Мой криптокошелек опустел после трех дней, проведенных на Wi-Fi в отеле

Оригинальная компиляция: TechFlow

Несколько дней назад я вместе с семьей отправился в очень хороший отель, чтобы отпраздновать окончание года. Через день после отъезда из отеля мой кошелек был полностью опустошен. Я был в полном замешательстве, потому что не переходил по фишинговым ссылкам и не подписывал никаких вредоносных транзакций.

После нескольких часов расследования и обращения за помощью к экспертам я наконец понял правду. Оказалось, что все дело в сети Wi-Fi отеля, коротком телефонном звонке и ряде глупых ошибок.

Как и большинство криптовалютаЭнтузиасты валютного дела, я взял с собой ноутбук, думая, что смогу немного поработать во время семейного отпуска. Моя жена неоднократно настаивала на том, чтобы я не работал в течение этих трех дней. Мне действительно стоило прислушаться к ней.

Как и другие гости, я подключился к сети Wi-Fi отеля. Эта сеть не требовала пароля, достаточно было войти в нее через портал захвата.

В отеле я работал как обычно, не делая ничего рискованного: не создавал новых кошельков, не переходил по странным ссылкам и не посещал подозрительные децентрализованные приложения (dApps). Я просто проверял X (Twitter), свои балансы, Discord, Telegram и тому подобное.

В какой-то момент мне позвонил друг, работающий в криптовалютной сфере. Мы болтали о состоянии рынка, биткойне и других криптовалютных темах. Я не знал, что кто-то поблизости подслушивает наш разговор и понимает, что я связан с криптовалютами. Это была моя первая ошибка. Из нашего разговора подслушивающий узнал, что я использую кошелек Phantom и что я являюсь пользователем со значительным холдингом.

Это сделало меня его мишенью.

В публичных сетях Wi-Fi все устройства используют одну и ту же сеть, и видимость между устройствами на самом деле выше, чем вы могли бы подумать. Между пользователями практически нет реальной защиты, что создает возможность для атаки "человек посередине". Злоумышленник выступает в роли посредника, незаметно вставляя себя между вами и Интернетом, подобно тому, как кто-то тайно читает и изменяет вашу почту перед ее доставкой.

Когда я просматривал веб-страницы по Wi-Fi в отеле, один из сайтов загрузился нормально, но на самом деле за страницей был внедрен дополнительный вредоносный код. В тот момент я не заметил ничего необычного. Если бы я установил некоторые инструменты безопасности, то смог бы обнаружить эти проблемы, но, к сожалению, я этого не сделал.

Обычно веб-сайт запрашивает у вашего кошелька подписание определенных операций. Кошелек Phantom выдает окно, и вы можете выбрать, одобрить или отклонить запрос. Как правило, вы уверенно подписываете его, потому что доверяете сайту и браузеру. Однако в тот день мне не следовало этого делать.

Как раз в тот момент, когда я выполнял операцию по замене токенов на @JupiterОбмен платформы, вредоносный код вызвал запрос кошелька, который заменил мою обычную операцию подкачки. Я мог бы обнаружить, что это вредоносный запрос, тщательно проверив детали транзакции, но поскольку я уже выполнял своп на Jupiter, я ничего не заподозрил.

В тот день я не подписывал никакой операции по переводу средств, вместо этого я подписал авторизацию. Именно по этой причине через несколько дней мои активы были украдены.

Вредоносный код не просил меня напрямую отправить SOL (Solana), поскольку это было бы слишком очевидно. Вместо этого он просил меня “разрешить доступ”, “одобрить учетную запись” или “подтвердить сеанс”. Проще говоря, я давал разрешение другому адресу действовать от моего имени.

Я одобрил его, потому что ошибочно решил, что он связан с моей операцией на Юпитере. Сообщение, появившееся в тот момент в кошельке Phantom, выглядело очень технично, не показывало суммы и не указывало на немедленный перевод.

И это было все, что требовалось нападавшему. Он терпеливо ждал, пока я покину отель, прежде чем начать действовать. Он перевел мой SOL, снял мои жетоны и переместил мой NFTs на другой адрес.

Я никогда не думал, что со мной может произойти нечто подобное. К счастью, это был не мой основной кошелек, а горячий кошелек, используемый для конкретных операций, а не для долгосрочного хранения активов. Но, несмотря на это, я совершил множество ошибок, и считаю, что несу за это основную ответственность.

Во-первых, мне не следовало подключаться к общественному Wi-Fi в отеле. Я должен был использовать точку доступа к Интернету на своем телефоне.

Второй моей ошибкой было то, что я заговорил о криптовалюте в общественном месте отеля, где многие могли подслушать наш разговор. Мой отец однажды предупредил меня, что никогда не стоит сообщать окружающим, что вы занимаетесь криптовалютой. В этот раз мне повезло; некоторым людям из-за их криптовалютных активов грозило похищение или что-то еще похуже.

Еще одной ошибкой было одобрение запроса на кошелек без должного внимания. Поскольку я был уверен, что запрос поступил от Юпитера, я не стал его тщательно анализировать. На самом деле, каждый запрос кошелька должен быть тщательно проверен, даже в приложениях, которым вы доверяете. Запросы могут быть перехвачены, и на самом деле они могут исходить не от того приложения, о котором вы думаете.

В итоге я потерял около $5 000 со вторичного кошелька. Хотя это и не самый худший сценарий, но все равно невероятно обидно.

Эта статья взята из интернета: Мой криптокошелек опустел после трех дней, проведенных на Wi-Fi в отеле

Похожие: Быстрый взгляд на новые механизмы запуска виртуальных существ: Pegasus, Unicorn и Titan

Оригинальная подборка: TechFlow Одной модели запуска больше не достаточно Virtuals Protocol был создан для поддержки разработчиков, а не для того, чтобы ограничить их одним путем. По мере развития рынка агентов меняется и наш механизм запуска. В 2024 году мы сосредоточились на проверке целесообразности самого рынка агентов. Ранние прототипы запуска ставили во главу угла скорость и эксперименты, стремясь проверить, могут ли агенты существовать в цепи, быть публично торгуемыми и начать координировать реальную экономическую ценность. Целью этого этапа была не оптимизация, а исследование. К 2025 году акцент сместился на “справедливый доступ”. Для обеспечения масштабной справедливости мы внедрили модель Genesis, позволяющую каждому участвовать в проекте за счет вклада, а не капитала. Эта модель успешно демократизировала запуски и обеспечила прозрачность. Однако со временем стали очевидны ее недостатки: справедливость сама по себе не создает...