Согласно Cointelegraph, пользователь криптовалюты по имени The Smart Ape сообщил о потере примерно 5000 долларов из горячего кошелька во время пребывания в отеле. Потеря не была вызвана нажатием на фишинговую ссылку, а произошла из-за серии ошибок, включая использование открытой сети Wi-Fi, ответ на телефонный звонок в холле и подтверждение, казалось бы, обычного запроса кошелька. Компания по обеспечению безопасности Hacken проанализировала инцидент, раскрыв, как злоумышленники могут использовать уязвимости на уровне сети и социальные подсказки для списания средств через несколько дней после того, как жертва подпишет, казалось бы, безобидное сообщение.
Атака началась, когда жертва подключила свой ноутбук к открытой Wi-Fi сети отеля, к веб-порталу без пароля, и выполняла обычные действия, такие как проверка Discord и X, а также балансов. Несмотря на то, что он не знал, открытые сети позволяют всем гостям делиться одной и той же локальной средой. Дмиtro Ясманович, руководитель по соответствию кибербезопасности в Hacken, пояснил, что злоумышленники могут использовать такие методы, как подделка протокола разрешения адресов (ARP), манипуляции с системой доменных имён (DNS) или поддельные точки доступа, чтобы внедрить вредоносный JavaScript в иначе легальные веб-сайты. Даже если фронтенд децентрализованных финансовых приложений (DeFi) является доверенным, контекст выполнения может быть скомпрометирован.
Атакующий определил пользователя как участника крипто-сферы, подслушав телефонный разговор в холле отеля. Эта информация помогла сузить круг жертв и намекнула на вероятную стек-архитектуру кошелька — в частности, Phantom на Solana, который не был скомпрометирован как провайдер кошельков. Физическое обнажение профиля крипто-активов представляет собой давнюю угрозу, поскольку, как подчеркнул инженер по биткойну и эксперт по безопасности Джеймсон Лопп, открытое обсуждение крипто-активов или демонстрация богатства крайне рискованны. Ясманович предупредил, что кибератаки часто начинаются с наблюдения, и публичные разговоры о крипто-активах могут служить разведкой, помогая злоумышленникам выбрать подходящие инструменты, кошельки и момент для атаки.
Критический момент наступил, когда пользователь подтвердил, что, как казалось, обычную транзакцию. При обмене на легитимном фронтенде децентрализованных финансовых приложений (DeFi) внедрённый код заменил или подменил запрос ко кошельку, запросив разрешение вместо передачи токена. Ясманович отметил, что такая схема вписывается в более широкую категорию атак, известную как злоупотребление разрешениями, когда злоумышленники получают постоянные разрешения и ждут подходящего момента для осуществления фактической передачи. К тому времени, как жертва осознала происходящее, кошелёк был полностью опустошен от Solana (SOL) и других токенов. Атакующий дождался, пока жертва покинет отель, чтобы перевести SOL, переместить токены и отправить NFT на другой адрес.
Кошелёк жертвы был вторичным горячим кошельком, что ограничило ущерб, но инцидент показывает, насколько мало требуется для кражи средств пользователя: одна ненадёжная сеть, один момент невнимательности и одно подписанное разрешение. Ясманович рекомендует рассматривать все публичные сети как враждебные при поездках, избегать открытых Wi-Fi при работе с кошельками, использовать мобильный точку доступа или проверенный VPN, а проводить транзакции только с защищённых, обновлённых устройств с минимальной поверхностью атаки в браузере. Пользователям следует разделять средства между кошельками, рассматривать каждое одобрение на блокчейне как высокорисковое событие, регулярно проверять и отменять его, а также поддерживать высокий уровень физической оперативной безопасности, никогда не обсуждая свои активы или детали кошельков на публике.
