「我不應該連接酒店的公共 WiFi,而是應該使用手機熱點。」
作者:The Smart Ape
編譯:Luffy,Foresight News
幾天前,我和家人去一家高檔酒店住了三天,慶祝年末假期。可就在退房後的第二天,我的加密貨幣錢包就被洗劫一空。我完全摸不著頭腦,我既沒點擊任何釣魚鏈接,也沒簽署過任何惡意交易。
我花了好幾個小時調查,還專門聘請了專家幫忙,終於弄清楚了被盜的全過程。這一切的起因,竟然是酒店的公共 WiFi、一通短暫的電話,再加上我犯下的一連串愚蠢錯誤。
和大多數加密貨幣愛好者一樣,就算是陪家人住酒店,我也隨身帶了筆記本電腦,想著抽空處理點工作。妻子當時再三叮囑,讓我這三天徹底放下工作,現在想來,我真該聽她的話。
於是,我和其他人一樣,連接了酒店的公共 WiFi。這個網絡無需密碼,只要通過一個強制認證門戶就能接入。
我像往常一樣處理工作,沒做任何有風險的操作:既沒創建新錢包,也沒點開陌生鏈接,更沒使用可疑的去中心化應用(dApp),不過是刷刷社交平臺 X、查看錢包餘額、逛逛 Discord 和 Telegram 之類的。
就在這時,我接到了一位加密貨幣領域朋友的電話。我們聊了聊市場行情、比特幣,還有加密貨幣行業的一些近況。
可我萬萬沒想到,附近有人正竊聽著我們的對話,並且立刻意識到我是加密貨幣從業者。這就是我犯下的第一個錯誤。這個人不僅聽出我用的是 Phantom 錢包,還判斷出我持有相當可觀的代幣。
也正因如此,我成了他的目標。
公共 WiFi 的特點是所有設備共享同一網絡,設備之間的可見程度遠超你的想象,用戶彼此之間毫無真正的安全隔離可言。這就給了黑客可乘之機,讓他們得以發起中間人攻擊。這種攻擊模式下,黑客會潛伏在你和互聯網之間,就像有人在信件送達你手中前,偷偷拆開閱讀、篡改內容一樣。
我在酒店 WiFi 環境下瀏覽網頁時,有一個網站表面上加載正常,背地裡卻被植入了惡意代碼。我當時毫無察覺,如果我事先安裝了某些安全工具,或許能發現異常,但我並沒有。
正常情況下,部分網站會請求用戶用錢包簽署一些內容,這時 Phantom 錢包會彈出提示窗口,由用戶確認批准或拒絕。通常來說,用戶會基於對網站和瀏覽器的信任,直接確認授權。但那天,我真不該這麼做。
當時我正在去中心化交易平臺 Jupiter Exchange 上進行代幣兌換操作,而惡意代碼卻趁機篡改流程,彈出了一個錢包授權請求,而非我原本要執行的兌換指令。其實,我本可以通過仔細核對交易詳情,發現這是個惡意請求,但因為我確實正在 Jupiter 平臺操作,便沒有產生任何懷疑。
那天我簽署的,根本不是一筆劃轉資產的交易,而是一份權限授權協議。
這也是為什麼錢包被盜的事情,會發生在幾天之後。
那個惡意代碼很狡猾,它沒有直接要求我劃轉平臺幣 SOL,那樣做實在太顯眼了。它彈出的請求是「授權訪問」「批准賬戶權限」或是「確認會話」這類模糊的表述。
說白了,我相當於授權了另一個陌生地址,代表我對錢包進行操作。
我之所以批准了這個請求,是因為我以為這是 Jupiter 平臺正常操作所需的步驟。當時 Phantom 錢包彈出的提示全是技術術語,既沒有顯示任何轉賬金額,也沒有提示這是一筆即時轉賬。
至此,黑客已經掌握了盜走我資產所需的一切條件。他一直等到我離開酒店,才動手轉走我錢包裡的 SOL、各類代幣,還有所有的非同質化代幣(NFT)。
我從來沒想過這種事會發生在自己身上。幸好,這個錢包不是我的主錢包,只是一個用於日常操作的熱錢包,並非長期囤幣的錢包。儘管如此,我還是犯了很多錯誤,我認為主要責任在我。
第一,我不應該連接酒店的公共 WiFi,當時就該用手機的移動熱點。
第二,我錯在過於放鬆警惕,居然在酒店這種公共場所談論加密貨幣,完全沒考慮到身邊可能有人聽到。我父親一直告誡我,千萬別讓外人知道你涉足加密貨幣領域。這件事的後果本可能更嚴重,現實中,有些人會因為持有加密貨幣而遭到綁架,甚至謀殺。
另一個致命錯誤,就是我在沒有仔細核對的情況下,就批准了那個錢包授權請求。正因為我認定這個請求來自 Jupiter 平臺,才沒有認真分析它的具體內容。在此提醒大家:無論在什麼應用上,面對任何錢包授權請求,都必須打起十二分精神仔細核查。這些請求很可能被黑客攔截篡改,其發起方並非你所認為的那個應用。
最後,我的這個錢包損失了大約 5000 美元。雖說情況本可能更糟,但這件事還是讓我懊惱不已。
免責聲明:作為區塊鏈信息平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
歡迎加入 Web3Caff 官方社群:X(Twitter)賬號丨Web3Caff Research X(Twitter)賬號丨微信讀者群丨微信公眾號
