Conectei-me ao Wi-Fi do hotel por três dias, a carteira criptográfica foi roubada e US$ 5000 foram furtados.

Autor: The Smart Ape

Tradução: Deep潮 TechFlow

Há alguns dias, eu e a minha família fomos passar as festas de fim de ano num hotel muito bom. Um dia após deixar o hotel, percebi que a minha carteira tinha sido completamente esvaziada. Fiquei sem entender, pois não cliquei em nenhum link de phishing nem assinei nenhuma transação maliciosa.

Após várias horas de investigação e com a ajuda de especialistas, finalmente descobri a verdade. Tudo aconteceu por causa do Wi-Fi do hotel, uma chamada telefônica breve e uma série de erros bobos.

Como a maioria dos entusiastas de criptomoedas, eu carregava o meu laptop comigo, pensando em trabalhar um pouco enquanto estava de férias com a família. Minha esposa insistia várias vezes para que eu não trabalhasse nesses três dias. Eu realmente deveria ter escutado ela.

Assim como outros hóspedes, conectei-me ao Wi-Fi do hotel. Essa rede não exigia senha, bastando passar por uma página de autenticação (captive portal) para acessar.

Como de costume, trabalhei no hotel sem fazer nenhuma operação arriscada: não criei uma nova carteira, não cliquei em links estranhos, nem acessei aplicativos descentralizados (dApps) suspeitos. Apenas verifiquei o X (Twitter), meu saldo, Discord e Telegram.

Em determinado momento, recebi uma ligação de um amigo do mundo cripto, e conversamos sobre o mercado, Bitcoin e outros tópicos relacionados. Mas o que eu não sabia era que alguém próximo estava espionando nossa conversa e percebeu que eu estava envolvido com criptomoedas. Esse foi o meu primeiro erro. A pessoa descobriu, através da nossa conversa, que eu usava a carteira Phantom e que era um usuário com uma quantidade considerável de ativos.

Isso fez com que ela direcionasse o alvo para mim.

Em redes Wi-Fi públicas, todos os dispositivos compartilham a mesma rede, e na verdade a visibilidade entre eles é maior do que você imagina. Os usuários quase não têm proteção real, o que facilita ataques do tipo “Homem no Meio” (Man-in-the-Middle Attack). O atacante age como um intermediário, inserindo-se silenciosamente entre você e a internet, como alguém que lê e altera suas mensagens antes que elas cheguem ao destinatário.

Quando eu navegava na internet pelo Wi-Fi do hotel, um site parecia carregar normalmente, mas na verdade uma carga maliciosa foi injetada na página por trás dos panos. Naquele momento, não percebi nada de estranho. Se tivesse instalado algumas ferramentas de segurança, poderia ter detectado o problema, mas, infelizmente, não fiz isso.

Normalmente, os sites podem solicitar que sua carteira assine certas operações. A carteira Phantom exibe uma janela onde você pode aprovar ou rejeitar. Geralmente, você confia no site e no navegador, e assina sem pensar duas vezes. Mas naquele dia, eu não deveria ter feito isso.

Quando estava realizando uma troca de tokens na plataforma @JupiterExchange, um código malicioso acionou uma solicitação na carteira, substituindo a operação legítima. Eu poderia ter percebido que era uma solicitação maliciosa ao verificar os detalhes da transação, mas como já tinha iniciado a troca na plataforma Jupiter, não desconfiei de nada.

Naquele dia, não assinei nenhuma transação de transferência de fundos, apenas uma autorização de permissão. E foi exatamente isso que levou ao roubo dos meus ativos dias depois.

O código malicioso não pediu diretamente que eu enviasse SOL (Solana), pois isso seria muito óbvio. Em vez disso, ele pediu que eu “autorizasse o acesso”, “aprovasse a conta” ou “confirmasse a sessão”. Em palavras simples, eu acabei dando permissão para que outro endereço operasse em meu nome.

Eu autorizei isso porque achei que tinha relação com a operação na Jupiter. Na época, a mensagem exibida pela carteira Phantom parecia técnica demais, sem mostrar valores ou solicitar uma transferência imediata.

E isso era tudo o que o atacante precisava. Ele esperou pacientemente até eu sair do hotel para agir. Transferiu meus SOL, retirou meus tokens e transferiu meu NFT para outro endereço.

Nunca imaginei que algo assim pudesse acontecer comigo. Felizmente, não era minha carteira principal, mas uma carteira quente usada para operações específicas, não para manter ativos a longo prazo. Mesmo assim, cometi muitos erros, e considero que tenho grande responsabilidade por isso.

Primeiro, nunca deveria ter conectado ao Wi-Fi público do hotel. Deveria ter usado o hotspot do celular.

Meu segundo erro foi falar sobre criptomoedas em áreas públicas do hotel, onde muitas pessoas poderiam ouvir nossa conversa. Meu pai sempre me alertou para nunca deixar ninguém saber que eu trabalho com cripto. Por sorte, desta vez, algumas pessoas até foram sequestradas ou sofreram coisas piores por causa de ativos digitais.

Outro erro foi aprovar a solicitação na carteira sem atenção total. Eu tinha certeza de que a solicitação vinha da Jupiter, então não analisei com cuidado. Na verdade, toda solicitação na carteira deve ser avaliada com atenção, mesmo que venha de um aplicativo confiável. A solicitação pode ser interceptada e, na realidade, não ser originada do que você pensa.

No final, perdi cerca de 5000 dólares de uma carteira secundária. Embora não seja o pior cenário, ainda assim foi bastante frustrante.