Ein Kryptobenutzer namens The Smart Ape sagt, er habe etwa 5.000 US-Dollar aus einer Hot-Wallet verloren, nachdem er drei Tage in einem Hotel verbracht hatte, nicht weil er auf einen Phishing-Link geklickt hatte, sondern weil er eine Reihe von "dummen Fehlern" begangen hatte, darunter die Nutzung eines offenen WLAN-Netzwerks, ein Telefonat im Foyer und die Genehmigung einer anscheinend routinemäßigen Wallet-Anfrage.
Der Vorfall, analysiert von der Sicherheitsfirma Hacken für Cointelegraph, zeigt, wie Angreifer Netzwerktricks mit sozialen Hinweisen und UX-Lücken in Wallets kombinieren können, um Tage nach der Unterschrift einer scheinbar harmlosen Nachricht Gelder zu leeren.
Wie das Hotel-WiFi zu einer Bedrohung wurde
Laut der Darstellung des Opfers begann der Angriff, als er seinen Laptop mit dem offenen WLAN des Hotels verband, einem Captive Portal ohne Passwort, und „normal arbeitete, nichts Risikoreiches, einfach Discord und X durchsuchte und die Kontostände überprüfte.“
Wie Hotel-WiFi eine Wallet geleert hat. Quelle: The Smart Ape
Was er nicht wusste, war, dass auf offenen Netzwerken alle Gäste im Grunde die gleiche lokale Umgebung teilen.
Dmytro Yasmanovych, Cybersecurity-Compliance-Lead bei Hacken, sagte gegenüber Cointelegraph: „Angreifer können das Address Resolution Protocol (ARP) Spoofing, die Manipulation des Domain Name System (DNS) oder manipulierte Zugangspunkte nutzen, um schädlichen JavaScript-Code in ansonsten legitime Websites einzuschleusen. Selbst wenn die DeFi-Oberfläche selbst vertrauenswürdig ist, kann der Ausführungskontext nicht mehr sicher sein.“
Wenn man über Kryptowährungen spricht, zeichnet man ein Ziel
Der Angreifer fand schnell heraus, dass der Nutzer „in Kryptowährungen involviert war“, nachdem er dessen Besprechung über seine Haltungen in einem Telefonat im Hotellobi mitgehört hatte. Diese Information schränkte das Ziel ein und deutete auf die wahrscheinliche Wallet-Stack (in diesem Fall Phantom auf Solana) hin.
Die physische Offenlegung Ihres Kryptoprofils ist ein lang bestehendes Risiko. Der Bitcoin-Entwickler und Sicherheitsexperte Jameson Lopp argumentierte wiederholt, dass das öffentliche Reden über Kryptowährungen oder das Prunkeln mit Reichtum eine der riskantesten Dinge ist, die man tun kann.
„Cyberangriffe beginnen nicht am Keyboard“, warnte Yasmanovych. „Sie beginnen oft mit Beobachtung. Öffentliche Gespräche über Kryptowertpapiere können als Rekognoszierung dienen und Angreifern helfen, die richtigen Werkzeuge, Wallets und den richtigen Zeitpunkt zu wählen.“
Wie eine einzige Genehmigung die Wallet leerte
Der entscheidende Moment kam, als der Nutzer glaubte, eine normale Transaktion zu unterschreiben. Beim Austausch über eine legitime dezentrale Finanz-Plattform (DeFi) ersetzte oder schaltete der eingefügte Code eine Wallet-Anfrage, die um Erlaubnis bat, anstatt um eine Token-Übertragung.
Yasmanovych stellte fest, dass dieses Muster einer breiteren und zunehmend häufiger auftretenden Klasse von Angriffen entspricht, die als Genehmigungsmissbrauch bekannt sind. „Der Angreifer stiehlt keine Schlüssel oder leert sofort die Gelder. Stattdessen beschafft er dauerhafte Berechtigungen und wartet, manchmal Tage oder Wochen, bevor er die eigentliche Übertragung ausführt.“
Zu dem Zeitpunkt, als das Opfer es bemerkte, war die Wallet leer, sowohl in Solana (SOL) als auch in anderen Token.
„Zu diesem Zeitpunkt hatte der Angreifer alles, was er brauchte. Er wartete, bis ich das Hotel verließ, um meine SOL zu übertragen, meine Token zu verschieben und meine NFTs an eine andere Adresse zu senden.“
Die Wallet des Opfers war eine sekundäre Hot-Wallet, daher war der Schaden begrenzt, aber die Abfolge zeigt, wie wenig benötigt wird, um Benutzerfonds zu stehlen: ein nicht vertrauenswürdiges Netzwerk, ein Moment der Unaufmerksamkeit und eine signierte Genehmigung.
Yasmanovych empfahl, alle öffentlichen Netzwerke beim Reisen als feindlich zu betrachten. Vermeiden Sie offenes WLAN für Wallet-Interaktionen, nutzen Sie stattdessen einen mobilen Hotspot oder einen vertrauenswürdigen VPN und führen Sie Transaktionen nur von gehärteten, aktuell aktualisierten Geräten mit minimalem Browser-Angriffsfläche durch.
Benutzer sollten auch Gelder über mehrere Wallets verteilen, jede Onchain-Approvals als ein Hochrisikoereignis betrachten, das regelmäßig überprüft und widerrufen werden muss, und durch strikte physische operative Sicherheit dafür sorgen, dass Haltungen oder Wallet-Details niemals öffentlich besprochen werden.
