原文作者:The Smart Ape
原文编译:深潮 TechFlow
几天前,我和家人一起去一家非常不错的酒店度过年末假期。在离开酒店一天后,我的钱包却被完全掏空了。我百思不得其解,因为我既没有点击过任何钓鱼链接,也没有签署过任何恶意交易。
经过数小时的调查,并请来专家帮忙后,我终于弄明白了事情的真相。这一切竟然是因为酒店的 Wi-Fi 网络、一通简短的电话,以及一连串愚蠢的错误。
和大多数加密货币爱好者一样,我随身带着笔记本电脑,想着在陪家人度假时还能抽空工作一下。我的妻子一再坚持让我在这三天里不要工作,我真应该听她的话。
和其他住客一样,我连接了酒店的 Wi-Fi 网络。这个网络不需要密码,只需通过一个验证页面(captive portal)即可登录。
我像往常一样在酒店里工作,没有做任何冒险的操作:没有创建新钱包,没有点击奇怪的链接,也没有访问可疑的去中心化应用(dApps)。我只是查看了一下 X(推特)、我的余额、Discord 和 Telegram 等。
某一刻,我接到了一个加密圈朋友的电话,我们聊了聊市场行情、比特币以及加密货币的相关话题。但我不知道的是,附近有人在偷听我们的对话,并意识到我在从事加密货币相关的事情。这是我的第一个错误。对方通过我们的对话了解到我在使用 Phantom 钱包,而且我是一个持有量不小的用户。
这让他将目标锁定在了我身上。
在公共 Wi-Fi 网络中,所有设备都共享同一个网络,实际上设备之间的可见性比你想象的还要高。用户之间几乎没有真正的保护措施,这就为“中间人攻击”(Man-in-the-Middle Attack)提供了可乘之机。攻击者就像一个中间人,悄悄地插入在你和互联网之间,就像有人在你的信件送达之前偷偷阅读并篡改内容。
当我在酒店 Wi-Fi 上浏览网页时,有一个网站看起来正常加载,但实际上页面背后被注入了额外的恶意代码。我当时并没有注意到任何异常。如果我安装了一些安全工具,本可以发现这些问题,但遗憾的是,我并没有。
通常情况下,网站可能会请求你的钱包签署某些操作。Phantom 钱包会弹出一个窗口,你可以选择批准或拒绝。一般来说,你会因为信任这个网站和浏览器而放心签署。然而,那天我不该这么做。
就在我在 @JupiterExchange 平台上进行代币兑换操作时,恶意代码触发了一个钱包请求,取代了我正常的兑换操作。我本可以通过仔细检查交易详情发现这是一个恶意请求,但因为我已经在 Jupiter 平台进行兑换操作了,所以完全没有起疑心。
那天我并没有签署任何转移资金的交易,而是签署了一个授权许可。这正是几天后资产被盗的原因。
恶意代码并没有直接要求我发送 SOL(Solana),因为那样会太明显。取而代之,它请求我“授权访问”、“批准账户”或“确认会话”。用简单的话说,我实际上是给了另一个地址代我操作的权限。
我之所以批准了,是因为我误以为这与我在 Jupiter 的操作有关。当时 Phantom 钱包弹出的信息看起来很技术化,没有显示任何金额,也没有提示立即转账。
而这正是攻击者所需要的一切。他耐心等待,直到我离开酒店后,才开始行动。他将我的 SOL 转走,提取我的代币,并将我的 NFT 转移到另一个地址。
我从未想过这样的事情会发生在我身上。幸运的是,这并不是我的主钱包,而是一个用于特定操作的热钱包,并非用来长期持有资产的。但即便如此,我还是犯了很多错误,而我认为自己对此负有主要责任。
首先,我绝不应该连接酒店的公共 Wi-Fi。我本该用手机的热点来上网才对。
我的第二个错误是,在酒店的公共区域里谈论加密货币,让许多人可能听到了我们的对话。我父亲曾经告诫我,永远不要让别人知道你从事加密货币相关的事情。这次还算幸运,有些人因为加密资产甚至遭遇绑架或更糟糕的事情。
另一个错误是,我在没有完全注意的情况下批准了钱包请求。因为我确信这个请求来自 Jupiter,我没有仔细分析它。事实上,每一次钱包请求都应该被认真审查,即使是在你信任的应用程序上。请求可能会被拦截,实际上并非来自你以为的应用。
最终,我从一个次要钱包里损失了大约 5000 美元。虽然这还不算最严重的情况,但依然让人感到非常沮丧。
