一名网名为“The Smart Ape”的加密货币用户近日披露，其在酒店入住三天期间遭遇热钱包被盗，损失约5000美元。他表示，事件并非源于点击钓鱼链接，而是多重疏忽叠加的结果，包括使用开放式酒店WiFi、在公共区域通话时谈及加密资产，以及对一笔看似正常的钱包请求予以批准。

网络安全公司 Hacken 受托为 Cointelegraph 分析这一事件。该公司给出的技术复盘显示，攻击者疑似综合利用了网络层攻击手法、现实场景中的社交线索以及钱包用户体验中的盲点，在受害者签署一条表面“无害”的信息数日后，完成了资金转移。

开放酒店WiFi成攻击入口

据受害者回忆，攻击链条起点是其在酒店将笔记本电脑连接至开放WiFi网络。该网络无需密码，通过网页门户即可登录。他随后在该网络环境下“照常工作”，浏览 Discord 和 X，并查看加密资产余额。

他当时并未意识到，在此类开放网络中，所有接入用户实际上处于同一局域环境之内。

Hacken 网络安全与合规负责人 Dmytro Yasmanovych 在接受 Cointelegraph 采访时表示，在这类场景下，攻击者可以利用地址解析协议（ARP）欺骗、域名系统（DNS）篡改或搭建恶意接入点，将恶意 JavaScript 注入原本合法的网站界面。

他指出，即便去中心化金融（DeFi）前端本身是可信的，一旦执行环境被篡改，用户在页面上看到和签署的内容就可能不再安全。

线下谈论加密资产暴露身份

根据事件描述，攻击者疑似在酒店大堂无意间听到受害者通话内容，得知其在讨论加密持仓。此类信息帮助攻击者确认其“涉足加密”，从而缩小潜在目标范围，并推断其可能使用的钱包类型。

在本案中，受害者使用的是 Solana 生态中的 Phantom 钱包。现有信息显示，钱包服务提供方本身并未遭到入侵。

报道提到，比特币工程师兼安全专家 Jameson Lopp 此前多次提醒，公开谈论加密资产或炫耀财富属于高风险行为之一。

Yasmanovych 也表示，许多网络攻击并非始于键盘输入，而是从观察开始。公开谈论加密资产，可被攻击者视为侦察阶段的一部分，用于选择攻击工具、锁定钱包类型并判断出手时机。

一次“常规批准”触发资金被转走

资金被盗的关键环节出现在一笔看似正常的链上交互中。受害者在一个合法的 DeFi 前端进行代币兑换操作时，页面中被注入的恶意代码疑似替换或叠加了钱包弹出的请求内容，使其在不自知的情况下批准了权限授权，而非单次代币转账。

Yasmanovych 将此类手法归类为“批准滥用”（approval abuse），并称这是一种愈发常见的攻击模式。攻击者并不会立即窃取私钥或立刻清空资产，而是先获取对钱包中代币的持续操作权限，随后等待数日甚至数周，在合适时机发起实际转账。

当受害者察觉异常时，其钱包中的 Solana（SOL）及其他代币已被转出。

受害者表示：“那时，攻击者已经拥有所需的一切。他等我离开酒店后，转走了我的 SOL，移动了我的代币，并将我的 NFT 发送到另一个地址。”

据介绍，该钱包为其次级热钱包，因此整体损失规模有限。但这一事件显示，在资金被盗前，攻击者所需条件并不复杂：一个不受信任的网络环境、一段线下信息暴露，以及一次被误认为“常规操作”的批准签名。

安全公司提示的操作要点

在总结此次事件时，Yasmanovych 建议，将所有旅行途中使用的公共网络视作潜在敌对环境。他提出的操作要点包括：

• 避免在开放 WiFi 上进行任何钱包相关操作；
• 优先使用移动热点或信誉良好的 VPN 连接；
• 仅在经过加固、及时更新且浏览器攻击面尽可能缩小的设备上发起链上交易。

他还表示，用户应将资金分散存放于多个钱包，将每一次链上批准视为高风险行为，定期审查并撤销不必要的授权。同时，保持良好的物理与操作安全习惯，避免在公共场合讨论持仓规模或具体钱包细节。