Un utente di criptovalute noto come The Smart Ape afferma di aver perso circa 5.000 dollari da un portafoglio caldo dopo aver trascorso tre giorni in un hotel, non perché abbia cliccato su un link phishing, ma perché ha commesso una serie di "errori stupidi", tra cui l'utilizzo di una rete WiFi aperta, rispondere a una chiamata al piano terra e approvare ciò che sembrava una richiesta ordinaria del portafoglio.
L'incidente, analizzato dall'azienda di sicurezza Hacken per Cointelegraph, mostra come gli attaccanti possano combinare trucchi a livello di rete con segnali sociali e punti deboli nell'esperienza utente del portafoglio per svuotare i fondi diversi giorni dopo che una vittima ha firmato un messaggio apparentemente innocuo.
Come il WiFi degli hotel è diventato una minaccia
Secondo il racconto della vittima, l'attacco è iniziato quando si è collegato al WiFi aperto dell'hotel, un portale cattivo senza password, e ha iniziato a "lavorare come al solito, niente di rischioso, solo scansionare Discord e X, e controllare i saldi."
Come il WiFi dell'hotel ha cancellato un portafoglio. Fonte: The Smart Ape
Ciò che non sapeva era che sui network aperti, tutti gli ospiti condividono effettivamente lo stesso ambiente locale.
Dmytro Yasmanovych, responsabile di conformità alla sicurezza di Hacken, ha detto a Cointelegraph: «Gli attaccanti possono sfruttare l'ingegneria sociale dell'ARP (ARP spoofing), la manipolazione del DNS o punti di accesso falsi per inserire JavaScript malevolo in siti web altrimenti legittimi. Anche se l'interfaccia utente DeFi è fidata, il contesto di esecuzione potrebbe non esserlo più.»
Quando parlare di cripto ti pone come bersaglio
L'attaccante ha rapidamente scoperto che l'utente era "coinvolto nel cripto" dopo aver ascoltato una conversazione telefonica nel salone dell'hotel in cui discuteva dei suoi possedimenti. Questa informazione ha restringito il bersaglio e ha suggerito lo stack di portafoglio probabile (in questo caso, Phantom su Solana).
L'esposizione nel mondo fisico del tuo profilo crittografico è un rischio da tempo noto. L'ingegnere Bitcoin e esperto di sicurezza Jameson Lopp ha ripetutamente sostenuto che parlare apertamente di cripto o ostentare ricchezza è una delle cose più rischiose che tu possa fare.
«Gli attacchi informatici non iniziano mai dalla tastiera», ha avvertito Yasmanovych. «Spesso iniziano con l'osservazione. Le conversazioni pubbliche sui possedimenti crittografici possono fungere da ricognizione, aiutando gli attaccanti a scegliere gli strumenti, i portafogli e il momento giusto.»
Come un singolo approvazione ha svuotato il portafoglio
Il momento chiave è avvenuto quando l'utente ha firmato ciò che pensava fosse una transazione normale. Durante uno scambio su un front-end DeFi legittimo, il codice iniettato ha sostituito o incapsulato una richiesta del portafoglio che chiedeva un'autorizzazione invece di un trasferimento di token.
Yasmanovych ha notato che questo schema si inquadra in una categoria più ampia e sempre più comune di attacchi noti come abuso di approvazione. «L'attaccante non ruba le chiavi o preleva i fondi immediatamente. Invece, ottiene autorizzazioni permanenti, poi aspetta, a volte giorni o settimane, prima di eseguire il trasferimento effettivo.»
Al momento in cui la vittima se ne è accorta, il portafoglio era stato svuotato di Solana (SOL) e di altri token.
«A quel punto, l'attaccante aveva tutto ciò che gli serviva. Ha aspettato finché non sono uscito dall'hotel per trasferire il mio SOL, spostare i miei token e inviare i miei NFT a un altro indirizzo.»
Il portafoglio della vittima era un portafoglio caldo secondario, quindi i danni sono stati limitati, ma la sequenza mette in luce quanto poco sia richiesto per rubare i fondi degli utenti: una rete non fidata, un momento di distrazione e un'autorizzazione firmata.
Yasmanovych ha raccomandato di trattare tutti i network pubblici come ostili durante i viaggi. Evitare il WiFi aperto per le interazioni con il portafoglio, utilizzare un hotspot mobile o un VPN affidabile, e effettuare transazioni solo da dispositivi protetti, aggiornati e con una superficie di attacco del browser ridotta al minimo.
Gli utenti dovrebbero anche suddividere i fondi tra portafogli, trattare ogni approvazione on-chain come un evento ad alto rischio da revisionare e revocare regolarmente, e mantenere una forte sicurezza operativa fisica evitando di discutere di possedimenti o dettagli del portafoglio in pubblico.
