公共 WiFi 下的一次授權誤簽：5000 美元的安全代價

撰文：The Smart Ape

編譯：Luffy，Foresight News

連結：

聲明：本文為轉載內容，讀者可透過原文連結獲取更多資訊。如作者對轉載形式有任何異議，請聯繫我們，我們將按照作者要求進行修改。轉載僅用於資訊分享，不構成任何投資建議，不代表吳說觀點與立場。

幾天前，我和家人去一家高檔酒店住了三天，慶祝年末假期。可就在退房後的第二天，我的加密貨幣錢包就被洗劫一空。我完全摸不著頭腦，我既沒點擊任何釣魚連結，也沒簽署過任何惡意交易。

我花了好幾個小時調查，還專門聘請了專家幫忙，終於弄清楚了被盜的全過程。這一切的起因，竟然是酒店的公共 WiFi、一通短暫的電話，再加上我犯下的一連串愚蠢錯誤。

和大多數加密貨幣愛好者一樣，就算是陪家人住酒店，我也隨身帶了筆記本電腦，想著抽空處理點工作。妻子當時再三叮囑，讓我這三天徹底放下工作，現在想來，我真該聽她的話。

於是，我和其他人一樣，連接了酒店的公共 WiFi。這個網路無需密碼，只要通過一個強制認證入口就能接入。

我像往常一樣處理工作，沒做任何有風險的操作：既沒建立新錢包，也沒點開陌生連結，更沒使用可疑的去中心化應用（dApp），只是刷刷社交平台 X、查看錢包餘額、逛逛 Discord 和 Telegram 之類的。

就在這時，我接到了一位加密貨幣領域朋友的電話。我們聊了聊市場行情、比特幣，還有加密貨幣行業的一些近況。

可我萬萬沒想到，附近有人正窺聽著我們的對話，並且立刻意識到我是加密貨幣從業者。這就是我犯下的第一個錯誤。這個人不僅聽出我用的是 Phantom 錢包，還判斷出我持有相當可觀的代幣。

也正因如此，我成了他的目標。

公共 WiFi 的特點是所有設備共享同一網路，設備之間的可見程度遠超你的想像，用戶彼此之間毫無真正的安全隔離可言。這就給了黑客可乘之機，讓他們得以發起中間人攻擊。這種攻擊模式下，黑客會潛伏在你和互聯網之間，就像有人在信件送達你手中前，偷偷拆開閱讀、篡改內容一樣。

我在酒店 WiFi 環境下瀏覽網頁時，有一個網站表面上載入正常，背地裡卻被植入了惡意程式碼。我當時毫無察覺，如果我事先安裝了某些安全工具，或許能發現異常，但我並沒有。

正常情況下，部分網站會請求用戶用錢包簽署一些內容，這時 Phantom 錢包會彈出提示視窗，由用戶確認批准或拒絕。通常來說，用戶會基於對網站和瀏覽器的信任，直接確認授權。但那天，我真不該這麼做。

當時我正在去中心化交易平台 Jupiter Exchange 上進行代幣兌換操作，而惡意程式碼卻趁機篡改流程，彈出了一個錢包授權請求，而非我原本要執行的兌換指令。其實，我本可以透過仔細核對交易詳情，發現這是個惡意請求，但因為我確實正在 Jupiter 平台操作，便沒有產生任何懷疑。

那天我簽署的，根本不是一筆划轉資產的交易，而是一份權限授權協議。

這也是為什麼錢包被盜的事情，會發生在幾天之後。

那個惡意程式碼很狡猾，它沒有直接要求我划轉平台幣 SOL，那樣做實在太顯眼了。它彈出的請求是「授權存取」「批准帳戶權限」或是「確認會話」這類模糊的表述。

說白了，我相當於授權了另一個陌生地址，代表我對錢包進行操作。

我之所以批准了這個請求，是因為我以為這是 Jupiter 平台正常操作所需的步驟。當時 Phantom 錢包彈出的提示全是技術術語，既沒有顯示任何轉帳金額，也沒有提示這是一筆即時轉帳。

至此，黑客已經掌握了盜走我資產所需的一切條件。他一直等到我離開酒店，才動手轉走我錢包裡的 SOL、各類代幣，還有所有的非同質化代幣（NFT）。

我從來沒想過這種事會發生在自己身上。幸好，這個錢包不是我的主錢包，只是一個用於日常操作的熱錢包，並非長期囤幣的錢包。儘管如此，我還是犯了很多錯，我認為主要責任在我。

第一，我不應該連接酒店的公共 WiFi，當時就該用手機的行動熱點。

第二，我錯在過於放鬆警惕，居然在酒店這種公共場所談論加密貨幣，完全沒考慮到身邊可能有人聽到。我父親一直告誡我，千萬別讓外人知道你涉足加密貨幣領域。這件事的後果本可能更嚴重，現實中，有些人會因為持有加密貨幣而遭到綁架，甚至謀殺。

另一個致命錯誤，就是我在沒有仔細核對的情況下，就批准了那個錢包授權請求。正因為我認定這個請求來自 Jupiter 平台，才沒有認真分析它的具體內容。在此提醒大家：無論在什麼應用上，面對任何錢包授權請求，都必須打起十二分精神仔細核查。這些請求很可能被黑客攔截篡改，其發起方並非你所認為的那個應用。

最後，我的這個錢包損失了大約 5000 美元。雖說情況本可能更糟，但這件事還是讓我懊惱不已。