Wi-Fi công cộng và một cuộc gọi điện thoại, làm thế nào để trở thành cái bẫy hoàn hảo đánh cắp 5000 USD tài sản mã hóa?

Tác giả: The Smart Ape

Biên dịch: Deep潮 TechFlow

Tiêu đề gốc: Kết nối Wi-Fi khách sạn ba ngày liên tiếp, ví mã hóa bị trộm 5000 USD

Vài ngày trước, tôi cùng gia đình đi nghỉ cuối năm tại một khách sạn rất tốt. Sau khi rời khách sạn một ngày, ví của tôi đã bị rút sạch hoàn toàn. Tôi không hiểu chuyện gì xảy ra, vì tôi không nhấp vào bất kỳ liên kết lừa đảo nào cũng không ký bất kỳ giao dịch độc hại nào.

Sau nhiều giờ điều tra và nhờ các chuyên gia giúp đỡ, cuối cùng tôi đã hiểu rõ sự thật. Tất cả đều do Wi-Fi của khách sạn, một cuộc gọi ngắn và một chuỗi những sai lầm ngu ngốc.

Và giống như hầu hết các người yêu thích tiền mã hóa, tôi luôn mang theo laptop, nghĩ rằng trong kỳ nghỉ cùng gia đình tôi vẫn có thể tranh thủ làm việc. Vợ tôi nhiều lần nhấn mạnh rằng tôi đừng làm việc trong ba ngày này, và tôi thực sự nên nghe lời cô ấy.

Giống như các khách thuê khác, tôi đã kết nối Wi-Fi của khách sạn. Mạng này không yêu cầu mật khẩu, chỉ cần qua một trang xác thực (captive portal) là có thể đăng nhập.

Tôi làm việc trong khách sạn như thường lệ, không thực hiện bất kỳ thao tác mạo hiểm nào: không tạo ví mới, không nhấp vào liên kết lạ, cũng không truy cập các ứng dụng phi tập trung (dApps) đáng ngờ. Tôi chỉ xem qua X (Twitter), số dư của mình, Discord và Telegram.

Trong một khoảnh khắc, tôi nhận cuộc gọi từ một người bạn trong cộng đồng tiền mã hóa, chúng tôi nói chuyện về thị trường, Bitcoin và các chủ đề liên quan đến tiền mã hóa. Nhưng điều tôi không biết là, có người đang nghe lén cuộc trò chuyện của chúng tôi và nhận ra tôi đang làm việc liên quan đến tiền mã hóa. Đây là sai lầm đầu tiên của tôi. Đối phương đã biết tôi đang sử dụng ví Phantom, và tôi là một người dùng có số lượng lớn.

Điều này khiến hắn nhắm mục tiêu vào tôi.

Trong mạng Wi-Fi công cộng, tất cả các thiết bị đều chia sẻ cùng một mạng, thực tế khả năng nhìn thấy nhau còn cao hơn bạn nghĩ. Người dùng gần như không có biện pháp bảo vệ thực sự nào, điều này tạo điều kiện cho các cuộc tấn công “Man-in-the-Middle” (tấn công trung gian). Kẻ tấn công giống như một trung gian, lặng lẽ chèn vào giữa bạn và internet, giống như ai đó đọc và sửa đổi nội dung thư của bạn trước khi gửi đi.

Khi tôi duyệt web qua Wi-Fi khách sạn, có một trang web trông bình thường, tải đúng như mong đợi, nhưng thực tế phía sau trang đó đã bị chèn mã độc hại. Lúc đó tôi không nhận thấy bất kỳ dấu hiệu bất thường nào. Nếu tôi cài đặt các công cụ bảo mật, có thể đã phát hiện ra vấn đề này, nhưng tiếc là tôi đã không làm vậy.

Thông thường, các trang web có thể yêu cầu ví của bạn ký một số thao tác. Ví Phantom sẽ hiển thị một cửa sổ, bạn có thể chọn chấp thuận hoặc từ chối. Thông thường, bạn sẽ yên tâm ký vì tin tưởng vào trang web và trình duyệt của mình. Tuy nhiên, ngày hôm đó tôi không nên làm như vậy.

Trong khi tôi thực hiện giao dịch đổi token trên nền tảng @JupiterExchange, mã độc đã kích hoạt một yêu cầu từ ví, thay thế cho thao tác đổi bình thường của tôi. Tôi có thể phát hiện ra đây là yêu cầu độc hại nếu kiểm tra kỹ chi tiết giao dịch, nhưng vì tôi đã thực hiện đổi trên nền tảng Jupiter rồi, nên hoàn toàn không nghi ngờ gì.

Hôm đó tôi không ký bất kỳ giao dịch chuyển tiền nào, chỉ ký một giấy phép ủy quyền. Chính điều này đã dẫn đến việc tài sản của tôi bị trộm sau vài ngày.

Mã độc không trực tiếp yêu cầu tôi gửi SOL (Solana), vì như vậy sẽ quá rõ ràng. Thay vào đó, nó yêu cầu tôi “ủy quyền truy cập”, “phê duyệt tài khoản” hoặc “xác nhận phiên”. Nói đơn giản, tôi đã cấp quyền cho một địa chỉ khác thao tác thay tôi.

Tôi đã chấp thuận vì nghĩ rằng điều này liên quan đến thao tác của tôi trên Jupiter. Thông báo của ví Phantom lúc đó trông rất kỹ thuật, không hiển thị số tiền, cũng không nhắc nhở chuyển khoản ngay lập tức.

Và đó chính là tất cả những gì kẻ tấn công cần. Hắn kiên nhẫn chờ đợi cho đến khi tôi rời khách sạn, rồi bắt đầu hành động. Hắn đã chuyển SOL của tôi đi, rút token của tôi và chuyển NFT của tôi sang một địa chỉ khác.

Tôi chưa từng nghĩ rằng chuyện như vậy sẽ xảy ra với mình. May mắn là đó không phải ví chính của tôi, mà là một ví nóng dùng cho các thao tác nhất định, không phải để giữ tài sản lâu dài. Nhưng dù sao, tôi vẫn mắc nhiều sai lầm và cho rằng mình chịu trách nhiệm chính.

Trước hết, tôi tuyệt đối không nên kết nối Wi-Fi công cộng của khách sạn. Tôi lẽ ra nên dùng hotspot của điện thoại để truy cập internet.

Sai lầm thứ hai của tôi là nói chuyện về tiền mã hóa trong khu vực công cộng của khách sạn, khiến nhiều người có thể nghe thấy cuộc trò chuyện của chúng tôi. Bố tôi từng dặn tôi, đừng bao giờ để người khác biết bạn làm việc liên quan đến tiền mã hóa. Lần này còn may, có người vì tài sản mã hóa mà còn bị bắt cóc hoặc gặp chuyện tồi tệ hơn.

Một sai lầm khác là tôi đã chấp thuận yêu cầu ví mà không chú ý đầy đủ. Vì tôi tin rằng yêu cầu này đến từ Jupiter, nên không phân tích kỹ. Thực tế, mỗi yêu cầu từ ví đều cần được xem xét cẩn thận, ngay cả khi đến từ ứng dụng bạn tin tưởng. Yêu cầu có thể bị chặn, và thực tế không phải đến từ ứng dụng bạn nghĩ.

Cuối cùng, tôi đã mất khoảng 5000 USD từ một ví phụ. Dù chưa phải là tình huống nghiêm trọng nhất, nhưng vẫn khiến tôi rất thất vọng.