Ủy quyền sai trong mạng WiFi công cộng: Chi phí an toàn 5000 USD

Viết bài: The Smart Ape

Dịch bởi: Luffy, Foresight News

Liên kết：

Tuyên bố: Bài viết này là nội dung được đăng lại, độc giả có thể truy cập liên kết gốc để biết thêm thông tin. Nếu tác giả có bất kỳ ý kiến phản đối nào về hình thức đăng lại, vui lòng liên hệ với chúng tôi, chúng tôi sẽ chỉnh sửa theo yêu cầu của tác giả. Việc đăng lại chỉ nhằm mục đích chia sẻ thông tin, không cấu thành bất kỳ lời khuyên đầu tư nào, cũng không đại diện cho quan điểm và lập trường của Wu.

Vài ngày trước, tôi cùng gia đình đã ở một khách sạn cao cấp trong ba ngày để kỷ niệm kỳ nghỉ cuối năm. Nhưng ngay sau ngày trả phòng, ví tiền điện tử của tôi đã bị trộm sạch. Tôi hoàn toàn không hiểu chuyện gì xảy ra, tôi không nhấp vào bất kỳ liên kết lừa đảo nào cũng không ký bất kỳ giao dịch độc hại nào.

Tôi đã dành nhiều giờ điều tra, thậm chí thuê chuyên gia giúp đỡ, cuối cùng đã làm rõ toàn bộ quá trình bị đánh cắp. Tất cả bắt nguồn từ WiFi công cộng của khách sạn, một cuộc gọi ngắn, cộng thêm chuỗi những sai lầm ngu ngốc của tôi.

Giống như đa số người yêu thích tiền điện tử, dù đi cùng gia đình tôi vẫn mang theo laptop, nghĩ rằng sẽ tranh thủ xử lý công việc chút ít. Vợ tôi nhiều lần nhắc nhở, hãy hoàn toàn buông bỏ công việc trong ba ngày này, và giờ nghĩ lại, tôi thật sự nên nghe lời cô ấy.

Vì vậy, tôi và những người khác đã kết nối WiFi công cộng của khách sạn. Mạng này không cần mật khẩu, chỉ cần qua một cổng xác thực bắt buộc là có thể truy cập.

Tôi vẫn làm việc như thường lệ, không thực hiện bất kỳ thao tác nào có nguy cơ rủi ro: không tạo ví mới, không mở liên kết lạ, cũng không dùng các ứng dụng phi tập trung (dApp) đáng ngờ, chỉ đơn giản là lướt mạng xã hội X, xem số dư ví, dạo quanh Discord và Telegram.

Ngay lúc đó, tôi nhận cuộc gọi từ một người bạn trong lĩnh vực tiền điện tử. Chúng tôi nói chuyện về thị trường, Bitcoin, và một số tin tức mới trong ngành.

Nhưng tôi không ngờ, có người đang nghe lén cuộc trò chuyện của chúng tôi, và ngay lập tức nhận ra tôi là người làm trong ngành tiền điện tử. Đó là lỗi đầu tiên của tôi. Người này không chỉ nghe rõ tôi đang dùng ví Phantom, mà còn đoán được tôi sở hữu một lượng token đáng kể.

Chính vì vậy, tôi trở thành mục tiêu của hắn.

Đặc điểm của WiFi công cộng là tất cả thiết bị đều chia sẻ cùng một mạng, mức độ hiển thị giữa các thiết bị vượt xa tưởng tượng của bạn, người dùng không có sự cách ly an toàn thực sự nào với nhau. Điều này tạo cơ hội cho hacker tấn công trung gian. Trong kiểu tấn công này, hacker sẽ ẩn nấp giữa bạn và internet, giống như ai đó đã mở thư trước khi gửi đến tay bạn, đọc trộm hoặc sửa đổi nội dung.

Trong lúc tôi duyệt web qua WiFi khách sạn, có một trang web trông bình thường, nhưng thực ra đã bị cấy mã độc. Lúc đó tôi không phát hiện ra, nếu đã cài đặt sẵn các công cụ bảo mật, có thể đã nhận ra bất thường, nhưng tôi đã không làm vậy.

