Підключався до Wi-Fi у готелі три дні поспіль, і мій криптогаманець був зламаний, і з нього вкрали 5000 доларів США

Автор: The Smart Ape

Переклад: Deep潮 TechFlow

Кілька днів тому я разом із родиною відпочивав у дуже хорошому готелі на новорічні свята. Через день після від’їзду з готелю мій гаманець був повністю порожній. Я не міг зрозуміти, як так сталося, адже я не натискав на жодні фішингові посилання і не підписував жодних зловмисних транзакцій.

Після кількох годин розслідувань і залучення експертів я нарешті з’ясував правду. Все сталося через Wi-Fi готелю, короткий дзвінок і низку дурних помилок.

Як і більшість ентузіастів криптовалют, я ношу з собою ноутбук, щоб мати змогу попрацювати під час відпочинку з родиною. Моя дружина наполягала, щоб я не працював ці три дні, і я справді мав би прислухатися до неї.

Як і інші гості, я під’єднався до Wi-Fi готелю. Ця мережа не вимагала пароля, достатньо було пройти через сторінку авторизації (captive portal).

Я, як зазвичай, працював у готелі, не вдаючись до ризикованих дій: не створював нові гаманці, не натискав на дивні посилання і не заходив на підозрілі децентралізовані додатки (dApps). Я просто подивився свої баланси у X (Twitter), Discord і Telegram.

У якийсь момент мені зателефонував друг із криптосфери, ми поговорили про ринкову ситуацію, Біткоїн і криптовалюти. Але я не знав, що поруч хтось підслуховує наші розмови і зрозумів, що я займаюся криптою. Це була моя перша помилка. Мене зловмисник дізнався, що я використовую гаманець Phantom і що я — досвідчений користувач із значним балансом.

Це змусило його сфокусуватися саме на мені.

У публічній Wi-Fi мережі всі пристрої знаходяться в одній мережі, і насправді видимість між пристроями вища, ніж здається. Між користувачами майже немає справжнього захисту, що створює ідеальні умови для “атаки посередині” (Man-in-the-Middle Attack). Зловмисник, мов середній чоловік, тихо вставляється між вами і інтернетом, наче хтось читає і змінює ваші листи перед доставкою.

Коли я переглядав веб-сторінки через Wi-Fi готелю, одна з них здавалася нормальною, але насправді за нею була вставлена додаткова зловмисна кодова частина. Я не помітив нічого підозрілого. Якби я встановив додаткові засоби безпеки, міг би виявити цю проблему, але, на жаль, я цього не зробив.

Зазвичай сайти можуть запитувати підписання певних операцій у вашому гаманці. Гаманець Phantom показує спливаюче вікно, де можна погодитися або відмовити. Зазвичай ви довіряєте цьому сайту і браузеру, тому підписуєте. Але того дня я не мав би так робити.

Коли я виконував обмін токенів на платформі @JupiterExchange, зловмисний код активував запит до гаманця, замінивши мою звичайну операцію обміну. Я міг би помітити, що це підозріла транзакція, уважно переглянувши її деталі, але оскільки я вже почав обмін на Jupiter, то не запідозрив нічого.

Того дня я не підписував жодних транзакцій переказу коштів, а лише авторизаційний дозвіл. Саме через це через кілька днів мої активи були вкрадені.

Зловмисний код не просив мене напряму відправити SOL (Solana), бо це було б очевидно. Замість цього він просив “надати доступ”, “затвердити обліковий запис” або “підтвердити сесію”. Простими словами, я фактично надав іншій адресі дозвіл діяти від мого імені.

Я погодився, тому що думав, що це пов’язано з моєю операцією на Jupiter. Тоді спливаюче повідомлення у Phantom здавалося технічним, без вказівки суми або запиту на негайний переказ.

Саме це й було потрібно зловмиснику. Він терпляче чекав, поки я залишу готель, і тоді почав діяти. Він переказав мої SOL, вивів мої токени і переніс мої NFT на іншу адресу.

Я ніколи не думав, що таке станеться зі мною. На щастя, це був не мій основний гаманець, а тимчасовий гарячий гаманець для конкретних операцій, а не для довгострокового зберігання активів. Але навіть так, я зробив багато помилок і вважаю, що саме я несу основну відповідальність.

По-перше, я ніколи не мав би підключатися до публічного Wi-Fi готелю. Мені слід було користуватися мобільним хот-спотом.

По-друге, я помилився, обговорюючи криптовалюти у публічних зонах готелю, що могли почути інші. Мій батько казав мені, що ніколи не слід розповідати іншим про свою діяльність із криптовалютами. Цього разу мені пощастило, але деякі люди через криптоактиви навіть потрапляли в заручники або стикалися з гіршими наслідками.

Ще одна моя помилка — я погодився на запит гаманця без повної уваги. Я був впевнений, що цей запит походить із Jupiter і не аналізував його детально. Насправді кожен запит до гаманця має бути ретельно перевірений, навіть якщо він надходить із довіреного додатку. Запит може бути перехоплений і насправді не походить із того додатку, з якого здається.

В результаті я втратив приблизно 5000 доларів із одного з додаткових гаманців. Це не найгірший сценарій, але все одно дуже засмучує.