Автор: The Smart Ape
Перевод: Deep Tide TechFlow
Оригинальное название: Подключился к отельному Wi-Fi на три дня, и с моего криптокошелька украли 5000 долларов
Несколько дней назад я с семьей отправился в очень хороший отель, чтобы провести новогодние каникулы. Через день после выезда из отеля мой кошелек был полностью опустошен. Я не мог понять, почему, ведь я не переходил по фишинговым ссылкам и не подписывал никаких злонамеренных транзакций.
После нескольких часов расследования и помощи экспертов я наконец выяснил, что произошло. Оказалось, что всему виной были Wi-Fi сеть отеля, короткий телефонный разговор и цепочка глупых ошибок.
Как и большинство энтузиастов криптовалют, я взял с собой ноутбук, думая, что смогу поработать, пока отдыхаю с семьей. Моя жена настаивала, чтобы я эти три дня не работал, и мне следовало ее послушать.
Как и другие гости, я подключился к Wi-Fi сети отеля. Для этой сети не требовался пароль, достаточно было войти через портал авторизации (captive portal).
Я работал в отеле как обычно, не делая ничего рискованного: не создавал новые кошельки, не переходил по странным ссылкам, не заходил на подозрительные децентрализованные приложения (dApps). Я просто проверял X (Twitter), свои средства, Discord и Telegram и тому подобное.
В какой-то момент мне позвонил друг из криптосообщества, и мы поговорили о ситуации на рынке, биткоине и других криптовалютных темах. Но я не знал, что поблизости кто-то подслушал наш разговор и понял, что я связан с криптовалютами. Это была моя первая ошибка. Из разговора он узнал, что я использую кошелек Phantom и что у меня немалое количество средств.
Это сделало меня его атаки.
В общедоступных Wi-Fi сетях все устройства используют одну сеть, и на самом деле видимость между устройствами выше, чем вы думаете. Между пользователями почти нет реальной защиты, что создает почву для «атаки человек посередине» (Man-in-the-Middle Attack). Злоумышленник действует как посредник, незаметно вставаясь между вами и интернетом, как если бы кто-то тайно читал и изменял вашу почту до того, как она дойдет до адресата.
Пока я просматривал страницы через отельный Wi-Fi, один сайт, казалось, загружался нормально, но на самом деле в фоновом режиме в него был внедрен вредоносный код. Я тогда ничего не заметил. Если бы у меня были установлены некоторые инструменты безопасности, я мог бы обнаружить проблему, но, к сожалению, их не было.
Обычно сайты могут запрашивать у вашего кошелька подпись каких-либо операций. Кошелек Phantom показывает всплывающее окно, и вы можете выбрать одобрить или отклонить. Обычно вы спокойно подписываете, доверяя сайту и браузеру. Однако в тот день мне не следовало этого делать.
Как раз когда я совершал операцию по обмену токенов на платформе @JupiterExchange, вредоносный код вызвал запрос от кошелька, который заменил мою обычную операцию обмена. Я мог бы обнаружить, что это злонамеренный запрос, внимательно проверив детали транзакции, но поскольку я уже выполнял операцию обмена на Jupiter, у меня не возникло никаких подозрений.
В тот день я не подписывал никаких транзакций на перевод средств, а подписал разрешение на авторизацию. Именно это стало причиной кража активов несколько дней спустя.
Вредоносный код не запрашивал напрямую отправку SOL (Solana), потому что это было бы слишком очевидно. Вместо этого он запросил «авторизацию доступа», «подтверждение аккаунта» или «подтверждение сессии». Простыми словами, я фактически дал другому адресу разрешение действовать от моего имени.
Я одобрил это, потому что ошибочно предположил, что это связано с моими действиями на Jupiter. Тогда информация, всплывшая в кошельке Phantom, выглядела технически и не показывала никаких сумм, а также не указывала на немедленный перевод.
И это было все, что нужно злоумышленнику. Он терпеливо ждал, пока я не уеду из отеля, и только тогда начал действовать. Он перевел мои SOL, вывел мои токены и перевел мои NFT на другой адрес.
Я никогда не думал, что со мной может произойти нечто подобное. К счастью, это был не мой основной кошелек, а горячий кошелек для определенных операций, а не для долгосрочного хранения активов. Но даже так, я совершил много ошибок, и считаю, что в основном виноват сам.
Во-первых, мне ни в коем случае не следовало подключаться к общедоступному Wi-Fi отеля. Мне следовало использовать мобильную точку доступа для выхода в интернет.
Моя вторая ошибка заключалась в том, что я говорил о криптовалютах в общественной зоне отеля, где многие могли подслушать наш разговор. Мой отец предупреждал меня, чтобы я никогда никому не рассказывал, что занимаюсь криптовалютами. В этот раз еще повезло, некоторые люди из-за криптоактивов сталкивались с похищениями или чем похуже.
Другая ошибка: я одобрил запрос кошелька, не уделив ему полного внимания. Поскольку я был уверен, что запрос поступил от Jupiter, я не стал его仔细 анализировать. На самом деле, каждый запрос кошелька следует тщательно проверять, даже в доверенных приложениях. Запрос может быть перехвачен и на самом деле исходить не от того приложения, которое вы думаете.
В итоге я потерял около 5000 долларов со второстепенного кошелька. Хотя это не самый худший случай, это все равно очень расстраивает.
Twitter:https://twitter.com/BitpushNewsCN
Группа в TG Битупуш:https://t.me/BitPushCommunity
Подписка в TG Битупуш: https://t.me/bitpush