Thông thường, một số trang web sẽ yêu cầu người dùng ký xác nhận bằng ví của mình, lúc này ví Phantom sẽ hiển thị cửa sổ nhắc nhở, yêu cầu người dùng xác nhận phê duyệt hoặc từ chối. Thông thường, người dùng dựa trên sự tin tưởng vào trang web và trình duyệt để xác nhận cấp quyền. Nhưng ngày hôm đó, tôi thật sự không nên làm như vậy.

Tôi đang thực hiện giao dịch đổi token trên nền tảng phi tập trung Jupiter Exchange, thì mã độc lợi dụng cơ hội này để thay đổi quy trình, hiển thị một yêu cầu cấp quyền ví, thay vì lệnh đổi token ban đầu tôi muốn thực hiện. Thật ra, tôi hoàn toàn có thể phát hiện ra đây là yêu cầu độc hại nếu cẩn thận kiểm tra chi tiết giao dịch, nhưng vì tôi đang thao tác trên nền tảng Jupiter, nên không nghi ngờ gì.

Ngày hôm đó, tôi ký xác nhận không phải là một giao dịch chuyển tài sản, mà là một thỏa thuận cấp quyền.

Đây chính là lý do vì sao sau vài ngày, ví của tôi bị đánh cắp.

Mã độc đó rất xảo quyệt, không yêu cầu tôi chuyển SOL trực tiếp, vì làm vậy quá rõ ràng. Thay vào đó, yêu cầu hiển thị là “ủy quyền truy cập”, “phê duyệt quyền tài khoản” hoặc “xác nhận phiên làm việc” – những mô tả mơ hồ.

Nói cách khác, tôi đã cấp quyền cho một địa chỉ lạ, đại diện cho tôi thao tác trên ví.

Lý do tôi chấp nhận yêu cầu này là vì tôi nghĩ đó là bước cần thiết để nền tảng Jupiter hoạt động bình thường. Thời điểm đó, thông báo của ví Phantom toàn là thuật ngữ kỹ thuật, không hiển thị rõ số tiền chuyển, cũng không cảnh báo đây là một giao dịch chuyển ngay lập tức.

Từ đó, hacker đã nắm trong tay mọi điều kiện để lấy cắp tài sản của tôi. Hắn chờ đến khi tôi rời khách sạn mới bắt đầu chuyển SOL, các token khác và tất cả NFT trong ví của tôi.

Tôi chưa từng nghĩ chuyện này sẽ xảy ra với chính mình. May mắn thay, ví này không phải ví chính của tôi, chỉ là ví nóng dùng cho các hoạt động hàng ngày, không phải ví tích trữ lâu dài. Dù vậy, tôi vẫn mắc nhiều sai lầm, và tôi cho rằng trách nhiệm chính thuộc về tôi.

Thứ nhất, tôi không nên kết nối WiFi công cộng của khách sạn, mà nên dùng hotspot di động của điện thoại.

Thứ hai, tôi đã quá lơ là, thậm chí còn bàn luận về tiền điện tử ở nơi công cộng như khách sạn, hoàn toàn không nghĩ đến việc có người nghe thấy. Bố tôi luôn dặn dò, đừng để người ngoài biết bạn tham gia lĩnh vực tiền điện tử. Hậu quả của chuyện này có thể còn nghiêm trọng hơn, trong thực tế, có người bị bắt cóc hoặc giết vì sở hữu tiền điện tử.

Một sai lầm chí tử khác là tôi đã phê duyệt yêu cầu cấp quyền ví mà không kiểm tra kỹ. Chính vì tôi nghĩ yêu cầu này đến từ nền tảng Jupiter, nên đã không phân tích kỹ nội dung. Tôi muốn nhắc nhở mọi người: Dù là ứng dụng nào đi nữa, khi nhận yêu cầu cấp quyền ví, đều phải cẩn thận kiểm tra kỹ lưỡng. Những yêu cầu này rất dễ bị hacker chặn và sửa đổi, người gửi không phải là ứng dụng bạn nghĩ.

Cuối cùng, ví của tôi đã mất khoảng 5000 USD. Dù tình hình có thể còn tồi tệ hơn, nhưng chuyện này vẫn khiến tôi rất bực bội.