慢雾余弦：ERC404还不是成熟标准，其机制或带来新的安全风险

金色财经报道，慢雾创始人余弦在X平台（原推特）表示，Vitalik推特号还真是被SIM Swap攻击了，几个细节：手机SIM卡是T-Mobile的，这个在暗网可能5K美金就可以做一次SIM Swap攻击；这个手机号虽然没拿来做 2FA，但是被用于重置了推特权限，之前他没意识到还能这样；他忘记什么时候添加的手机号。 从这可以学习到：没验证过的安全机制不是靠谱的安全机制；任何人都有踩坑的时候；人会撒谎，更别提代表人的社交账号，可能你看到的账号动态已经不是这个人本身的意愿，一定要保持怀疑且持续验证，尤其看到一个陌生链接。

金色财经报道，慢雾首席信息安全官23pds发文表示，警惕T-Mobile 数据泄露带来的sim swap劫持风险，T-Mobile 数据发生泄露，如果您是T-Mobile 的客户，请对利用个人信息针对您的诈骗、攻击保持高度警惕，警惕攻击者利用泄漏的信息对T-Mobile官方客服欺骗导致的个人sim swap风险。

金色财经报道，慢雾余弦在X平台表示，玩Restake的朋友们注意下这种钓鱼风险，老钓鱼团伙Angel Drainer专门针对EigenLayer Strategy Manager合约的queueWithdrawal (0xf123991e) 函数写了利用。如果你在钓鱼网页签了queueWithdrawal函数，你在EigenLayer质押的奖励就属于钓鱼指定的withdrawer了。

金色财经报道，据慢雾创始人余弦在X（原推特）发文表示，这几天陆续有用户出现friend.tech账号被黑资产被盗情况，之前说过ft是中心化的，而且有信息泄露风险（这个风险一直存在）。你的ft账号要么是手机号注册，要么是Gmail邮箱或Apple账号，连个2FA都没，作恶者们当然紧盯着这些玩烂的攻击方式。

金色财经报道，慢雾创始人余弦在社交媒体上发文提醒公众，要谨慎使用与 friend.tech 相关的工具，尤其是那些直接请求私钥或要求用户通过 friend.tech 账号（如手机号）和独立密码（friend.tech 的 2FA）登录的工具。他警告称，这些服务后台可以通过反向代理与 friend.tech 交互，从而有可能操纵用户资金。 余弦强调，这种风险与 friend.tech 本身无关，而是中心化服务普遍存在的问题。他还提到，这种高级钓鱼手法在 Web2 时代已经十分普遍，在 Web3 时代仍然有效。

金色财经报道，慢雾创始人余弦在社交媒体上发文表示，硬件安全密钥(Security Key)是安全认证的标配之一，在2FA场景下可以很好对抗钓鱼网站，因为服务端可以验证签名是否来自预期内的域名。这种安全机制比其他类似的2FA靠谱多了。安全性：Security Key 2FA > Authenticator 2FA > SMS 2FA。虽然便利性是倒过来的。