Tác giả gốc:The Smart Ape
Biên dịch: Deep Tide TechFlow
Vài ngày trước, tôi cùng gia đình đến một khách sạn rất đẹp để nghỉ lễ cuối năm. Chỉ một ngày sau khi rời khách sạn, ví tiền của tôi đã bị rút sạch. Tôi không thể hiểu nổi vì tôi không nhấp vào bất kỳ liên kết lừa đảo nào, cũng không ký bất kỳ giao dịch độc hại nào.
Sau nhiều giờ điều tra và nhờ sự giúp đỡ của các chuyên gia, cuối cùng tôi đã hiểu ra sự thật. Tất cả là do mạng Wi-Fi của khách sạn, một cuộc điện thoại ngắn và một chuỗi sai lầm ngớ ngẩn.
Giống như hầu hết những người đam mê tiền mã hóa, tôi mang theo máy tính xách tay, nghĩ rằng có thể tranh thủ làm việc trong kỳ nghỉ cùng gia đình. Vợ tôi đã nhiều lần khuyên tôi đừng làm việc trong ba ngày này, lẽ ra tôi nên nghe lời cô ấy.
Giống như những vị khách khác, tôi đã kết nối với mạng Wi-Fi của khách sạn. Mạng này không yêu cầu mật khẩu, chỉ cần đăng nhập qua một trang xác thực (captive portal).
Tôi làm việc như bình thường trong khách sạn, không thực hiện bất kỳ thao tác mạo hiểm nào: không tạo ví mới, không nhấp vào các liên kết lạ, cũng không truy cập các ứng dụng phi tập trung (dApps) đáng ngờ. Tôi chỉ kiểm tra X (Twitter), số dư, Discord và Telegram.
Vào một lúc nào đó, tôi nhận được cuộc gọi từ một người bạn trong giới crypto, chúng tôi nói chuyện về thị trường, Bitcoin và các chủ đề liên quan đến tiền mã hóa. Nhưng tôi không biết rằng, có người ở gần đó đang nghe lén cuộc trò chuyện của chúng tôi và nhận ra tôi đang làm những việc liên quan đến tiền mã hóa. Đây là sai lầm đầu tiên của tôi. Đối phương thông qua cuộc trò chuyện biết được tôi đang sử dụng ví Phantom và tôi là một người dùng có số lượng nắm giữ lớn.
Điều này khiến hắn nhắm mục tiêu vào tôi.
Trong mạng Wi-Fi công cộng, tất cả các thiết bị đều chia sẻ cùng một mạng, trên thực tế, khả năng hiển thị giữa các thiết bị còn cao hơn bạn tưởng. Hầu như không có biện pháp bảo vệ thực sự nào giữa người dùng, điều này tạo cơ hội cho "Cuộc tấn công trung gian" (Man-in-the-Middle Attack). Kẻ tấn công giống như một người trung gian, lặng lẽ chèn vào giữa bạn và Internet, giống như ai đó đọc lén và làm giả nội dung thư của bạn trước khi nó được gửi đến.
Khi tôi duyệt web trên Wi-Fi của khách sạn, có một trang web trông có vẻ tải bình thường, nhưng thực tế đằng sau trang đã bị chèn thêm mã độc. Lúc đó tôi không để ý thấy bất kỳ điều gì bất thường. Nếu tôi cài đặt một số công cụ bảo mật, lẽ ra đã có thể phát hiện ra những vấn đề này, nhưng thật tiếc, tôi đã không làm vậy.
Thông thường, một trang web có thể yêu cầu ví của bạn ký duyệt một số thao tác. Ví Phantom sẽ bật lên một cửa sổ, bạn có thể chọn phê duyệt hoặc từ chối. Nói chung, bạn sẽ yên tâm ký vì tin tưởng trang web và trình duyệt này. Tuy nhiên, hôm đó tôi không nên làm vậy.
Ngay khi tôi đang thực hiện thao tác hoán đổi token trên nền tảng @JupiterExchange, mã độc đã kích hoạt một yêu cầu ví, thay thế cho thao tác hoán đổi bình thường của tôi. Lẽ ra tôi có thể phát hiện đây là một yêu cầu độc hại bằng cách kiểm tra kỹ chi tiết giao dịch, nhưng vì tôi đã đang thực hiện thao tác hoán đổi trên nền tảng Jupiter rồi, nên hoàn toàn không nghi ngờ gì.
Hôm đó tôi đã không ký bất kỳ giao dịch nào chuyển tiền, mà là ký một sự cho phép ủy quyền. Đây chính là lý do vài ngày sau tài sản bị đánh cắp.
Mã độc không trực tiếp yêu cầu tôi gửi SOL (Solana), vì như vậy sẽ quá lộ liễu. Thay vào đó, nó yêu cầu tôi "ủy quyền truy cập", "phê duyệt tài khoản" hoặc "xác nhận phiên". Nói một cách đơn giản, tôi thực chất đã cho một địa chỉ khác quyền thao tác thay tôi.
Lý do tôi phê duyệt là vì tôi nhầm tưởng rằng nó liên quan đến thao tác của tôi trên Jupiter. Thông tin hiện lên trên ví Phantom lúc đó trông có vẻ kỹ thuật, không hiển thị bất kỳ số tiền nào và cũng không nhắc chuyển khoản ngay lập tức.
Và đó là tất cả những gì kẻ tấn công cần. Hắn kiên nhẫn chờ đợi cho đến khi tôi rời khách sạn, mới bắt đầu hành động. Hắn chuyển SOL của tôi đi, rút token của tôi và chuyển NFT của tôi sang một địa chỉ khác.
Tôi chưa bao giờ nghĩ điều như vậy có thể xảy ra với mình. May mắn thay, đây không phải là ví chính của tôi, mà là một ví nóng dùng cho các thao tác cụ thể, không phải để lưu trữ tài sản lâu dài. Nhưng ngay cả như vậy, tôi đã mắc rất nhiều sai lầm và tôi nghĩ mình phải chịu trách nhiệm chính.
Trước hết, tôi không bao giờ nên kết nối với Wi-Fi công cộng của khách sạn. Lẽ ra tôi nên dùng điểm phát sóng (hotspot) trên điện thoại để lên mạng.
Sai lầm thứ hai của tôi là nói chuyện về tiền mã hóa ở khu vực công cộng của khách sạn, khiến nhiều người có thể đã nghe thấy cuộc trò chuyện của chúng tôi. Cha tôi từng khuyên tôi, đừng bao giờ để người khác biết bạn làm những việc liên quan đến tiền mã hóa. Lần này vẫn còn may mắn, có những người thậm chí còn bị bắt cóc hoặc gặp chuyện tồi tệ hơn vì tài sản crypto.
Một sai lầm khác là tôi đã phê duyệt yêu cầu ví mà không hoàn toàn chú ý. Vì tôi chắc chắn yêu cầu này đến từ Jupiter, tôi đã không phân tích kỹ nó. Trên thực tế, mọi yêu cầu từ ví đều nên được xem xét cẩn thận, ngay cả trên ứng dụng bạn tin tưởng. Yêu cầu có thể bị chặn và thực tế không đến từ ứng dụng bạn tưởng.
Cuối cùng, tôi đã mất khoảng 5000 đô la từ một chiếc ví phụ. Mặc dù đây không phải là trường hợp nghiêm trọng nhất, nhưng nó vẫn khiến người ta cảm thấy vô cùng bực bội.
