连了三天酒店 Wi-Fi，加密钱包被盗了 5000 美金

作者：The Smart Ape

编译：环球贸易网

几天前，我和家人一起去一家非常不错的酒店度过年末假期。在离开酒店一天后，我的钱包却被完全掏空了。我百思不得其解，因为我既没有点击过任何钓鱼链接，也没有签署过任何恶意交易。

经过数小时的调查，并请来专家帮忙后，我终于弄明白了事情的真相。这一切竟然是因为酒店的 Wi-Fi 网络、一通简短的电话，以及一连串愚蠢的错误。

和大多数加密货币爱好者一样，我随身带着笔记本电脑，想着在陪家人度假时还能抽空工作一下。我的妻子一再坚持让我在这三天里不要工作，我真应该听她的话。

和其他住客一样，我连接了酒店的 Wi-Fi 网络。这个网络不需要密码，只需通过一个验证页面（captive portal）即可登录。

我像往常一样在酒店里工作，没有做任何冒险的操作：没有创建新钱包，没有点击奇怪的链接，也没有访问可疑的去中心化应用（dApps）。我只是查看了一下 X（推特）、我的余额、Discord 和 Telegram 等。

某一刻，我接到了一个加密圈朋友的电话，我们聊了聊市场行情、比特币以及加密货币的相关话题。但我不知道的是，附近有人在偷听我们的对话，并意识到我在从事加密货币相关的事情。这是我的第一个错误。对方通过我们的对话了解到我在使用 Phantom 钱包，而且我是一个持有量不小的用户。

这让他将目标锁定在了我身上。

在公共 Wi-Fi 网络中，所有设备都共享同一个网络，实际上设备之间的可见性比你想象的还要高。用户之间几乎没有真正的保护措施，这就为“中间人攻击”（Man-in-the-Middle Attack）提供了可乘之机。攻击者就像一个中间人，悄悄地插入在你和互联网之间，就像有人在你的信件送达之前偷偷阅读并篡改内容。

当我在酒店 Wi-Fi 上浏览网页时，有一个网站看起来正常加载，但实际上页面背后被注入了额外的恶意代码。我当时并没有注意到任何异常。如果我安装了一些安全工具，本可以发现这些问题，但遗憾的是，我并没有。

通常情况下，网站可能会请求你的钱包签署某些操作。Phantom 钱包会弹出一个窗口，你可以选择批准或拒绝。一般来说，你会因为信任这个网站和浏览器而放心签署。然而，那天我不该这么做。

就在我在 @JupiterExchange 平台上进行代币兑换操作时，恶意代码触发了一个钱包请求，取代了我正常的兑换操作。我本可以通过仔细检查交易详情发现这是一个恶意请求，但因为我已经在 Jupiter 平台进行兑换操作了，所以完全没有起疑心。

那天我并没有签署任何转移资金的交易，而是签署了一个授权许可。这正是几天后资产被盗的原因。

恶意代码并没有直接要求我发送 SOL（Solana），因为那样会太明显。取而代之，它请求我“授权访问”、“批准账户”或“确认会话”。用简单的话说，我实际上是给了另一个地址代我操作的权限。

我之所以批准了，是因为我误以为这与我在 Jupiter 的操作有关。当时 Phantom 钱包弹出的信息看起来很技术化，没有显示任何金额，也没有提示立即转账。

而这正是攻击者所需要的一切。他耐心等待，直到我离开酒店后，才开始行动。他将我的 SOL 转走，提取我的代币，并将我的 NFT 转移到另一个地址。

我从未想过这样的事情会发生在我身上。幸运的是，这并不是我的主钱包，而是一个用于特定操作的热钱包，并非用来长期持有资产的。但即便如此，我还是犯了很多错误，而我认为自己对此负有主要责任。

首先，我绝不应该连接酒店的公共 Wi-Fi。我本该用手机的热点来上网才对。

我的第二个错误是，在酒店的公共区域里谈论加密货币，让许多人可能听到了我们的对话。我父亲曾经告诫我，永远不要让别人知道你从事加密货币相关的事情。这次还算幸运，有些人因为加密资产甚至遭遇绑架或更糟糕的事情。

另一个错误是，我在没有完全注意的情况下批准了钱包请求。因为我确信这个请求来自 Jupiter，我没有仔细分析它。事实上，每一次钱包请求都应该被认真审查，即使是在你信任的应用程序上。请求可能会被拦截，实际上并非来自你以为的应用。

最终，我从一个次要钱包里损失了大约 5000 美元。虽然这还不算最严重的情况，但依然让人感到非常沮丧。