Пользователь криптовалюты, известный как The Smart Ape, говорит, что он потерял около 5000 долларов из горячего кошелька, проведя три дня в отеле, не потому, что он нажал на фишинговую ссылку, а потому, что он совершил ряд «глупых ошибок», включая использование открытой сети Wi-Fi, телефонный звонок в вестибюле и одобрение того, что выглядело как обычный запрос на кошелек.
Инцидент, проанализированный охранной фирмой Hacken для Cointelegraph, показывает, как злоумышленники могут сочетать уловки сетевого уровня с социальными сигналами и слепыми зонами пользовательского интерфейса кошелька, чтобы истощить средства через несколько дней после того, как жертва подписывает, казалось бы, безобидное сообщение.
Как Wi-Fi в отеле стал угрозой
По словам жертвы, атака началась, когда он подключил свой ноутбук к открытому Wi-Fi отеля, защищенному порталу без пароля, и начал «работать как обычно, ничего рискованного, просто сканируя Discord и X и проверяя баланс».
Чего он не знал, так это того, что в открытых сетях все гости фактически используют одну и ту же локальную среду.
Дмитрий Ясманович, руководитель отдела обеспечения кибербезопасности в Hacken, рассказал Cointelegraph: “Злоумышленники могут использовать подмену протокола разрешения адресов (ARP), манипулирование системой доменных имен (DNS) или мошеннические точки доступа для внедрения вредоносного JavaScript на законные веб-сайты. Даже если интерфейс DeFi сам по себе является доверенным, контекст выполнения может больше не быть таковым”.
Когда разговоры о криптовалюте рисуют цель
Злоумышленник быстро узнал, что пользователь «занимается криптовалютой», подслушав, как он обсуждал свои активы во время телефонного звонка в вестибюле отеля. Эта информация сузила цель и намекнула на вероятный стек кошельков (в данном случае Phantom на Solana, который сам не был скомпрометирован как поставщик кошелька).
Открытие вашего профиля криптовалюты в физическом мире представляет собой давний риск. Биткоин-инженер и эксперт по безопасности Джеймсон Лопп неоднократно утверждал, что открыто говорить о криптовалюте или выставлять напоказ свое богатство — это один из самых рискованных поступков, которые вы можете сделать.
«Кибератаки не начинаются с клавиатуры», — предупредил Ясманович.”Они часто начинаются с наблюдения. Публичные разговоры о криптовалютных активах могут действовать как разведка, помогая злоумышленникам выбрать правильные инструменты, кошельки и время”.
Как одно одобрение опустошило кошелек
Ключевой момент произошел, когда пользователь подписал то, что он считал обычной транзакцией. При переходе на законный интерфейс децентрализованного финансирования (DeFi) внедренный код заменил или подкрепил запрос кошелька, который запрашивал разрешение, а не передачу токена.
Ясманович отметил, что эта модель соответствует более широкому и все более распространенному классу атак, известному как злоупотребление одобрением.”Злоумышленник не крадет ключи и не сливает средства сразу. Вместо этого он получает постоянные разрешения, а затем ждет, иногда несколько дней или недель, прежде чем выполнить фактическую передачу”.
К тому моменту, когда жертва это заметила, кошелек был опустошен от Solana (SOL) и других токенов.
“На тот момент у злоумышленника было все необходимое. Он ждал, пока я выйду из отеля, чтобы передать свой SOL, переместить мои токены и отправить мои NFT на другой адрес”.
Кошелек жертвы был вторичным горячим кошельком, поэтому ущерб был ограниченным, но эта последовательность проливает свет на то, как мало требуется для кражи средств пользователей: одна ненадежная сеть, один момент невнимательности и одно подписанное одобрение.
Ясманович рекомендовал во время путешествий относиться ко всем публичным сетям как к враждебным. Избегайте открытого Wi-Fi для взаимодействия с кошельком, используйте мобильную точку доступа или надежную VPN и совершайте транзакции только с надежных, современных устройств с минимальной поверхностью атаки через браузер.
Пользователи также должны сегментировать средства по кошелькам, относиться к каждому утверждению в сети как к событию высокого риска, которое необходимо регулярно проверять и отзывать, а также поддерживать строгую физическую операционную безопасность, никогда не обсуждая активы или детали кошелька публично.
