Неправильна авторизація під час підключення до громадського WiFi: безпекова ціна у 5000 доларів

Написано: The Smart Ape

Переклад: Luffy, Foresight News

Посилання:

Заява: Ця стаття є переробленим матеріалом, читачі можуть отримати додаткову інформацію за оригінальним посиланням. Якщо автор має будь-які заперечення щодо форми переробки, будь ласка, зв’яжіться з нами, і ми внесемо необхідні зміни відповідно до вимог автора. Переробка використовується лише для обміну інформацією, вона не є інвестиційною порадою і не відображає позицію Wu Shuo.

Кілька днів тому я з родиною провів три дні у розкішному готелі, святкуючи новорічні канікули. Але вже на другий день після виселення з готелю мій криптовалютний гаманець був пограбований. Я був у повному здивуванні: я ні не натискав фішингові посилання, ні не підписував жодних зловмисних транзакцій.

Я витратив кілька годин на розслідування і навіть найняв експертів, щоб з’ясувати весь процес крадіжки. Все почалося з публічного Wi-Fi готелю, короткого дзвінка і серії дурних помилок з мого боку.

Як і більшість криптоентузіастів, навіть перебуваючи з родиною у готелі, я взяв з собою ноутбук, щоб у вільний час зайнятися роботою. Моя дружина кілька разів нагадувала мені, щоб я за ці три дні повністю відмовився від роботи. Тепер я розумію, що слід було послухати її.

Отже, я, як і інші, під’єднався до публічного Wi-Fi готелю. Ця мережа не вимагала пароля, достатньо було пройти через обов’язковий портал авторизації.

Я, як зазвичай, займався роботою, не виконуючи жодних ризикованих дій: не створював новий гаманець, не натискав на підозрілі посилання, не використовував сумнівні децентралізовані додатки (dApp), а просто переглядав соцмережі X, перевіряв баланс гаманця, заходив у Discord і Telegram.

Раптом я отримав дзвінок від друга з криптовалютної сфери. Ми обговорювали ринкову ситуацію, Біткоїн і деякі новини галузі.

Але я й уявити не міг, що поруч хтось підслуховує наші розмови і одразу зрозумів, що я працюю у криптовалютній сфері. Це була моя перша помилка. Ця особа не лише визначила, що я використовую гаманець Phantom, а й зробила висновок, що я маю значний запас токенів.

Саме через це я став його ціллю.

Публічний Wi-Fi має особливість: усі пристрої в мережі бачать один одного набагато краще, ніж здається, і між користувачами фактично немає справжньої безпеки. Це створює можливість для хакерів здійснювати атаки «людина посередині». У такій атаці зловмисник залишається між вами і інтернетом, наче хтось передає вам листи, але перед тим, як вони потраплять до вас, він їх відкриває, читає і змінює.

Під час перегляду сайтів у готельній Wi-Fi мережі один сайт, здавалося б, нормально завантажувався, але насправді був вмонтований зловмисний код. Я цього не помітив, і якщо б раніше встановив якісь засоби безпеки, можливо, міг би виявити підозрілі дії, але я цього не зробив.

Зазвичай деякі сайти запитують у користувача підписати щось у гаманці, і тоді Phantom показує спливаюче вікно з підтвердженням. Зазвичай користувач довіряє сайту і браузеру і підтверджує дозвіл. Але того дня я не мав би так робити.

Я саме виконував операцію обміну токенів на децентралізованій платформі Jupiter Exchange, і зловмисний код скористався цим, щоб підмінити процес і показати запит на авторизацію гаманця, а не ту команду обміну, яку я планував. Насправді я міг би, уважно перевіривши деталі транзакції, помітити, що це підробка, але оскільки я саме працював на платформі Jupiter, я не запідозрив нічого.

Того дня я підписав зовсім не транзакцію переказу активів, а угоду про надання дозволу.

Саме тому через кілька днів мій гаманець був зламаний.

Зловмисний код був дуже хитрим: він не просив мене переказати SOL — платформену валюту, що було б очевидно. Замість цього він показав запит «Надати доступ», «Підтвердити дозволи» або «Підтвердити сесію» — і це було дуже розпливчасто.

По суті, я дав дозвіл на доступ до мого гаманця для невідомої адреси, фактично дозволив їй керувати моїми активами.

Я погодився на цей запит, бо думав, що це стандартна процедура для Jupiter. Спливаюче вікно Phantom було заповнене технічними термінами, не показувало суму переказу і не натякало, що це миттєва транзакція.

З цього моменту хакер отримав усі необхідні для крадіжки моїх активів умови. Він чекав, поки я залишу готель, і тоді переказав SOL, різні токени і всі NFT з мого гаманця.

Я ніколи не думав, що таке станеться зі мною. На щастя, цей гаманець був не основним, а тимчасовим — для щоденних операцій, а не для довгострокового зберігання. Але й у цьому випадку я зробив багато помилок, і вважаю, що головна відповідальність — на мені.

Перша — я не мав підключатися до публічного Wi-Fi готелю, потрібно було користуватися мобільним хот-спотом.

Друга — я був надто розслаблений і навіть говорив про криптовалюти у публічних місцях, не враховуючи, що поруч можуть бути слухачі. Мій батько завжди казав мені, щоб я ніколи не розповідав стороннім про свою діяльність у криптоіндустрії. Наслідки могли бути набагато серйознішими: у реальності людей викрадали і навіть вбивали через володіння криптовалютами.

Ще одна фатальна помилка — я без ретельної перевірки підписав запит на авторизацію гаманця. Вважаючи, що цей запит походить від Jupiter, я не аналізував його зміст. Хочу попередити всіх: будь-який запит на авторизацію у будь-якому додатку потрібно ретельно перевіряти. Зловмисники можуть перехоплювати і змінювати ці запити, і вони не обов’язково походять від того додатку, що ви думаєте.

Врешті-решт, у мого гаманця зникло близько 5000 доларів. Хоча ситуація могла бути і гіршою, ця подія дуже мене засмутила.