Secondo Cointelegraph, un utente di criptovalute noto come The Smart Ape ha riportato la perdita di circa 5.000 dollari da un portafoglio caldo durante un soggiorno in hotel. La perdita non è stata dovuta al clic su un link phishing, ma a una serie di errori, tra cui l'uso di una rete WiFi aperta, una telefonata nel salone e l'approvazione di una richiesta di portafoglio apparentemente normale. L'azienda di sicurezza Hacken ha analizzato l'incidente, rivelando come gli attaccanti possano sfruttare vulnerabilità a livello di rete e indizi sociali per svuotare i fondi giorni dopo che la vittima ha firmato un messaggio apparentemente innocuo.
L'attacco è iniziato quando la vittima ha collegato il suo laptop alla rete WiFi aperta dell'hotel, un portale cattivo senza password, e ha svolto attività routine come la scansione di Discord e X, e il controllo dei saldi. Senza che lui lo sapesse, le reti aperte permettono a tutti gli ospiti di condividere lo stesso ambiente locale. Dmytro Yasmanovych, responsabile della conformità in materia di sicurezza informatica presso Hacken, ha spiegato che gli attaccanti possono utilizzare tecniche come lo spoofing dell'ARP (Address Resolution Protocol), la manipolazione del DNS o punti di accesso falsi per iniettare JavaScript malevolo in siti web altrimenti legittimi. Anche se l'interfaccia utente delle finanze decentralizzate (DeFi) è di fiducia, il contesto di esecuzione potrebbe essere compromesso.
L'attaccante ha identificato l'utente come coinvolto nel mondo delle criptovalute dopo aver ascoltato una conversazione telefonica nel salone dell'hotel. Queste informazioni hanno aiutato a restringere il bersaglio e hanno suggerito lo stack di portafogli probabile, in particolare Phantom su Solana, che non era stato compromesso come fornitore di portafogli. L'esposizione fisica dei profili cripto rappresenta un rischio da tempo noto, come ha sottolineato l'ingegnere Bitcoin e esperto di sicurezza Jameson Lopp, secondo cui discutere apertamente di criptovalute o ostentare ricchezza è estremamente rischioso. Yasmanovych ha avvertito che gli attacchi informatici spesso iniziano con l'osservazione, e le conversazioni pubbliche sui propri averi in criptovalute possono fungere da ricognizione, aiutando gli attaccanti a scegliere gli strumenti, i portafogli e il momento giusti.
Il momento critico è avvenuto quando l'utente ha firmato ciò che sembrava essere una transazione normale. Durante uno scambio su un'interfaccia legittima di finanza decentralizzata (DeFi), il codice iniettato ha sostituito o sfruttato una richiesta del portafoglio, chiedendo il permesso invece di un trasferimento di token. Yasmanovych ha notato che questo schema rientra in una categoria più ampia di attacchi noti come abuso di autorizzazione, in cui gli attaccanti ottengono permessi permanenti e attendono prima di eseguire il trasferimento effettivo. Quando la vittima se ne è resa conto, il portafoglio era già svuotato di Solana (SOL) e di altri token. L'attaccante ha aspettato che la vittima uscisse dall'hotel per trasferire SOL, spostare i token e inviare NFT a un altro indirizzo.
Il portafoglio della vittima era un portafoglio caldo secondario, il che ha limitato i danni, ma l'incidente evidenzia quanto poco sia necessario per rubare i fondi degli utenti: una rete non fidata, un momento di inattenzione e un'autorizzazione firmata. Yasmanovych raccomanda di considerare tutte le reti pubbliche come ostili durante i viaggi, evitare le reti WiFi aperte per le operazioni con il portafoglio, utilizzare un hotspot mobile o un VPN affidabile e effettuare transazioni solo da dispositivi protetti, aggiornati e con una superficie di attacco del browser ridotta al minimo. Gli utenti dovrebbero suddividere i fondi tra diversi portafogli, trattare ogni approvazione sulla blockchain come un evento ad alto rischio da revisionare e revocare regolarmente, e mantenere una forte sicurezza operativa fisica evitando di discutere di possedimenti o dettagli del portafoglio in pubblico.
