Wi-Fi Công cộng và Một Cuộc Gọi: Làm Thế Nào Chúng Trở Thành Cái Bẫy Hoàn Hảo Đánh Cắp 5000 Đô La Tài Sản Mã Hóa?

Tác giả: The Smart Ape

Biên dịch: Deep Tide TechFlow

Tiêu đề gốc: Kết nối Wi-Fi khách sạn ba ngày, ví tiền mã hóa bị đánh cắp 5000 USD

Vài ngày trước, tôi và gia đình đã đến một khách sạn khá tốt để nghỉ lễ cuối năm. Một ngày sau khi rời khách sạn, ví của tôi đã bị rút sạch. Tôi không thể hiểu nổi, vì tôi không nhấp vào bất kỳ liên kết lừa đảo nào, cũng không ký bất kỳ giao dịch độc hại nào.

Sau nhiều giờ điều tra và nhờ sự giúp đỡ của các chuyên gia, cuối cùng tôi đã hiểu ra sự thật. Tất cả là do mạng Wi-Fi của khách sạn, một cuộc điện thoại ngắn và một chuỗi sai lầm ngu ngốc.

Giống như hầu hết những người đam mê tiền mã hóa, tôi mang theo máy tính xách tay, nghĩ rằng có thể tranh thủ làm việc trong khi đi nghỉ cùng gia đình. Vợ tôi đã nhiều lần khuyên tôi trong ba ngày này không nên làm việc, lẽ ra tôi nên nghe lời cô ấy.

Giống như những vị khách khác, tôi đã kết nối với mạng Wi-Fi của khách sạn. Mạng này không cần mật khẩu, chỉ cần đăng nhập thông qua một trang xác thực (captive portal).

Tôi làm việc trong khách sạn như bình thường, không thực hiện bất kỳ thao tác mạo hiểm nào: không tạo ví mới, không nhấp vào các liên kết lạ, cũng không truy cập các ứng dụng phi tập trung (dApps) đáng ngờ. Tôi chỉ kiểm tra X (Twitter), số dư, Discord và Telegram, v.v.

Vào một lúc nào đó, tôi nhận được cuộc gọi từ một người bạn trong giới tiền mã hóa, chúng tôi nói chuyện về tình hình thị trường, Bitcoin và các chủ đề liên quan đến tiền mã hóa. Nhưng tôi không biết rằng, có người ở gần đó đang nghe lén cuộc trò chuyện của chúng tôi và nhận ra tôi đang làm những việc liên quan đến tiền mã hóa. Đây là sai lầm đầu tiên của tôi. Đối phương thông qua cuộc trò chuyện biết được tôi đang sử dụng ví Phantom và tôi là một người dùng nắm giữ lượng tiền không nhỏ.

Điều này khiến hắn nhắm mục tiêu vào tôi.

Trong mạng Wi-Fi công cộng, tất cả các thiết bị đều chia sẻ cùng một mạng, trên thực tế, khả năng hiển thị giữa các thiết bị còn cao hơn bạn tưởng. Hầu như không có biện pháp bảo vệ thực sự nào giữa người dùng, điều này tạo cơ hội cho "Tấn công trung gian" (Man-in-the-Middle Attack). Kẻ tấn công giống như một người trung gian, lặng lẽ chèn vào giữa bạn và Internet, giống như ai đó lén đọc và làm giả nội dung thư của bạn trước khi nó được gửi đến.

Khi tôi duyệt web trên Wi-Fi của khách sạn, có một trang web trông có vẻ tải bình thường, nhưng thực tế, đằng sau trang đã bị tiêm nhiễm mã độc bổ sung. Lúc đó tôi không để ý thấy bất kỳ điều gì bất thường. Nếu tôi đã cài đặt một số công cụ bảo mật, vốn có thể phát hiện ra những vấn đề này, nhưng thật tiếc, tôi đã không làm vậy.

Thông thường, trang web có thể yêu cầu ví của bạn ký một số thao tác. Ví Phantom sẽ bật lên một cửa sổ, bạn có thể chọn phê duyệt hoặc từ chối. Nói chung, bạn sẽ yên tâm ký vì tin tưởng trang web và trình duyệt này. Tuy nhiên, hôm đó tôi không nên làm vậy.

