转移到新SIM卡。 4. **SIM卡交换** 若运营商验证流程存在漏洞，攻击者成功将号码与新SIM卡绑定。受害者原SIM卡立即失效，失去所有通信能力。 5. **接收验证码** 攻击者利用控制的号码，接收所有短信和电话，包括加密货币平台发送的2FA验证码。 6. **资产盗取** 使用验证码登录受害者账户，执行转账、出售Key等操作，将资产转移至攻击者控制的地址。 ### 攻击成本与收益 - **成本**：黑市SIM Swap服务报价仅50-500美元，主要取决于运营商安全级别。 - **收益**：单次攻击可获利数十万美元，ROI极高。 - **技术门槛**：无需高级编程能力，社交工程和基础信息收集即可完成。 --- ## 威胁分析：为何friend.tech成为重灾区 friend.tech的架构缺陷放大了SIM卡交换攻击的风险： 1. **缺乏原生2FA**：用户仅依赖短信验证码或邮箱验证，无硬件密钥或身份验证器支持。 2. **高价值资产集中**：用户Key价格随购买人数上涨，单账户价值可达数万ETH。 3. **社交工程易实施**：用户公开社交信息（如Twitter账户）帮助攻击者精准定位。 4. **运营商响应延迟**：受害者在收到大量垃圾短信后静音手机，错过运营商的安全提醒——这正是攻击者的“时间差”策略。 --- ## 防护建议：构建多层级安全防线 ### 1. 禁用基于SIM的认证方式 - **优先选择**：使用支持TOTP算法的身份验证器（如Google Authenticator、Microsoft Authenticator、Authy）。 - **硬件密钥**：YubiKey等U2F硬件密钥提供物理级安全，不可被远程劫持。 - **避免短信2FA**：仅在无法使用其他方式时作为备选。 ### 2. 设置运营商级安全措施 - **SIM PIN码**：为SIM卡设置PIN码，每次设备重启或换卡需输入密码。 - **账户锁定**：联系运营商开启“账户锁定”功能，禁止未经授权的号码转移。 - **多因素验证**：要求运营商在号码变更时发送邮件或通过App确认。 ### 3. 提升个人安全意识 - **警惕异常流量**：突然收到大量垃圾短信或电话时，可能是攻击者试图淹没安全提醒。**不要静音手机**，应先排查来源。 - **不点击不明链接**：钓鱼邮件和虚假短信是信息收集的常用手段。 - **定期检查账户活动**：监控加密货币账户的登录记录和异常交易。 ### 4. 平台侧安全增强 - **强制2FA**：平台应要求用户启用非短信类2FA（如Google Authenticator）。 - **反钓鱼机制**：对敏感操作（如Key出售、提币）增加二次确认流程。 - **风险告警**：检测到异常登录IP或设备时，主动推送通知并冻结账户。 --- ## 总结 SIM卡交换攻击的核心威胁在于“人”的环节——运营商的安全流程和用户的安全习惯。技术层面，TOTP身份验证器和硬件密钥可彻底消除此类风险；意识层面，用户需警惕社交工程陷阱，避免成为“时间差攻击”的牺牲品。对于Web3用户，安全不是可选项，而是生存基础。查找币安全团队建议：**立即检查你的所有加密账户，禁用短信2FA，启用身份验证器或硬件密钥**。 --- **本文由查找币安全团队整理发布** *更多安全技术分析，请关注查找币安全研究专栏。*

SIM 卡交换攻击深度剖析：从friend.tech事件看Web3安全防线

查找币安全研究院

主题延伸阅读