Menurut Cointelegraph, seorang pengguna kripto yang dikenal sebagai The Smart Ape melaporkan kehilangan sekitar 5.000 dolar dari dompet panas selama menginap di hotel. Kerugian tersebut bukan disebabkan oleh mengklik tautan phishing, tetapi hasil dari serangkaian kesalahan, termasuk menggunakan jaringan WiFi terbuka, menerima panggilan telepon di lobi, dan menyetujui permintaan dompet yang tampaknya biasa. Perusahaan keamanan Hacken menganalisis kejadian ini, mengungkap bagaimana penyerang dapat memanfaatkan kerentanan pada tingkat jaringan dan petunjuk sosial untuk menguras dana beberapa hari setelah korban menandatangani pesan yang tampaknya tidak berbahaya.
Serangan dimulai ketika korban menghubungkan laptopnya ke WiFi terbuka di hotel, sebuah portal penjara tanpa kata sandi, dan melakukan aktivitas rutin seperti memindai Discord dan X, serta mengecek saldo. Tanpa diketahui oleh korban, jaringan terbuka memungkinkan semua tamu berbagi lingkungan lokal yang sama. Dmytro Yasmanovych, kepala kepatuhan keamanan siber di Hacken, menjelaskan bahwa penyerang dapat menggunakan teknik seperti spoofing ARP (Address Resolution Protocol), manipulasi DNS, atau titik akses palsu untuk menyisipkan JavaScript berbahaya ke dalam situs web yang sebenarnya sah. Bahkan jika antarmuka DeFi yang digunakan dipercaya, konteks eksekusi bisa saja terganggu.
Penyerang mengidentifikasi korban sebagai pengguna kripto setelah mendengar percakapan telepon di lobi hotel. Informasi ini membantu mempersempit sasaran dan mengisyaratkan kemungkinan tumpukan dompet yang digunakan, khususnya Phantom di Solana, yang tidak terganggu sebagai penyedia dompet. Paparan fisik profil kripto merupakan risiko lama, sebagaimana ditekankan oleh insinyur Bitcoin dan ahli keamanan Jameson Lopp bahwa membicarakan kripto secara terbuka atau memamerkan kekayaan sangat berisiko. Yasmanovych memperingatkan bahwa serangan siber sering dimulai dengan pengamatan, dan percakapan publik tentang kepemilikan kripto dapat berfungsi sebagai pengintaian, membantu penyerang memilih alat, dompet, dan waktu yang tepat.
Momen kritis terjadi ketika pengguna menandatangani transaksi yang tampaknya normal. Saat menukar aset di antarmuka DeFi yang sah, kode yang disisipkan menggantikan atau menumpang pada permintaan dompet, meminta izin alih-alih transfer token. Yasmanovych mencatat bahwa pola ini sesuai dengan kelas serangan yang lebih luas dikenal sebagai penyalahgunaan izin, di mana penyerang mendapatkan izin berulang dan menunggu sebelum melakukan transfer aktual. Pada saat korban menyadari, dompet telah kosong dari Solana (SOL) dan token lainnya. Penyerang menunggu hingga korban meninggalkan hotel untuk mentransfer SOL, memindahkan token, dan mengirim NFT ke alamat lain.
Dompet korban adalah dompet panas sekunder, yang membatasi kerusakan, tetapi insiden ini menunjukkan betapa sedikit yang dibutuhkan untuk mencuri dana pengguna: satu jaringan yang tidak dipercaya, satu momen ketidakhati-hatian, dan satu persetujuan yang ditandatangani. Yasmanovych menyarankan untuk memperlakukan semua jaringan publik sebagai musuh saat bepergian, menghindari WiFi terbuka untuk interaksi dompet, menggunakan hotspot seluler atau VPN terpercaya, serta hanya melakukan transaksi dari perangkat yang telah diperkuat, terbaru, dengan permukaan serangan browser yang minimal. Pengguna sebaiknya memisahkan dana di berbagai dompet, memperlakukan setiap persetujuan di blockchain sebagai kejadian berisiko tinggi yang harus secara berkala ditinjau dan dicabut, serta menjaga keamanan operasional fisik yang kuat dengan tidak pernah membicarakan kepemilikan atau detail dompet di tempat umum.
