Connecté au Wi-Fi de l'hôtel pendant trois jours, mon portefeuille cryptographique a été piraté et 5000 dollars ont été volés.

Auteur : The Smart Ape

Traduction : Deep潮 TechFlow

Il y a quelques jours, je suis allé avec ma famille dans un hôtel très agréable pour passer les fêtes de fin d’année. Un jour après notre départ, mon portefeuille a été complètement vidé. Je ne comprenais pas pourquoi, car je n’avais cliqué sur aucun lien de phishing ni signé aucune transaction malveillante.

Après plusieurs heures d’enquête et l’aide d’experts, j’ai finalement compris la vérité. Tout cela était en réalité dû au Wi-Fi de l’hôtel, à un appel téléphonique bref, et à une série d’erreurs stupides.

Comme la plupart des amateurs de cryptomonnaies, je transporte mon ordinateur portable avec moi, pensant pouvoir travailler un peu pendant que je suis en vacances avec ma famille. Ma femme insistait encore et encore pour que je ne travaille pas pendant ces trois jours, et j’aurais vraiment dû l’écouter.

Comme les autres clients, je me suis connecté au Wi-Fi de l’hôtel. Ce réseau ne nécessitait pas de mot de passe, il suffisait de passer par une page de validation (captive portal) pour se connecter.

Je travaillais comme d’habitude dans l’hôtel, sans faire aucune opération risquée : je n’ai pas créé de nouveau portefeuille, je n’ai pas cliqué sur des liens étranges, ni accédé à des applications décentralisées (dApps) suspectes. Je me suis simplement connecté à X (Twitter), vérifié mon solde, Discord et Telegram, etc.

À un moment donné, j’ai reçu un appel d’un ami du cercle crypto, nous avons discuté du marché, du Bitcoin et d’autres sujets liés aux cryptomonnaies. Ce que je ne savais pas, c’est que quelqu’un à proximité écoutait notre conversation et s’est rendu compte que je faisais des activités liées à la crypto. C’était ma première erreur. La personne a appris par notre conversation que j’utilisais le portefeuille Phantom, et que j’étais un utilisateur avec une certaine quantité de fonds.

Cela lui a permis de cibler directement ma personne.

Sur un réseau Wi-Fi public, tous les appareils partagent le même réseau, et en réalité, la visibilité entre appareils est bien plus grande que ce que l’on pense. Il n’y a presque aucune protection réelle entre les utilisateurs, ce qui ouvre la voie aux attaques de type « Man-in-the-Middle » (MITM). L’attaquant se place comme un intermédiaire, inséré discrètement entre vous et Internet, comme quelqu’un qui lit et modifie vos lettres avant qu’elles ne soient livrées.

Lorsque je naviguais sur le web via le Wi-Fi de l’hôtel, un site semblait se charger normalement, mais en réalité, du code malveillant supplémentaire était injecté en arrière-plan. Je n’avais pas remarqué d’anomalie à ce moment-là. Si j’avais installé des outils de sécurité, j’aurais pu détecter ces problèmes, mais malheureusement, je ne l’avais pas fait.

En général, un site peut demander à votre portefeuille de signer certaines opérations. Phantom affiche une fenêtre où vous pouvez choisir d’approuver ou de refuser. En général, vous faites confiance au site et au navigateur, et vous signez en toute confiance. Cependant, ce jour-là, je n’aurais pas dû le faire.

Au moment où j’effectuais une opération d’échange de tokens sur la plateforme @JupiterExchange, un code malveillant a déclenché une requête vers mon portefeuille, remplaçant mon opération d’échange normale. J’aurais pu détecter qu’il s’agissait d’une requête malveillante en vérifiant attentivement les détails de la transaction, mais comme j’avais déjà lancé l’échange sur Jupiter, je n’ai pas douté.

Ce jour-là, je n’ai pas signé de transaction de transfert de fonds, mais simplement une autorisation d’accès. C’est cette erreur qui a permis le vol de mes actifs quelques jours plus tard.

Le code malveillant ne m’a pas directement demandé d’envoyer des SOL (Solana), car cela aurait été trop évident. À la place, il a demandé « autoriser l’accès », « approuver le compte » ou « confirmer la session ». En termes simples, j’ai en fait donné à une autre adresse l’autorisation d’agir en mon nom.

J’ai accepté parce que je pensais que cela concernait mon opération sur Jupiter. À ce moment-là, le message de Phantom semblait très technique, sans afficher de montant ni demander de transfert immédiat.

Et c’est précisément ce dont l’attaquant avait besoin. Il a attendu patiemment, jusqu’à ce que je quitte l’hôtel, pour commencer ses actions. Il a transféré mes SOL, extrait mes tokens, et transféré mes NFT vers une autre adresse.

Je n’aurais jamais imaginé que cela puisse m’arriver. Heureusement, ce n’était pas mon portefeuille principal, mais un portefeuille chaud utilisé pour des opérations spécifiques, et non pour détenir des actifs à long terme. Mais malgré cela, j’ai commis beaucoup d’erreurs, et je pense en être principalement responsable.

Premièrement, je n’aurais jamais dû connecter le Wi-Fi public de l’hôtel. J’aurais dû utiliser le hotspot de mon téléphone pour me connecter.

Ma deuxième erreur a été de parler de cryptomonnaies dans les zones publiques de l’hôtel, ce qui a permis à beaucoup d’entendre notre conversation. Mon père m’avait déjà averti : ne jamais laisser quelqu’un savoir que vous faites des activités liées à la crypto. Cette fois, c’était plutôt chanceux, car certains ont été enlevés ou ont vécu des choses pires à cause de leurs actifs cryptographiques.

Une autre erreur a été d’approuver la requête du portefeuille sans faire attention. Je pensais que cette requête venait de Jupiter, je ne l’ai pas analysée en détail. En réalité, chaque requête de portefeuille doit être examinée attentivement, même si elle provient d’une application de confiance. La requête peut être interceptée, et ne pas venir réellement de l’application que vous pensez.

Finalement, j’ai perdu environ 5000 dollars depuis un portefeuille secondaire. Ce n’est pas la pire situation, mais cela reste très frustrant.