Ngay khi tôi đang thực hiện thao tác hoán đổi token trên nền tảng @JupiterExchange, mã độc đã kích hoạt một yêu cầu ví, thay thế cho thao tác hoán đổi bình thường của tôi. Vốn dĩ tôi có thể phát hiện ra đây là một yêu cầu độc hại bằng cách kiểm tra kỹ chi tiết giao dịch, nhưng vì tôi đã đang thực hiện thao tác hoán đổi trên nền tảng Jupiter rồi, nên hoàn toàn không nghi ngờ gì.

Hôm đó tôi đã không ký bất kỳ giao dịch chuyển tiền nào, mà là ký một sự cho phép ủy quyền. Đây chính là lý do vài ngày sau tài sản bị đánh cắp.

Mã độc không trực tiếp yêu cầu tôi gửi SOL (Solana), vì như vậy sẽ quá lộ liễu. Thay vào đó, nó yêu cầu tôi "ủy quyền truy cập", "phê duyệt tài khoản" hoặc "xác nhận phiên". Nói một cách đơn giản, tôi thực sự đã cho một địa chỉ khác quyền hoạt động thay mặt tôi.

Lý do tôi phê duyệt là vì tôi nhầm tưởng rằng nó liên quan đến thao tác của tôi trên Jupiter. Thông tin hiện lên trên ví Phantom lúc đó trông có vẻ kỹ thuật, không hiển thị bất kỳ số tiền nào và cũng không nhắc chuyển tiền ngay lập tức.

Và đó là tất cả những gì kẻ tấn công cần. Hắn kiên nhẫn chờ đợi, cho đến khi tôi rời khách sạn, mới bắt đầu hành động. Hắn chuyển số SOL của tôi đi, rút các token của tôi và chuyển NFT của tôi sang một địa chỉ khác.

Tôi chưa bao giờ nghĩ điều như vậy có thể xảy ra với mình. May mắn thay, đây không phải là ví chính của tôi, mà là một ví nóng dùng cho các thao tác cụ thể, không phải để nắm giữ tài sản lâu dài. Nhưng ngay cả như vậy, tôi đã mắc rất nhiều sai lầm và tôi nghĩ mình phải chịu trách nhiệm chính.

Trước hết, tôi không bao giờ nên kết nối với Wi-Fi công cộng của khách sạn. Lẽ ra tôi nên dùng điểm phát sóng (hotspot) trên điện thoại để lên mạng.

Sai lầm thứ hai của tôi là, nói chuyện về tiền mã hóa ở khu vực công cộng của khách sạn, khiến nhiều người có thể đã nghe thấy cuộc trò chuyện của chúng tôi. Cha tôi từng khuyên tôi, đừng bao giờ để người khác biết bạn làm những việc liên quan đến tiền mã hóa. Lần này vẫn còn may mắn, có những người vì tài sản mã hóa thậm chí còn bị bắt cóc hoặc những chuyện tồi tệ hơn.

Một sai lầm khác là, tôi đã phê duyệt yêu cầu ví mà không hoàn toàn chú ý. Bởi vì tôi chắc chắn yêu cầu này đến từ Jupiter, tôi đã không phân tích kỹ nó. Trên thực tế, mỗi yêu cầu từ ví đều nên được xem xét cẩn thận, ngay cả trên ứng dụng bạn tin tưởng. Yêu cầu có thể bị chặn và thực tế không đến từ ứng dụng bạn tưởng.

Cuối cùng, tôi đã mất khoảng 5000 đô la từ một chiếc ví phụ. Mặc dù đây không phải là trường hợp nghiêm trọng nhất, nhưng nó vẫn khiến người ta cảm thấy vô cùng bực bội.

Twitter:https://twitter.com/BitpushNewsCN

Nhóm trao đổi Telegram của Bitpush:https://t.me/BitPushCommunity

Kênh Telegram của Bitpush: https://t.me/bitpush