хакеры могут перехватывать сообщения с кодами подтверждения от соцсетей?

Могут, но им не это надо, такими знаниями обладают очень мало людей, взломщики соцсейтей это не умеют, в основном такие группировка анонимусов или киллнет

Без сомнения специально подготовленные люди, не только организованные в группы, но и талантливые энтузиасты-одиночки могут взломать всёчтоугодно за исключением систем имеющих "воздушный шлюз" (air gap)*.
Но воровать коды активации и проч. нет резона, проще купить готовую базу данных о вас, которую вы сами, в различное время и при разных обстоятельствах, выложили в сеть за многие годы присутствия тут. Интернет помнит даже то, о чём мы и помнить забыли...
* Воздушный зазор (сети передачи данных)
Физическая изоляция (англ. air gap «воздушный зазор») — одна
из мер обеспечения информационной безопасности, которая заключается в
том, что безопасная компьютерная сеть физически изолирована от
небезопасных сетей: интернета и локальных сетей с низким уровнем
безопасности. Физическая изоляция применяется в компьютерных сетях при
необходимости обеспечить высокий уровень безопасности. Механизм
физической изоляции может и не являться «воздушным зазором» в буквальном
смысле. Например, с помощью отдельных криптографических устройств,
которые туннелируют трафик через небезопасные сети, при этом не выдавая
изменения объёма сетевого трафика и размера пакетов, создаётся канал
связи. Но даже в этом случае нет возможности для компьютеров на
противоположных сторонах воздушного зазора установить связь.

В принципе всё могут, но для хакеров такого уровня странички в соцсетях — слишком дешёвая добыча. Они "биткоины" воруют и "монеро" на чужих компах майнят, а не вконтактик и вот это всё.

Весьма одаренные хакеры могут. https://www.opennet.ru/opennews/art.shtml?num=57641

не могут, если это не анонимусы. могут только фишингом выведать.

если они симку твои восстановили в салоне

Вам необходимо позвонить своему оператору либо сходить в салон связи своего оператора и подключить услугу - "Запрет обслуживания по доверенности" она ещё называется "запрет действий по доверенности" благодаря ей никто посторонний не сможет получить новую симку с вашим номером и перехватить смс код, ну разве что кроме спец служб но им это делать нет необходимости они могут просто сделать запрос и все ваши логины и пароли им предоставят вместе с возможностью обхода подтверждения через код подтверждения, но от злоумышленников эта услуга вас защитит.
1) https://msk.tele2.ru/option/prohibition-of-proxy-service
2) https://moskva.beeline.ru/customers/products/mobile/services/details/zapret-deystviy-po-doverennosti

Та кому ты нужен, ради тебя так заморачиваться..

Могут если изготовили дубликаты сим-карт. Не без помощи своего человека в салоне связи.