一位 криптовалютний фахівець зупинився у розкішному готелі для святкування, але через підключення до публічного WiFi і обговорення криптовалют у громадському місці став жертвою атаки посередника, яка в результаті призвела до втрати 5000 доларів.
（Передісторія: Північнокорейські хакери 2025 року встановили рекорд, викравши 2,02 мільярди доларів у криптовалютах, цикл відмивання коштів тривав близько 45 днів）
（Додатковий контекст: Вкрадено 120 000 BTC》Хакери з парою з Bitfinex вже звільнилися раніше: дякуємо Трампу, щасливого Нового року）

Зміст статті

• Атака посередника у публічному WiFi
• Маскування під звичайний запит авторизації
• Підписано не переказ, а дозвіл на доступ
• Помилки та уроки, які я виніс

«Я не повинен був підключатися до публічного WiFi у готелі, краще було б використовувати мобільний хот-спот.»

Кілька днів тому я з родиною зупинився у розкішному готелі на три дні, щоб відсвяткувати новорічні свята. Але вже на другий день після виселення мій криптогаманець був пограбований. Я зовсім не розумів, що трапилося: я не натискав на фішингові посилання і не підписував жодних підозрілих транзакцій.

Я витратив кілька годин на розслідування і навіть найняв експертів, щоб з’ясувати весь процес крадіжки. Все почалося з публічного WiFi у готелі, короткого дзвінка і серії дурних помилок з мого боку.

Як і більшість криптоентузіастів, навіть перебуваючи з родиною у готелі, я взяв з собою ноутбук, щоб у вільний час попрацювати. Моя дружина наполягала, щоб я цілком відпочив від роботи ці три дні. Тепер я розумію, що слід було прислухатися до неї.

Отже, я підключився до публічного WiFi у готелі. Ця мережа не вимагала пароля — достатньо було пройти через обов’язкову авторизацію через портал.

Я займався звичайною роботою, нічого ризикованого: не створював нові гаманці, не відкривав підозрілі посилання і не використовував сумнівні децентралізовані додатки (dApp), лише переглядав соцмережі, перевіряв баланс і заходив у Discord та Telegram.

Раптом мені зателефонував друг із криптосфери. Ми обговорювали ринкову ситуацію, Біткоїн і новини галузі.

Але я й гадки не мав, що поруч хтось підслуховує наші розмови і одразу зрозумів, що я криптовалютний фахівець. Це була моя перша помилка. Ця людина не лише визначила, що я використовую гаманець Phantom, а й зробила висновок, що я маю значний запас токенів.

Саме тому я став його ціллю.

Атака посередника у публічному WiFi

Особливість публічного WiFi у тому, що всі пристрої підключені до однієї мережі, і між ними рівень видимості набагато вищий, ніж здається. Користувачі фактично не мають справжнього ізоляційного захисту один від одного. Це створює ідеальні умови для хакерів, щоб вони могли здійснювати атаки посередника. У такій атаці зловмисник залишається у проміжку між вами і мережею, наче хтось читає і змінює листування перед тим, як воно потрапить до вас.

Коли я переглядав веб-сторінки у готельному WiFi, один сайт, здавалося б, завантажувався нормально, але насправді у нього був вставлений шкідливий код. Я цього не помітив. Якби я заздалегідь встановив якісь засоби безпеки, можливо, міг би виявити аномалію, але я цього не зробив.

Маскування під звичайний запит авторизації

Зазвичай деякі сайти запитують у користувачів підписати щось у гаманці, і тоді гаманець Phantom показує спливаюче вікно з підтвердженням. Зазвичай користувачі довіряють сайту і браузеру і підтверджують дозвіл без зайвих сумнівів. Але того дня я не мав робити так.

Я був на платформі Jupiter Exchange для обміну токенів, і шкідливий код скористався цим моментом, щоб підмінити процес і показати запит авторизації у гаманці, а не ту операцію, яку я планував. Мені було б досить уважно перевірити деталі транзакції і помітити, що це підробка, але я був у процесі роботи на платформі Jupiter і не запідозрив нічого.

Підписано не переказ, а дозвіл на доступ

Того дня я підписав не транзакцію переказу активів, а угоду про дозвіл на доступ. Саме тому через кілька днів мій гаманець був зламаний.

Шкідливий код був дуже хитрим: він не просив безпосередньо переказати SOL або інші токени — це було б занадто очевидно. Запит був розмитим — «дозвіл на доступ», «затвердити доступ до облікового запису» або «підтвердити сесію».

По суті, я надав доступ сторонньому адресату, що дозволило йому керувати моїм гаманцем.

Я погодився на цей запит, бо думав, що це стандартна процедура для Jupiter. Спливаюче вікно у Phantom було заповнене технічними термінами, без вказівки суми переказу або будь-яких нагадувань, що це миттєва транзакція.

З цього моменту хакер отримав усі необхідні для крадіжки моїх активів умови. Він чекав, поки я залишу готель, і тоді переказав собі SOL, різні токени і всі NFT (NFT).

Помилки та уроки, які я виніс

Я ніколи не думав, що таке станеться зі мною. На щастя, цей гаманець був не основним, а тимчасовим — для щоденних операцій, а не для довгострокового зберігання. Але й помилок я зробив багато, і головна відповідальність — на мені.

По-перше, я не мав підключатися до публічного WiFi у готелі — потрібно було користуватися мобільним хот-спотом.

По-друге, я занадто розслабився і говорив про криптовалюти у громадському місці, не подумавши, що хтось може підслухати. Мій батько постійно застерігав мене: не розповідайте нікому про свою участь у криптовалютах. Наслідки могли бути набагато серйознішими: у реальності людей викрадають і вбивають через володіння криптоактивами.

Ще одна фатальна помилка — я без ретельної перевірки погодився на запит авторизації. Я був переконаний, що цей запит походить від Jupiter, тому й не аналізував його детально. Тому нагадую всім: будь-який запит на авторизацію у гаманці потрібно перевіряти дуже уважно. Зловмисники можуть перехоплювати і підробляти ці запити, і вони не обов’язково походять від справжніх додатків.

Насамкінець, мій гаманець втратив близько 5000 доларів. Хоча ситуація могла бути гіршою, ця подія дуже мене засмутила.