短信验证码 2FA 真的会被破解吗？

答案先抛

会，而且不止一种方法。短信 2FA 的设计假设是"只有持有 SIM 卡的人能收到短信"，这个假设在 2026 年已经站不住脚。攻击者绕过短信 2FA 的成本比绕过 Passkey 或 YubiKey 低两到三个数量级，所以但凡资产规模超过几千美元，短信 2FA 都不该再用作交易所主防线。

为什么

三条攻击路径，按发生频率排序。

SIM Swap（最常见）。攻击者收集你的姓名、身份证号、生日，去运营商营业厅或客服热线声称"手机丢了要补卡"，把你的号码激活到他手里的新 SIM 卡上。一旦补卡成功，你的手机瞬间失去信号，他的手机开始接收所有短信 —— 包括银行、交易所、邮箱密保的 2FA。整个过程 30 分钟内完成。Coinbase 在 2022 年公开承认有约 6000 名用户因 SIM Swap 损失资产，FBI 报告 2024 年全美 SIM Swap 报案金额接近 5000 万美元。

运营商内鬼（针对高净值）。资产规模超过几十万美元的目标，攻击者会直接收买运营商的客服或营业厅员工。一次成功补卡的"价格"在暗网上的报价从 $500 到 $3000 不等，比公开走流程社工更可靠。AT&T、T-Mobile 都有过员工内鬼协助 SIM Swap 的案件。

SS7/Diameter 协议漏洞（针对国家级目标，但门槛在下降）。SS7 是 1970 年代设计的电信信令协议，本身没有验证机制。掌握 SS7 接入权（一些小国家的电信牌照或合作运营商）的人可以远程"嗅探"任意手机的短信，不用补卡也不用社工。2017 年德国 O2 运营商承认被 SS7 漏洞用来盗银行账户。这一条对个人来说概率低，但不是零。

常见误解

"我的运营商不会被社工"。错。中国移动、中国电信、中国联通在过去 5 年都有公开的内部员工配合补卡的案件。香港、台湾的运营商有同类问题。Verizon、AT&T 这种美国头部运营商也一样。运营商作为系统不是不安全，是补卡这个服务流程本身就是攻击面。

"我设了 SIM PIN 应该安全"。一半。SIM PIN 防的是别人物理拿到你的 SIM 卡插自己手机，防不了"运营商重新签发一张新 SIM 卡"。补卡是绕过 SIM PIN 的操作。

"用 eSIM 就好了"。一半。eSIM 没有物理卡可偷，但补卡流程依然存在 —— 运营商把 eSIM 配置发给攻击者激活，本质和补卡一样。eSIM 比物理 SIM 在防丢失上略好，但对 SIM Swap 没本质改善。

延伸阅读

四种 2FA 的真实对照实测：2FA 的真相 · 为什么短信不安全。Passkey 替代方案：Passkey 词条。90 秒上手 Passkey：Passkey 实操指南。SIM Swap 词条：SIM Swap。