Kết nối Wi-Fi khách sạn ba ngày liên tiếp, ví mã hóa bị đánh cắp 5000 USD

Tác giả: The Smart Ape

Biên dịch: Deep潮 TechFlow

Vài ngày trước, tôi cùng gia đình đi nghỉ cuối năm tại một khách sạn rất tốt. Sau một ngày rời khỏi khách sạn, ví của tôi đã bị rút sạch hoàn toàn. Tôi không hiểu chuyện gì xảy ra, vì tôi không nhấp vào bất kỳ liên kết lừa đảo nào cũng không ký bất kỳ giao dịch độc hại nào.

Sau nhiều giờ điều tra và nhờ sự giúp đỡ của các chuyên gia, cuối cùng tôi đã hiểu rõ sự thật. Tất cả đều do Wi-Fi của khách sạn, một cuộc gọi ngắn và một chuỗi những sai lầm ngu ngốc gây ra.

Và giống như hầu hết các người yêu thích tiền điện tử, tôi luôn mang theo laptop, nghĩ rằng trong kỳ nghỉ cùng gia đình tôi vẫn có thể tranh thủ làm việc. Vợ tôi nhiều lần nhấn mạnh rằng tôi đừng làm việc trong ba ngày này, và tôi thực sự nên nghe lời cô ấy.

Giống như các khách khác, tôi đã kết nối Wi-Fi của khách sạn. Mạng này không yêu cầu mật khẩu, chỉ cần qua một trang xác thực (captive portal) là có thể đăng nhập.

Tôi vẫn làm việc như bình thường trong khách sạn, không thực hiện bất kỳ thao tác mạo hiểm nào: không tạo ví mới, không nhấp vào các liên kết lạ, cũng không truy cập các ứng dụng phi tập trung (dApps) đáng ngờ. Tôi chỉ xem qua X (Twitter), số dư của mình, Discord và Telegram.

Trong một khoảnh khắc, tôi nhận cuộc gọi từ một người bạn trong cộng đồng tiền điện tử, chúng tôi nói chuyện về thị trường, Bitcoin và các chủ đề liên quan đến tiền mã hóa. Nhưng điều tôi không biết là, có người đang nghe lén cuộc trò chuyện của chúng tôi và nhận ra tôi đang làm việc liên quan đến tiền điện tử. Đó là lỗi đầu tiên của tôi. Đối phương đã biết tôi đang sử dụng ví Phantom, và tôi là một người dùng có số lượng nắm giữ khá lớn.

Điều này khiến hắn ta nhắm mục tiêu vào tôi.

Trong mạng Wi-Fi công cộng, tất cả các thiết bị đều chia sẻ cùng một mạng, thực tế khả năng nhìn thấy giữa các thiết bị còn cao hơn bạn nghĩ. Gần như không có biện pháp bảo vệ thực sự nào giữa các người dùng, điều này tạo điều kiện cho các cuộc tấn công “Man-in-the-Middle” (tấn công trung gian). Kẻ tấn công giống như một trung gian, lặng lẽ chèn vào giữa bạn và internet, giống như ai đó đọc và sửa đổi nội dung thư của bạn trước khi gửi đi.

Khi tôi duyệt web qua Wi-Fi của khách sạn, một trang web trông có vẻ tải bình thường, nhưng thực tế phía sau trang đó đã bị chèn mã độc hại. Lúc đó tôi không nhận thấy điều gì bất thường. Nếu tôi cài đặt các công cụ bảo mật, có thể đã phát hiện ra vấn đề này, nhưng tiếc là tôi đã không làm vậy.

Thông thường, các trang web có thể yêu cầu ví của bạn ký một số thao tác. Ví Phantom sẽ hiển thị một cửa sổ, bạn có thể chọn chấp thuận hoặc từ chối. Thông thường, bạn sẽ yên tâm ký vì tin tưởng vào trang web và trình duyệt của mình. Tuy nhiên, ngày hôm đó tôi không nên làm vậy.

Trong khi tôi thực hiện giao dịch đổi token trên nền tảng @JupiterExchange, mã độc đã kích hoạt một yêu cầu từ ví, thay thế cho thao tác đổi bình thường của tôi. Tôi hoàn toàn có thể phát hiện ra đây là yêu cầu độc hại nếu kiểm tra kỹ chi tiết giao dịch, nhưng vì tôi đã thực hiện đổi trên nền tảng Jupiter rồi, nên không nghi ngờ gì.

Ngày hôm đó, tôi không ký bất kỳ giao dịch chuyển tiền nào, chỉ ký một giấy phép ủy quyền. Chính điều này đã dẫn đến việc tài sản của tôi bị đánh cắp sau vài ngày.

Mã độc không trực tiếp yêu cầu tôi gửi SOL (Solana), vì như vậy sẽ quá rõ ràng. Thay vào đó, nó yêu cầu tôi “ủy quyền truy cập”, “phê duyệt tài khoản” hoặc “xác nhận phiên”. Nói đơn giản, tôi đã cấp quyền cho một địa chỉ khác thao tác thay tôi.

Tôi đã chấp thuận vì nghĩ rằng điều này liên quan đến thao tác của tôi trên Jupiter. Thông báo của ví Phantom lúc đó trông rất kỹ thuật, không hiển thị số tiền, cũng không yêu cầu chuyển khoản ngay lập tức.

Và đó chính là tất cả những gì kẻ tấn công cần. Hắn ta kiên nhẫn chờ đợi, cho đến khi tôi rời khách sạn mới bắt đầu hành động. Hắn đã chuyển SOL của tôi đi, rút token của tôi và chuyển NFT của tôi sang một địa chỉ khác.

Tôi chưa từng nghĩ rằng chuyện này sẽ xảy ra với mình. May mắn là đó không phải ví chính của tôi, mà là ví nóng dùng cho các thao tác nhất định, không phải để giữ tài sản lâu dài. Nhưng dù sao, tôi vẫn mắc nhiều sai lầm và tôi cho rằng mình chịu trách nhiệm chính về điều đó.

Trước hết, tôi không nên kết nối Wi-Fi công cộng của khách sạn. Tôi đáng ra phải dùng hotspot của điện thoại để truy cập internet.

Sai lầm thứ hai của tôi là nói chuyện về tiền điện tử trong khu vực công cộng của khách sạn, khiến nhiều người có thể nghe thấy cuộc trò chuyện của chúng tôi. Bố tôi từng dặn tôi, đừng bao giờ để người khác biết bạn làm việc liên quan đến tiền mã hóa. Lần này may mắn, có người còn bị bắt cóc hoặc gặp chuyện tồi tệ hơn vì liên quan đến tài sản mã hóa.

Một sai lầm nữa là tôi đã chấp thuận yêu cầu ví mà không chú ý đầy đủ. Vì tôi tin rằng yêu cầu này đến từ Jupiter, nên tôi không phân tích kỹ. Thực tế, mỗi yêu cầu từ ví đều cần được xem xét cẩn thận, kể cả khi đến từ các ứng dụng tôi tin tưởng. Yêu cầu có thể bị chặn, và thực tế không phải đến từ ứng dụng tôi nghĩ.

Cuối cùng, tôi đã mất khoảng 5000 USD từ một ví phụ. Dù chưa phải là tình huống nghiêm trọng nhất, nhưng vẫn khiến tôi rất thất vọng.