Come un’autorizzazione apparentemente innocua ha svuotato un portafoglio di criptovalute

Un utente di criptovalute noto come The Smart Ape ha riferito di aver perso circa 5.000 dollari da un hot wallet dopo un soggiorno di tre giorni in un hotel: non per un click su un link di phishing, ma per una concatenazione di errori — connessione a una rete WiFi aperta, una telefonata in lobby e l’approvazione di una richiesta wallet apparentemente innocua.

L’analisi svolta dalla società di sicurezza Hacken mostra come gli aggressori possano combinare tecniche a livello di rete, segnali sociali e vulnerabilità dell’interfaccia dei wallet per svuotare fondi anche giorni dopo che la vittima ha firmato un messaggio che sembrava banale.

Come il WiFi dell’hotel è diventato una minaccia

Secondo il racconto della vittima, l’attacco ha avuto inizio quando si è connesso al WiFi aperto dell’hotel: un captive portal senza password. Era al lavoro come al solito, controllando Discord, X e i saldi dei portafogli, senza rendersi conto che su reti aperte gli ospiti condividono effettivamente lo stesso ambiente di rete locale.

In questi contesti un attaccante può sfruttare tecniche come ARP spoofing, manipolazione del DNS o punti di accesso malevoli per iniettare codice JavaScript dannoso all’interno di pagine altrimenti legittime. Anche quando il front end di un servizio DeFi è affidabile, il contesto di esecuzione può risultare compromesso.

Dmytro Yasmanovych ha dichiarato:

“Gli aggressori possono sfruttare l’ARP spoofing, la manipolazione del DNS o punti di accesso fraudolenti per iniettare JavaScript dannoso in siti che appaiono legittimi. Così il contesto di esecuzione non è più sicuro, anche se il front end sembra affidabile.”

Quando parlare di crypto ti rende un obiettivo

L’aggressore ha rapidamente scoperto che l’utente era coinvolto nel mondo delle criptovalute dopo averlo sentito parlare dei suoi asset durante una telefonata in lobby, concentrando così l’attenzione su un bersaglio sensibile. Questa informazione ha suggerito anche quale stack di portafoglio l’utente potesse utilizzare: nel caso specifico si trattava di Phantom su Solana, sebbene il fornitore del wallet non risultasse compromesso.

L’esposizione fisica del proprio profilo crypto è un rischio noto: esibire ricchezza o discutere apertamente di asset può trasformarsi in ricognizione gratuita per gli attaccanti, che così scelgono strumenti, portafogli e tempistiche adeguate.

Dmytro Yasmanovych ha aggiunto:

“Gli attacchi informatici spesso non iniziano dalla tastiera: cominciano con l’osservazione. Conversazioni pubbliche sui propri asset fungono da ricognizione, aiutando gli aggressori a selezionare gli strumenti e i momenti migliori per agire.”

Come un’unica approvazione ha svuotato il portafoglio

Il punto critico è stato quando l’utente ha firmato quella che gli è sembrata una normale transazione: durante uno swap su un front end DeFi legittimo il codice iniettato ha sostituito o affiancato la richiesta al wallet, richiedendo un permesso permanente anziché una singola trasferimento di token.

Dmytro Yasmanovych ha dichiarato:

“Questo schema rientra in una classe di attacchi sempre più comune nota come ‘approval abuse’. L’aggressore non ruba immediatamente chiavi o fondi: ottiene permessi permanenti e poi aspetta, a volte giorni o settimane, prima di eseguire il trasferimento.”

Quando la vittima si è accorta, il portafoglio era già stato svuotato di SOL e di altri token collegati.

The Smart Ape ha detto:

“A quel punto l’aggressore aveva tutto il necessario. Ha aspettato che lasciassi l’hotel per trasferire i miei SOL, muovere i token e inviare i miei NFT a un altro indirizzo.”

Nel caso in esame il danno è stato contenuto perché si trattava di un portafoglio secondario, ma la vicenda dimostra quanto poco possa servire per sottrarre fondi: una rete non affidabile, un momento di distrazione e una singola approvazione firmata.

Le raccomandazioni pratiche sono chiare: considerare tutte le reti pubbliche come ostili durante i viaggi; evitare di usare WiFi aperti per operazioni sui wallet; preferire un hotspot mobile o un VPN affidabile; operare solo da dispositivi aggiornati e con una superficie di attacco del browser ridotta al minimo.

È inoltre consigliabile segmentare i fondi su più portafogli, utilizzare hardware wallet o soluzioni multisig per somme rilevanti, trattare ogni approval on‑chain come un evento ad alto rischio da verificare e revocare periodicamente tramite strumenti dedicati, e mantenere una solida sicurezza operativa fisica evitando di discutere dettagli su tenute e portafogli in luoghi pubblici.

Questo episodio evidenzia due punti chiave: la combinazione di attacchi a livello di rete con errori umani può essere devastante, e le misure di prevenzione più efficaci spesso non sono tecnologiche ma comportamentali, legate alla prudenza nel condividere informazioni sensibili e all’uso corretto degli strumenti di sicurezza disponibili.