一位加密貨幣從業者入住高檔酒店慶祝假期,卻因連接公共 WiFi 並在公共場合討論加密貨幣,遭駭客透過中間人攻擊植入惡意代碼,最終損失 5,000 美元。
(前情提要:北韓駭客 2025 年盜竊創紀錄:竊取 20.2 億美元加密貨幣,洗錢周期約 45 天)
(背景補充:盜竊12萬BTC》Bitfinex 駭客夫妻已提前出獄:謝謝川普爸爸新年快樂)
本文目錄
- 公共 WiFi 的中間人攻擊
- 偽裝成正常操作的授權請求
- 簽署的不是轉帳交易,而是權限授權
- 我犯下的錯誤與教訓
「我不應該連接酒店的公共 WiFi,而是應該使用手機熱點。」
幾天前,我和家人去一家高檔酒店住了三天,慶祝年末假期。可就在退房後的第二天,我的加密貨幣錢包就被洗劫一空。我完全摸不著頭緒,我既沒點擊任何釣魚連結,也沒簽署過任何惡意交易。
我花了好幾個小時調查,還專門聘請了專家幫忙,終於弄清楚了被盜的全過程。這一切的起因,竟然是酒店的公共 WiFi、一通短暫的電話,再加上我犯下的一連串愚蠢錯誤。
和大多數加密貨幣愛好者一樣,就算是陪家人住酒店,我也隨身帶了筆記型電腦,想著抽空處理點工作。妻子當時再三叮嚀,讓我這三天徹底放下工作,現在想來,我真該聽她的話。
於是,我和其他人一樣,連接了酒店的公共 WiFi。這個網路無需密碼,只要通過一個強制認證門戶就能接入。
我像往常一樣處理工作,沒做任何有風險的操作:既沒創建新錢包,也沒點開陌生連結,更沒使用可疑的去中心化應用 (dApp),不過是刷刷社群平台 X、查看錢包餘額、逛逛 Discord 和 Telegram 之類的。
就在這時,我接到了一位加密貨幣領域朋友的電話。我們聊了聊市場行情、比特幣,還有加密貨幣行業的一些近況。
可我萬萬沒想到,附近有人正竊聽著我們的對話,並且立刻意識到我是加密貨幣從業者。這就是我犯下的第一個錯誤。這個人不僅聽出我用的是 Phantom 錢包,還判斷出我持有相當可觀的代幣。
也正因如此,我成了他的目標。
公共 WiFi 的中間人攻擊
公共 WiFi 的特點是所有裝置共享同一網路,裝置之間的可見程度遠超你的想像,使用者彼此之間毫無真正的安全隔離可言。這就給了駭客可乘之機,讓他們得以發起中間人攻擊。這種攻擊模式下,駭客會潛伏在你和網際網路之間,就像有人在信件送達你手中前,偷偷拆開閱讀、篡改內容一樣。
我在酒店 WiFi 環境下瀏覽網頁時,有一個網站表面上載入正常,背地裡卻被植入了惡意程式碼。我當時毫無察覺,如果我事先安裝了某些安全工具,或許能發現異常,但我並沒有。
偽裝成正常操作的授權請求
正常情況下,部分網站會請求使用者用錢包簽署一些內容,這時 Phantom 錢包會彈出提示視窗,由使用者確認批准或拒絕。通常來說,使用者會基於對網站和瀏覽器的信任,直接確認授權。但那天,我真不該這麼做。
當時我正在去中心化交易平台 Jupiter Exchange 上進行代幣兌換操作,而惡意程式碼卻趁機篡改流程,彈出了一個錢包授權請求,而非我原本要執行的兌換指令。其實,我本可以透過仔細核對交易詳情,發現這是個惡意請求,但因為我確實正在 Jupiter 平台操作,便沒有產生任何懷疑。
簽署的不是轉帳交易,而是權限授權
那天我簽署的,根本不是一筆劃轉資產的交易,而是一份權限授權協議。這也是為什麼錢包被盜的事情,會發生在幾天之後。
那個惡意程式碼很狡猾,它沒有直接要求我劃轉平台幣 SOL,那樣做實在太顯眼了。它彈出的請求是「授權存取」「批准帳戶權限」或是「確認會話」這類模糊的表述。
說白了,我相當於授權了另一個陌生位址,代表我對錢包進行操作。
我之所以批准了這個請求,是因為我以為這是 Jupiter 平台正常操作所需的步驟。當時 Phantom 錢包彈出的提示全是技術術語,既沒有顯示任何轉帳金額,也沒有提示這是一筆即時轉帳。
至此,駭客已經掌握了盜走我資產所需的一切條件。他一直等到我離開酒店,才動手轉走我錢包裡的 SOL、各類代幣,還有所有的非同質化代幣 (NFT)。
我犯下的錯誤與教訓
我從來沒想過這種事會發生在自己身上。幸好,這個錢包不是我的主錢包,只是一個用於日常操作的熱錢包,並非長期囤幣的錢包。儘管如此,我還是犯了很多錯誤,我認為主要責任在我。
第一,我不應該連接酒店的公共 WiFi,當時就該用手機的行動熱點。
第二,我錯在過於放鬆警惕,居然在酒店這種公共場所談論加密貨幣,完全沒考慮到身邊可能有人聽到。我父親一直告誡我,千萬別讓外人知道你涉足加密貨幣領域。這件事的後果本可能更嚴重,現實中,有些人會因為持有加密貨幣而遭到綁架,甚至謀殺。
另一個致命錯誤,就是我在沒有仔細核對的情況下,就批准了那個錢包授權請求。正因為我認定這個請求來自 Jupiter 平台,才沒有認真分析它的具體內容。在此提醒大家:無論在什麼應用上,面對任何錢包授權請求,都必須打起十二分精神仔細核查。這些請求很可能被駭客攔截篡改,其發起方並非你所認為的那個應用。
最後,我的這個錢包損失了大約 5000 美元。雖說情況本可能更糟,但這件事還是讓我懊惱不已。
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
