Публічний Wi-Fi та один дзвінок — як стати ідеальною пасткою для крадіжки 5000 доларів у криптоактивах?

Автор: The Smart Ape

Переклад: Deep潮 TechFlow

Оригінал: Підключившись до Wi-Fi у готелі три дні поспіль, мене зламали криптогаманець і вкрали 5000 доларів

Кілька днів тому я разом із родиною відпочивав у дуже хорошому готелі на новорічні свята. Через день після від’їзду з готелю мій гаманець був повністю порожній. Я не міг зрозуміти, як так сталося, адже я не натискав на фішингові посилання і не підписував жодних зловмисних транзакцій.

Після кількох годин розслідувань і залучення експертів я нарешті з’ясував правду. Все сталося через Wi-Fi у готелі, короткий дзвінок і низку дурних помилок.

Як і більшість ентузіастів криптовалют, я ношу з собою ноутбук, щоб мати змогу попрацювати під час відпочинку з родиною. Моя дружина наполягала, щоб я не працював ці три дні, і я справді мав би прислухатися до неї.

Як і інші гості, я підключився до Wi-Fi у готелі. Ця мережа не вимагала пароля, достатньо було пройти через сторінку авторизації (captive portal).

Я, як і зазвичай, працював у готелі, не роблячи нічого ризикованого: не створював новий гаманець, не натискав на дивні посилання і не заходив на підозрілі децентралізовані додатки (dApps). Я просто подивився у Twitter, баланс, Discord і Telegram.

В один момент мені зателефонував друг із криптосфери, ми поговорили про ринок, Біткоїн і криптовалюти. Але я не знав, що поруч хтось підслуховує наші розмови і зрозумів, що я займаюся криптою. Це була моя перша помилка. Зловмисник дізнався, що я використовую гаманець Phantom і що я — досвідчений користувач із значним балансом.

Це змусило його сфокусувати ціль саме на мене.

У публічних Wi-Fi мережах усі пристрої знаходяться в одній мережі, і видимість між ними набагато вища, ніж здається. Між користувачами майже немає реального захисту, що створює можливість для «атаки посередині» (Man-in-the-Middle Attack). Зловмисник, мов середній чоловік, тихо вставляється між вами і інтернетом, наче хтось читає і змінює ваші листи перед доставкою.

Коли я переглядав веб-сторінки через Wi-Fi у готелі, одна з них здавалася нормальною, але насправді за нею ховалася вставлена зловмисна частина коду. Я тоді не помітив нічого підозрілого. Якби я встановив додаткові засоби безпеки, міг би виявити цю проблему, але, на жаль, не зробив цього.

Зазвичай сайти можуть запитувати підписання транзакцій у вашому гаманці. Гаманець Phantom показує вікно, де можна погодитися або відмовити. Зазвичай ви довіряєте цьому сайту і браузеру і підписуєте. Але того дня я не мав би цього робити.

Коли я виконував обмін токенів на платформі @JupiterExchange, зловмисний код активував запит до гаманця, замінивши мою звичайну операцію обміну. Я міг би помітити, що це підозріла транзакція, уважно переглянувши деталі, але оскільки я вже почав обмін на Jupiter, то не запідозрив нічого.

Того дня я не підписував жодних транзакцій переказу коштів, а лише дав дозвіл на доступ. Саме через це через кілька днів мої активи були вкрадені.

Зловмисний код не вимагав безпосередньо відправити SOL (Solana), бо це було б очевидно. Замість цього він просив «надати доступ», «затвердити обліковий запис» або «підтвердити сесію». Простими словами, я фактично дав іншій адресі право діяти від мого імені.

Я погодився, тому що думав, що це пов’язано з моєю операцією на Jupiter. Тоді повідомлення у гаманці Phantom здавалося технічним, без вказівки суми або нагадування про негайний переказ.

Саме це і потрібно було зловмиснику. Він терпляче чекав, поки я залишу готель, і тоді почав діяти. Він переказав мої SOL, вивів мої токени і переніс мої NFT на іншу адресу.

Я ніколи не думав, що таке станеться зі мною. На щастя, це був не мій основний гаманець, а тимчасовий гарячий гаманець, не призначений для довгострокового зберігання активів. Але навіть так я зробив багато помилок і вважаю, що саме я несу основну відповідальність.

По-перше, я не мав би підключатися до публічного Wi-Fi у готелі. Мені слід було використовувати мобільний хотспот.

Моя друга помилка — це обговорення криптовалют у публічних місцях, де багато хто міг почути наші розмови. Мій батько казав мені, що ніколи не слід розкривати, що ти займаєшся криптою. У цьому випадку пощастило — деякі люди через криптоактиви навіть зазнавали викрадень або гірших речей.

Ще одна помилка — я погодився на запит у гаманці без повної уваги. Я був впевнений, що цей запит походить із Jupiter і не аналізував його детально. Насправді кожен запит у гаманці потрібно ретельно перевіряти, навіть якщо він надходить із довіреного додатку. Запит може бути перехоплений і насправді не належати тому додатку, з якого здається.

В результаті я втратив приблизно 5000 доларів із одного з додаткових гаманців. Це не найгірший сценарій, але все одно дуже засмучує.