一位名為"The Smart Ape"的加密貨幣用戶透露,在飯店住了三天後,他的熱錢包損失了約5000美元。他強調這並非因為點擊了釣魚連結,而是犯了一系列"愚蠢的錯誤",包括使用開放WiFi網路、在大廳接聽電話以及批准了一個看似常規的錢包請求。
安全公司Hacken為Cointelegraph分析的這一事件揭示了攻擊者如何巧妙結合網路層面的技巧、社交線索和錢包用戶體驗盲點,在受害者簽署看似無害的訊息數天後成功掏空資金。
飯店WiFi如何成為威脅
據受害者描述,攻擊始於他將筆記型電腦連接到飯店的開放WiFi(ㄧ個無需密碼的強制入口網站),並"照常工作,沒有冒險行為,只是瀏覽Discord和X,以及查看餘額"。
他沒有意識到的是,在開放網路環境中,所有房客實際上共享同一本地環境。
Hacken的網路安全合規負責人Dmytro Yasmanovych向Cointelegraph解釋道:"攻擊者可以利用位址解析協議(ARP)欺騙、網域名稱系統(DNS)操控或偽造存取點,將惡意JavaScript注入到原本合法的網站中。即使DeFi前端本身是可信的,執行環境可能已不再安全。"
談論加密貨幣會成為目標
攻擊者在飯店大廳偷聽到用戶討論其持有的加密貨幣後,迅速報到該用戶"參與了加密貨幣"這一訊息。這一情報縮小了目標範圍,並暗示了可能的錢包組合(在本例中是Solana上的Phantom,作為錢包供應商本身並未被攻破)。
在現實世界中暴露您的加密貨幣身份是一個長期存在的安全隱患。比特幣工程師與安全專家Jameson Lopp多次警告,公開談論加密貨幣或炫耀財富是用戶能做的最危險行為之一。
Yasmanovych警告指出:"網路攻擊並非從鍵盤開始的,它們通常始於觀察。關於加密貨幣持有量的公開對話可以作為偵查手段,協助攻擊者選擇正確的工具、錢包和時機。"
一次授權如何導致錢包資金被全部清空
事件的關鍵轉折點發生在用戶簽署了一個他誤以為是普通交易的請求時。當他在一個合法的去中心化金融(DeFi)平台前端進行代幣交換操作時,被注入的惡意程式碼取代或附加了一個錢包請求,該請求實際上是索取授權權限而非純粹的代幣轉帳。
Yasmanovych指出,這種攻擊模式屬於一類日益普遍的安全威脅,被稱為"授權濫用攻擊"。他解釋道:"攻擊者並非直接竊取私鑰或立即掏空資金。相反,他們取得持續性的操作權限,然後耐心等待,有時長達數天或數週,才執行真正的資金轉移操作。"
當受害者察覺異常時,其錢包中的Solana(SOL)以及其他數位資產已經被悉數轉走。
"此時,攻擊者已經掌握了他所需的全部條件。他等到我離開飯店後,轉走了我的SOL,轉移了我的代幣,並將我的NFT發送至另一個地址。"
幸運的是,受害者被攻擊的是次要熱錢包,因此損失相對有限。但這一事件清楚揭示了資金被盜所需條件之簡單:一個不可信網路、一個分神的瞬間以及一次疏忽的授權簽署。
Yasmanovych建議,旅客應將所有公共網路視為潛在威脅環境。他強調應避免使用開放WiFi進行任何錢包操作,建議使用行動熱點或可靠的VPN服務,並且僅在經過安全強化、維持系統更新且將瀏覽器攻擊面降至最低的裝置上進行交易操作。
專家還建議用戶應將資金分散存放於多個錢包中,將每次鏈上授權視為高風險行為並定期檢查及撤銷不必要的授權,同時保持嚴格的實體安全措施,絕不在公共場合討論個人持幣情況或錢包細節。
