Auteur : The Smart Ape
Compilation : Deep Tide TechFlow
Titre original : Après trois jours de connexion au Wi-Fi de l'hôtel, mon portefeuille crypto a été vidé de 5000 $
Il y a quelques jours, je suis parti en vacances de fin d'année avec ma famille dans un très bel hôtel. Un jour après avoir quitté l'hôtel, mon portefeuille a été complètement vidé. Je n'arrivais pas à comprendre, car je n'avais cliqué sur aucun lien de phishing ni signé aucune transaction malveillante.
Après plusieurs heures d'enquête et l'aide d'experts, j'ai finalement compris la vérité. Tout cela était dû au réseau Wi-Fi de l'hôtel, un bref appel téléphonique et une série d'erreurs stupides.
Comme la plupart des amateurs de cryptomonnaies, j'avais emporté mon ordinateur portable, pensant pouvoir travailler un peu tout en accompagnant ma famille en vacances. Ma femme n'avait cessé d'insister pour que je ne travaille pas pendant ces trois jours, j'aurais vraiment dû l'écouter.
Comme les autres clients, je me suis connecté au réseau Wi-Fi de l'hôtel. Ce réseau ne nécessitait pas de mot de passe, il suffisait de se connecter via une page de portail captif (captive portal).
J'ai travaillé comme d'habitude à l'hôtel, sans faire d'opérations risquées : pas de création de nouveau portefeuille, pas de clic sur des liens étranges, pas d'accès à des applications décentralisées (dApps) suspectes. J'ai simplement consulté X (Twitter), mes soldes, Discord et Telegram, etc.
À un moment donné, j'ai reçu un appel d'un ami de la crypto, nous avons parlé du marché, du Bitcoin et des sujets liés aux cryptomonnaies. Mais ce que j'ignorais, c'est que quelqu'un à proximité écoutait notre conversation et a réalisé que je travaillais dans le domaine de la crypto. Ce fut ma première erreur. Grâce à notre discussion, il a appris que j'utilisais le portefeuille Phantom et que j'étais un utilisateur détenteur de fonds importants.
Cela a fait de moi sa cible.
Dans un réseau Wi-Fi public, tous les appareils partagent le même réseau, et la visibilité entre les appareils est en réalité plus élevée qu'on ne le pense. Il n'y a pratiquement aucune protection réelle entre les utilisateurs, ce qui ouvre la porte aux « attaques de l'homme du milieu » (Man-in-the-Middle Attack). L'attaquant agit comme un intermédiaire, s'insérant silencieusement entre vous et Internet, comme si quelqu'un lisait et modifiait votre courrier avant qu'il ne vous soit livré.
Lorsque je naviguais sur le Wi-Fi de l'hôtel, un site web semblait se charger normalement, mais en réalité, du code malveillant supplémentaire avait été injecté en arrière-plan de la page. Je n'avais rien remarqué d'anormal sur le moment. Si j'avais installé certains outils de sécurité, j'aurais pu détecter ces problèmes, mais malheureusement, je ne l'avais pas fait.
Normalement, un site web peut demander à votre portefeuille de signer certaines opérations. Le portefeuille Phantom affiche une fenêtre contextuelle, et vous pouvez choisir d'approuver ou de refuser. Généralement, vous signez en toute confiance parce que vous faites confiance au site et au navigateur. Cependant, ce jour-là, je n'aurais pas dû le faire.
Alors que j'effectuais une opération d'échange de jetons sur la plateforme @JupiterExchange, le code malveillant a déclenché une demande de portefeuille, remplaçant mon opération d'échange normale. J'aurais pu découvrir que c'était une demande malveillante en vérifiant attentivement les détails de la transaction, mais comme j'étais déjà en train d'effectuer l'échange sur Jupiter, je n'ai eu aucun soupçon.
Ce jour-là, je n'ai signé aucune transaction transférant des fonds, mais j'ai signé une autorisation. C'est ce qui a permis le vol des actifs quelques jours plus tard.
Le code malveillant ne m'a pas directement demandé d'envoyer des SOL (Solana), car cela aurait été trop évident. Au lieu de cela, il a demandé à « autoriser l'accès », « approuver le compte » ou « confirmer la session ». En termes simples, j'ai en fait donné à une autre adresse la permission d'opérer en mon nom.
J'ai approuvé parce que j'ai cru à tort que cela était lié à mon opération sur Jupiter. Le message contextuel affiché par le portefeuille Phantom semblait technique, n'affichait aucun montant et n'indiquait pas de transfert immédiat.
Et c'est tout ce dont l'attaquant avait besoin. Il a patiemment attendu que je quitte l'hôtel pour passer à l'action. Il a transféré mes SOL, retiré mes jetons et transféré mes NFT vers une autre adresse.
Je n'aurais jamais pensé que cela pouvait m'arriver. Heureusement, ce n'était pas mon portefeuille principal, mais un portefeuille chaud utilisé pour des opérations spécifiques, pas pour détenir des actifs à long terme. Mais même ainsi, j'ai fait beaucoup d'erreurs et je considère que j'en porte la responsabilité principale.
Tout d'abord, je n'aurais jamais dû me connecter au Wi-Fi public de l'hôtel. J'aurais dû utiliser le partage de connexion (hotspot) de mon téléphone pour accéder à Internet.
Ma deuxième erreur a été de parler de cryptomonnaies dans les espaces publics de l'hôtel, où beaucoup de gens ont pu entendre notre conversation. Mon père m'avait averti de ne jamais laisser les autres savoir que je travaillais dans les cryptomonnaies. J'ai eu de la chance cette fois, certaines personnes ont été kidnappées ou pire à cause de leurs actifs cryptographiques.
Une autre erreur a été d'approuver la demande du portefeuille sans y prêter une attention totale. Parce que j'étais convaincu que cette demande venait de Jupiter, je ne l'ai pas analysée attentivement. En réalité, chaque demande de portefeuille doit être examinée attentivement, même sur une application de confiance. La demande peut être interceptée et ne pas venir réellement de l'application que vous pensez.
Finalement, j'ai perdu environ 5000 $ provenant d'un portefeuille secondaire. Bien que ce ne soit pas la pire des situations, cela reste très frustrant.
Twitter : https://twitter.com/BitpushNewsCN
Groupe Telegram BiTui : https://t.me/BitPushCommunity
Abonnement Telegram BiTui : https://t.me/bitpush
