Um usuário de criptomoedas conhecido como The Smart Ape afirmou que perdeu cerca de US$ 5.000 de uma hot wallet após passar três dias em um hotel, não por ter clicado em um link de phishing, mas por cometer uma série de “erros estúpidos”, incluindo usar uma rede Wi-Fi aberta, atender a uma conexão no lobby e aprovar o que parecia ser uma solicitação rotineira da carteira.
O incidente, analisado pela empresa de segurança Hacken para o Cointelegraph, mostra como invasores podem combinar truques em nível de rede com faixas sociais e pontos cegos da experiência do usuário das carteiras para drenar fundos dias depois da vítima enviar uma mensagem aparentemente inofensiva.
Como o Wi-Fi do hotel se tornou uma ameaça
Segundo o relato da vítima, o ataque começou quando ele conectou seu laptop ao Wi-Fi aberto do hotel, um portal cativo sem senha, e passou a “trabalhar normalmente, nada arriscado, apenas navegando no Discord e no X e conferindo saldos”.
O que ele não sabia é que, em redes abertas, todos os hóspedes visitantes do mesmo ambiente local.
Dmytro Yasmanovych, líder de conformidade em cibersegurança da Hacken, disse ao Cointelegraph: “Atacantes podem explorar spoofing do Protocolo de Resolução de Endereços (ARP), manipulação do Sistema de Nomes de Domínio (DNS) ou pontos de acesso falsos para injetar JavaScript malicioso em sites que, de outra forma, sejam legítimos. Mesmo que o front end de DeFi seja confiável, o contexto de execução pode deixar de ser.”
Quando falar de criptografia vira um alvo
O invasor descobriu rapidamente que o usuário estava “envolvido com criptografia” após ouvi-lo falar sobre seus ativos em uma conexão telefônica no lobby do hotel. Essa informação restringiu o alvo e indicou a pilha provável de carteiras utilizadas (neste caso, o Phantom na rede Solana, que não foi comprometido como provedor de carteira).
A exposição do perfil criptografado no mundo físico é um risco antigo. O engenheiro de Bitcoin e especialista em segurança Jameson Lopp já argumentou diversas vezes que falar abertamente sobre criptografia ou ostentação de riqueza é uma das atitudes mais arriscadas que alguém pode tomar.
“Ataques cibernéticos não começam no teclado”, alertou Yasmanovych. “Eles frequentemente começam com observação. Conversas públicas sobre participações em criptomoedas podem servir como reconhecimento, ajudando invasores a escolher as ferramentas, carteiras e o momento certo.”
Como uma única aprovação para economizar na carteira
O momento-chave ocorreu quando o usuário assinou o que acreditava ser uma transação normal. Ao realizar uma troca em um front end legítimo de finanças descentralizadas (DeFi), o código injetado substituiu ou se acoplou a uma solicitação da carteira que pede permissão, em vez de uma transferência de tokens.
Yasmanovych observou que esse padrão se enquadrava em uma classe mais ampla e cada vez mais comum de ataques conhecidos como abuso de aprovações. “O invasor não rouba chaves nem drena os fundos imediatamente. Em vez disso, obtém permissões permanentes e então espera, às vezes dias ou semanas, antes de executar a transferência.”
Quando a vítima viu, a carteira já havia sido esvaziada de Solana (SOL) e outros tokens.
“Nesse ponto, o invasor já tinha tudo o que precisava. Ele esperou que eu saísse do hotel para transferir meu SOL, mover meus tokens e enviar meus NFTs para outro endereço.”
A carteira da vítima era uma carteira quente secundária, o que limitava os danos, mas a sequência evidencia o quão pouco é necessário para subtrair fundos de usuários: uma rede não confiável, um momento de desatenção e uma aprovação assinada.
Yasmanovych recomendou tratar todas as redes públicas como hostis durante viagens. Evite Wi-Fi aberto para interações com carteiras, use um hotspot móvel ou uma VPN confiável e realize transações apenas em dispositivos reforçados, atualizados e com superfície mínima de ataque no navegador.
Os usuários também devem segmentar fundos entre diferentes carteiras, tratar toda a aprovação on-chain como um evento de alto risco que deve ser revisado e revogado regularmente e manter uma forte segurança operacional física, evitando discussões públicas públicas ou detalhes de carteiras.
Fontecointelegraph
