Wi-Fi public et un appel, comment devenir le piège parfait pour voler 5000 dollars d'actifs cryptographiques ?

Auteur : The Smart Ape

Traduction : Deep潮 TechFlow

Titre original : Enchaîné trois jours de Wi-Fi à l’hôtel, mon portefeuille cryptographique a été volé pour 5000 dollars

Il y a quelques jours, je suis allé avec ma famille dans un très bel hôtel pour passer les vacances de fin d’année. Un jour après notre départ, mon portefeuille a été complètement vidé. Je ne comprenais pas pourquoi, car je n’avais cliqué sur aucun lien de phishing ni signé aucune transaction malveillante.

Après plusieurs heures d’enquête et l’intervention d’experts, j’ai finalement compris la vérité. Tout cela était dû au Wi-Fi de l’hôtel, à un appel téléphonique bref, et à une série d’erreurs stupides.

Comme la plupart des amateurs de cryptomonnaies, je transporte mon ordinateur portable avec moi, pensant pouvoir travailler un peu pendant que je suis en vacances avec ma famille. Ma femme insistait pour que je ne travaille pas pendant ces trois jours, et j’aurais vraiment dû l’écouter.

Comme d’autres clients, je me suis connecté au Wi-Fi de l’hôtel. Ce réseau ne nécessitait pas de mot de passe, il suffisait de passer par une page de validation (captive portal) pour se connecter.

Je travaillais comme d’habitude dans l’hôtel, sans faire aucune opération risquée : je n’ai pas créé de nouveau portefeuille, je n’ai pas cliqué sur de liens étranges, ni accédé à des applications décentralisées (dApps) suspectes. Je me suis simplement connecté à X (Twitter), vérifié mon solde, Discord et Telegram.

À un moment, j’ai reçu un appel d’un ami du cercle crypto, nous avons discuté du marché, du Bitcoin et d’autres sujets liés aux cryptomonnaies. Ce que je ne savais pas, c’est que quelqu’un à proximité écoutait notre conversation et s’est rendu compte que je faisais des activités liées à la cryptomonnaie. C’était ma première erreur. La personne a appris par notre conversation que j’utilisais le portefeuille Phantom, et que j’étais un utilisateur avec une certaine quantité de fonds.

Cela lui a permis de cibler directement mon portefeuille.

Sur un réseau Wi-Fi public, tous les appareils partagent le même réseau, et en réalité, leur visibilité mutuelle est bien plus grande que ce que l’on pense. Il n’y a presque aucune protection entre les utilisateurs, ce qui ouvre la voie aux attaques de type « Man-in-the-Middle » (MITM). L’attaquant agit comme un intermédiaire, s’insérant discrètement entre vous et Internet, comme quelqu’un qui lit et modifie vos lettres avant qu’elles ne soient livrées.

Lorsque je naviguais sur le web via le Wi-Fi de l’hôtel, un site semblait se charger normalement, mais en réalité, un code malveillant avait été injecté en arrière-plan. Je n’avais pas remarqué d’anomalie à ce moment-là. Si j’avais installé des outils de sécurité, j’aurais pu détecter ces problèmes, mais malheureusement, je ne l’ai pas fait.

En général, un site peut demander à votre portefeuille de signer certaines opérations. Phantom affiche une fenêtre où vous pouvez accepter ou refuser. En général, vous faites confiance au site et à votre navigateur, et vous signez en toute confiance. Mais ce jour-là, je n’aurais pas dû le faire.

Lorsque j’effectuais une opération d’échange de tokens sur la plateforme @JupiterExchange, un code malveillant a déclenché une requête vers mon portefeuille, remplaçant mon opération normale d’échange. J’aurais pu détecter qu’il s’agissait d’une requête malveillante en vérifiant attentivement les détails de la transaction, mais comme j’avais déjà lancé l’échange sur Jupiter, je n’ai pas douté.

Ce jour-là, je n’ai pas signé de transaction transférant des fonds, mais j’ai signé une autorisation. C’est cette erreur qui a permis le vol de mes actifs quelques jours plus tard.

Le code malveillant ne m’a pas directement demandé d’envoyer des SOL (Solana), car cela aurait été trop évident. À la place, il m’a demandé d’« autoriser l’accès », « approuver le compte » ou « confirmer la session ». En termes simples, j’ai en fait donné à une autre adresse l’autorisation d’agir en mon nom.

J’ai accepté parce que je pensais que cela concernait mes opérations sur Jupiter. À ce moment-là, le message de Phantom semblait très technique, sans indiquer de montant ni demander de transfert immédiat.

Et c’est précisément ce dont l’attaquant avait besoin. Il a attendu patiemment, jusqu’à ce que je quitte l’hôtel, pour commencer son attaque. Il a transféré mes SOL, extrait mes tokens, et transféré mon NFT vers une autre adresse.

Je n’aurais jamais pensé que cela pourrait m’arriver. Heureusement, ce n’était pas mon portefeuille principal, mais un portefeuille chaud utilisé pour des opérations spécifiques, et non pour détenir des actifs à long terme. Mais malgré cela, j’ai commis plusieurs erreurs, et je pense en être principalement responsable.

Premièrement, je n’aurais jamais dû me connecter au Wi-Fi public de l’hôtel. J’aurais dû utiliser le hotspot de mon téléphone pour me connecter à Internet.

Ma deuxième erreur a été de parler de cryptomonnaies dans un espace public de l’hôtel, où beaucoup de personnes ont pu entendre notre conversation. Mon père m’avait déjà conseillé de ne jamais laisser les autres savoir que je suis impliqué dans la cryptomonnaie. Cette fois, j’ai eu de la chance, car certains ont été enlevés ou ont vécu des situations encore pires à cause de leurs actifs numériques.

Une autre erreur a été d’approuver une requête de portefeuille sans y prêter attention. Je pensais que cette requête venait de Jupiter, je ne l’ai pas analysée en détail. En réalité, chaque requête de portefeuille doit être examinée attentivement, même si elle provient d’une application de confiance. La requête peut être interceptée, et ne pas venir de l’application que vous pensez.

Finalement, j’ai perdu environ 5000 dollars depuis un portefeuille secondaire. Ce n’est pas la pire situation, mais cela reste très frustrant.