一位名为"The Smart Ape"的加密货币用户透露,在酒店住了三天后,他的热钱包损失了约5000美元。他强调这并非因为点击了钓鱼链接,而是犯了一系列"愚蠢的错误",包括使用开放WiFi网络、在大堂接听电话以及批准了一个看似常规的钱包请求。
安全公司Hacken为Cointelegraph分析的这一事件揭示了攻击者如何巧妙结合网络层面的技巧、社交线索和钱包用户体验盲点,在受害者签署看似无害的消息数天后成功掏空资金。
酒店WiFi如何成为威胁
据受害者描述,攻击始于他将笔记本电脑连接到酒店的开放WiFi(一个无需密码的强制门户),并"照常工作,没有冒险行为,只是浏览Discord和X,以及查看余额"。
他没有意识到的是,在开放网络环境中,所有客人实际上共享同一本地环境。
Hacken的网络安全合规负责人Dmytro Yasmanovych向Cointelegraph解释道:"攻击者可以利用地址解析协议(ARP)欺骗、域名系统(DNS)操纵或伪造接入点,将恶意JavaScript注入到原本合法的网站中。即使DeFi前端本身是可信的,执行环境可能已不再安全。"
谈论加密货币会成为目标
攻击者在酒店大堂偷听到用户讨论其持有的加密货币后,迅速锁定了该用户"参与了加密货币"这一信息。这一情报缩小了目标范围,并暗示了可能的钱包组合(在本例中是Solana上的Phantom,作为钱包提供商本身并未被攻破)。
在现实世界中暴露您的加密货币身份是一个长期存在的安全隐患。比特币工程师和安全专家Jameson Lopp多次警告,公开谈论加密货币或炫耀财富是用户能做的最危险行为之一。
Yasmanovych警告指出:"网络攻击并非从键盘开始的,它们通常始于观察。关于加密货币持有量的公开对话可以作为侦察手段,帮助攻击者选择正确的工具、钱包和时机。"
一次授权如何导致钱包资金被全部清空
事件的关键转折点发生在用户签署了一个他误认为是普通交易的请求时。当他在一个合法的去中心化金融(DeFi)平台前端进行代币交换操作时,被注入的恶意代码替换或附加了一个钱包请求,该请求实际上是索取授权许可而非进行单纯的代币转账。
Yasmanovych指出,这种攻击模式属于一类日益普遍的安全威胁,被称为"授权滥用攻击"。他解释道:"攻击者并非直接窃取私钥或立即掏空资金。相反,他们获取持续性的操作权限,然后耐心等待,有时长达数天或数周,才执行真正的资金转移操作。"
当受害者察觉异常时,其钱包中的Solana(SOL)和其他数字资产已经被悉数转走。
"此时,攻击者已经掌握了他所需的全部条件。他等到我离开酒店后,转走了我的SOL,转移了我的代币,并将我的NFT发送至另一个地址。"
幸运的是,受害者被攻击的是次要热钱包,因此损失相对有限。但这一事件清晰揭示了资金被盗所需条件之简单:一个不可信网络、一个分神的瞬间以及一次疏忽的授权签名。
Yasmanovych建议,旅行者应将所有公共网络视为潜在威胁环境。他强调应避免使用开放WiFi进行任何钱包操作,推荐使用移动热点或可靠的VPN服务,并且仅在经过安全强化、保持系统更新且浏览器攻击面最小化的设备上进行交易操作。
专家还建议用户应将资金分散存放于多个钱包中,将每次链上授权视为高风险行为并定期检查和撤销不必要的授权,同时保持严格的物理安全措施,绝不在公共场合讨论个人持币情况或钱包详情。
