Користувач криптовалюти, відомий як The Smart Ape, каже, що він втратив близько 5000 доларів із гарячого гаманця, провівши три дні в готелі, не тому, що він натиснув фішингове посилання, а тому, що він зробив низку «дурних помилок», включаючи використання відкритої мережі Wi-Fi, телефонний дзвінок у холі та схвалення того, що виглядало як звичайний запит на гаманець.
Інцидент, проаналізований охоронною компанією Hacken для Cointelegraph, показує, як зловмисники можуть поєднувати трюки на рівні мережі з соціальними підказками та сліпими зонами UX гаманця, щоб вичерпати кошти через кілька днів після того, як жертва підпише, здавалося б, доброзичливе повідомлення.
Як готельний WiFi став загрозою
Відповідно до облікового запису жертви, атака почалася, коли він підключив свій ноутбук до відкритого Wi-Fi готелю, адаптивного порталу без пароля, і почав «працювати як зазвичай, нічого ризикованого, просто скануючи Discord і X і перевіряючи баланси».
Чого він не знав, так це того, що у відкритих мережах усі гості фактично використовують одне й те саме локальне середовище.
Дмитро Ясманович, керівник відділу відповідності кібербезпеці в Hacken, сказав Cointelegraph: “Зловмисники можуть використовувати підробку протоколу розпізнавання адрес (ARP), маніпуляції з системою доменних імен (DNS) або шахрайські точки доступу, щоб ін’єктувати шкідливий JavaScript на легітимні веб-сайти. Навіть якщо сама зовнішня частина DeFi є надійною, контекст виконання може більше не бути такою”.
Під час розмови криптовалюта малює ціль
Зловмисник швидко з’ясував, що користувач «причетний до криптографії», випадково почувши його обговорення своїх активів під час телефонної розмови у холі готелю. Ця інформація звузила ціль і натякнула на ймовірний стек гаманців (у цьому випадку Phantom on Solana, який сам по собі не був скомпрометований як постачальник гаманців).
Розкриття вашого профілю криптовалюти у фізичному світі є довгостроковим ризиком. Інженер із біткойнів та експерт із безпеки Джеймсон Лопп неодноразово стверджував, що відкрито говорити про криптовалюту чи виставляти напоказ багатство — це одна з найризикованіших речей, які ви можете зробити.
«Кібератаки не починаються з клавіатури», – попередив Ясманович.”Вони часто починають зі спостереження. Публічні розмови про криптовалютні холдинги можуть діяти як розвідка, допомагаючи зловмисникам вибрати правильні інструменти, гаманці та час”.
Як одне схвалення виснажило гаманець
Ключовий момент стався, коли користувач підписав, на його думку, звичайну транзакцію. Під час перемикання на законному інтерфейсі децентралізованого фінансування (DeFi) введений код замінив або підтримав запит гаманця, який запитував дозвіл, а не передачу маркера.
Ясманович зазначив, що ця модель відповідає ширшому та все більш поширеному класу атак, відомих як зловживання схваленням.”Зловмисник не викрадає ключі та не зливає кошти негайно. Натомість він отримує постійні дозволи, а потім чекає, іноді кілька днів або тижнів, перш ніж здійснити фактичний переказ”.
На той момент, коли жертва помітила, гаманець був порожній від Solana (SOL) та інших токенів.
“На той момент у зловмисника було все, що йому було потрібно. Він чекав, поки я вийду з готелю, щоб передати свій SOL, перемістити свої токени та надіслати мої NFT на іншу адресу”.
Гаманець жертви був вторинним гарячим гаманцем, тому збиток був обмеженим, але послідовність проливає світло на те, як мало потрібно, щоб отримати кошти користувачів: одна ненадійна мережа, один момент неуважності та одне підписане схвалення.
Ясманович рекомендував під час подорожей ставитися до всіх публічних мереж як до ворожих. Уникайте відкритого Wi-Fi для взаємодії з гаманцем, використовуйте мобільну точку доступу або надійну VPN і здійснюйте транзакції лише з надійних, оновлених пристроїв із мінімальною поверхнею атаки браузера.
Користувачі також повинні сегментувати кошти між гаманцями, розглядати кожне схвалення в ланцюжку як подію високого ризику, яку необхідно регулярно переглядати та відкликати, і підтримувати надійну фізичну операційну безпеку, ніколи не обговорюючи авуари чи деталі гаманця публічно.
