Um usuário de criptomoedas conhecido como The Smart Ape afirmou que perdeu cerca de US$ 5.000 de uma hot wallet após passar três dias em um hotel, não por ter clicado em um link de phishing, mas por cometer uma série de “erros estúpidos”, incluindo usar uma rede Wi-Fi aberta, atender a uma ligação no lobby e aprovar o que parecia ser uma solicitação rotineira da carteira.
O incidente, analisado pela empresa de segurança Hacken para o Cointelegraph, mostra como invasores podem combinar truques em nível de rede com pistas sociais e pontos cegos da experiência do usuário das carteiras para drenar fundos dias depois da vítima assinar uma mensagem aparentemente inofensiva.
Como o Wi-Fi de hotel se tornou uma ameaça
Segundo o relato da vítima, o ataque começou quando ele conectou seu laptop ao Wi-Fi aberto do hotel, um portal cativo sem senha, e passou a “trabalhar normalmente, nada arriscado, apenas navegando no Discord e no X e conferindo saldos”.
O que ele não sabia é que, em redes abertas, todos os hóspedes efetivamente compartilham o mesmo ambiente local.
Dmytro Yasmanovych, líder de conformidade em cibersegurança da Hacken, disse ao Cointelegraph: “Atacantes podem explorar spoofing do Protocolo de Resolução de Endereços (ARP), manipulação do Sistema de Nomes de Domínio (DNS) ou pontos de acesso falsos para injetar JavaScript malicioso em sites que, de outra forma, seriam legítimos. Mesmo que o front end de DeFi seja confiável, o contexto de execução pode deixar de ser.”
Quando falar de cripto vira um alvo
O invasor rapidamente descobriu que o usuário estava “envolvido com cripto” após ouvi-lo falar sobre seus ativos em uma ligação telefônica no lobby do hotel. Essa informação restringiu o alvo e indicou a provável pilha de carteiras utilizada (neste caso, a Phantom na rede Solana, que não foi comprometida como provedora de carteira).
A exposição do perfil cripto no mundo físico é um risco antigo. O engenheiro de Bitcoin e especialista em segurança Jameson Lopp já argumentou diversas vezes que falar abertamente sobre cripto ou ostentar riqueza é uma das atitudes mais arriscadas que alguém pode tomar.
“Ataques cibernéticos não começam no teclado”, alertou Yasmanovych. “Eles frequentemente começam com observação. Conversas públicas sobre participações em criptomoedas podem servir como reconhecimento, ajudando invasores a escolher as ferramentas, carteiras e o momento certos.”
Como uma única aprovação esvaziou a carteira
O momento-chave ocorreu quando o usuário assinou o que acreditava ser uma transação normal. Ao realizar uma troca em um front end legítimo de finanças descentralizadas (DeFi), o código injetado substituiu ou se acoplou a uma solicitação da carteira que pedia permissão, em vez de uma transferência de tokens.
Yasmanovych observou que esse padrão se encaixa em uma classe mais ampla e cada vez mais comum de ataques conhecida como abuso de aprovações. “O invasor não rouba chaves nem drena os fundos imediatamente. Em vez disso, obtém permissões permanentes e então espera, às vezes dias ou semanas, antes de executar a transferência.”
Quando a vítima percebeu, a carteira já havia sido esvaziada de Solana (SOL) e outros tokens.
“Nesse ponto, o invasor já tinha tudo o que precisava. Ele esperou eu sair do hotel para transferir meu SOL, mover meus tokens e enviar meus NFTs para outro endereço.”
A carteira da vítima era uma hot wallet secundária, o que limitou os danos, mas a sequência evidencia o quão pouco é necessário para subtrair fundos de usuários: uma rede não confiável, um momento de desatenção e uma aprovação assinada.
Yasmanovych recomendou tratar todas as redes públicas como hostis durante viagens. Evite Wi-Fi aberto para interações com carteiras, use um hotspot móvel ou uma VPN confiável e realize transações apenas em dispositivos reforçados, atualizados e com superfície mínima de ataque no navegador.
Os usuários também devem segmentar fundos entre diferentes carteiras, tratar toda aprovação on-chain como um evento de alto risco que deve ser revisado e revogado regularmente e manter uma forte segurança operacional física, evitando discutir publicamente ativos ou detalhes de carteiras.
