作者：吴说区块链

几天前，我和家人去一家高档酒店住了三天，庆祝年末假期。可就在退房后的第二天，我的加密货币钱包就被洗劫一空。我完全摸不着头脑，我既没点击任何钓鱼链接，也没签署过任何恶意交易。

我花了好几个小时调查，还专门聘请了专家帮忙，终于弄清楚了被盗的全过程。这一切的起因，竟然是酒店的公共 WiFi、一通短暂的电话，再加上我犯下的一连串愚蠢错误。

和大多数加密货币爱好者一样，就算是陪家人住酒店，我也随身带了笔记本电脑，想着抽空处理点工作。妻子当时再三叮嘱，让我这三天彻底放下工作，现在想来，我真该听她的话。

于是，我和其他人一样，连接了酒店的公共 WiFi。这个网络无需密码，只要通过一个强制认证门户就能接入。

我像往常一样处理工作，没做任何有风险的操作：既没创建新钱包，也没点开陌生链接，更没使用可疑的去中心化应用（dApp），不过是刷刷社交平台 X、查看钱包余额、逛逛 Discord 和 Telegram 之类的。

就在这时，我接到了一位加密货币领域朋友的电话。我们聊了聊市场行情、比特币，还有加密货币行业的一些近况。

可我万万没想到，附近有人正窃听着我们的对话，并且立刻意识到我是加密货币从业者。这就是我犯下的第一个错误。这个人不仅听出我用的是 Phantom 钱包，还判断出我持有相当可观的代币。

也正因如此，我成了他的目标。

公共 WiFi 的特点是所有设备共享同一网络，设备之间的可见程度远超你的想象，用户彼此之间毫无真正的安全隔离可言。这就给了黑客可乘之机，让他们得以发起中间人攻击。这种攻击模式下，黑客会潜伏在你和互联网之间，就像有人在信件送达你手中前，偷偷拆开阅读、篡改内容一样。

我在酒店 WiFi 环境下浏览网页时，有一个网站表面上加载正常，背地里却被植入了恶意代码。我当时毫无察觉，如果我事先安装了某些安全工具，或许能发现异常，但我并没有。

正常情况下，部分网站会请求用户用钱包签署一些内容，这时 Phantom 钱包会弹出提示窗口，由用户确认批准或拒绝。通常来说，用户会基于对网站和浏览器的信任，直接确认授权。但那天，我真不该这么做。

当时我正在去中心化交易平台 Jupiter Exchange 上进行代币兑换操作，而恶意代码却趁机篡改流程，弹出了一个钱包授权请求，而非我原本要执行的兑换指令。其实，我本可以通过仔细核对交易详情，发现这是个恶意请求，但因为我确实正在 Jupiter 平台操作，便没有产生任何怀疑。

那天我签署的，根本不是一笔划转资产的交易，而是一份权限授权协议。

这也是为什么钱包被盗的事情，会发生在几天之后。

那个恶意代码很狡猾，它没有直接要求我划转平台币 SOL，那样做实在太显眼了。它弹出的请求是 「授权访问」「批准账户权限」 或是 「确认会话」 这类模糊的表述。

说白了，我相当于授权了另一个陌生地址，代表我对钱包进行操作。

我之所以批准了这个请求，是因为我以为这是 Jupiter 平台正常操作所需的步骤。当时 Phantom 钱包弹出的提示全是技术术语，既没有显示任何转账金额，也没有提示这是一笔即时转账。

至此，黑客已经掌握了盗走我资产所需的一切条件。他一直等到我离开酒店，才动手转走我钱包里的 SOL、各类代币，还有所有的非同质化代币（NFT）。

我从来没想过这种事会发生在自己身上。幸好，这个钱包不是我的主钱包，只是一个用于日常操作的热钱包，并非长期囤币的钱包。尽管如此，我还是犯了很多错误，我认为主要责任在我。

第一，我不应该连接酒店的公共 WiFi，当时就该用手机的移动热点。

第二，我错在过于放松警惕，居然在酒店这种公共场所谈论加密货币，完全没考虑到身边可能有人听到。我父亲一直告诫我，千万别让外人知道你涉足加密货币领域。这件事的后果本可能更严重，现实中，有些人会因为持有加密货币而遭到绑架，甚至谋杀。

另一个致命错误，就是我在没有仔细核对的情况下，就批准了那个钱包授权请求。正因为我认定这个请求来自 Jupiter 平台，才没有认真分析它的具体内容。在此提醒大家：无论在什么应用上，面对任何钱包授权请求，都必须打起十二分精神仔细核查。这些请求很可能被黑客拦截篡改，其发起方并非你所认为的那个应用。

最后，我的这个钱包损失了大约 5000 美元。虽说情况本可能更糟，但这件事还是让我懊恼不已。