Am Mittag des 13. Mai befanden sich Token im Wert von 45.000 US-Dollar in meinen MetaMask-Krypto-Wallets.
Eine Stunde später war alles weg.
Ich saß an meinem Schreibtisch in meinem Haus in Lagos, Nigeria, starrte mit leerem Blick auf meinen Computerbildschirm und versuchte, die Auswirkungen des Geschehenen zu begreifen.
In mehreren geöffneten Browser-Tabs auf meinem Computer konnte ich mehrere ausgehende Krypto-Transaktionen von meinem Wallet an unbekannte Adressen sehen.
Ich war verwirrt.
Ich sah mir die Zeitstempel mehrerer Transaktionen an und wusste, dass ich sie nicht initiiert haben konnte.
Das liegt daran, dass ich drei Stunden lang an einem anderen Computer gearbeitet habe.
Mein Schock wich bald der Bestürzung, als mir klar wurde, dass ich irgendwie gehackt worden war. Aber wie?
Schmerz und Schuld
Ich bin seit sieben Jahren Krypto-Reporter und habe in dieser Zeit über viele Fälle berichtet, in denen Token-Besitzer ihr Geld durch Hacker verloren haben.
Nun, mir ist gerade das Gleiche passiert.
Ich verspürte einen Stich des Schmerzes und Schuldgefühle, als mir bewusst wurde, dass der Großteil der Gelder nicht mir, sondern meiner Familie gehörte.
Sie begannen im Jahr 2020 mit der Anhäufung dieser Krypto-Token – Ether, Tethers USDT-Stablecoin und Jasmy, ein Altcoin –, nachdem die Covid-19-Lockdowns zu wirtschaftlicher Volatilität geführt hatten.
Als Experte in der Familie war es meine Aufgabe, mich um ihr Vermögen zu kümmern und es zu schützen. Ich war ihr Krypto-Verwalter und meine Erfolgsbilanz war makellos.
Bis jetzt.
So schmerzhaft der Diebstahl auch war, er war nichts im Vergleich zu der Qual, die ich empfand, als ich meiner Familie erzählte, was geschehen war.
Die Trauer, die ich in ihren Gesichtern sah, erinnerte mich an den Tod meines verstorbenen Vaters im Jahr 2017. Meine Tortur wirft ein anderes Licht auf die Transparenz öffentlicher Blockchains.
Mit ein paar Computereingaben kann ich meine gestohlene Kryptowährung in der Brieftasche einer anderen Person sehen und trotzdem kann ich mein Vermögen nicht zurückerhalten. Es ist eine makabre Erinnerung an meine Tortur.
Tatsächlich ist vielen Krypto-Nutzern, vom Profi bis zum Anfänger, ein ähnliches Schicksal widerfahren.
„Wenn man einen Fehler macht, kann man seine Kryptowährung leicht verlieren. In meinem Fall begann alles mit einem Spiel.“
Der Milliardär Mark Cuban verlor letztes Jahr 870.000 Dollar an einen Hacker, nachdem er nach eigener Aussage eine MetaMask-Wallet „mit irgendeinem Mist darin“ heruntergeladen hatte.
Laut dem Blockchain-Forensikunternehmen Chainalysis verloren Krypto-Investoren im Jahr 2023 1,7 Milliarden US-Dollar durch Diebe.
Sie können Ihre Kryptowährung leicht verlieren, wenn Ihnen ein Fehler unterläuft, beispielsweise das Herunterladen manipulierter Software, die Ihre Wallet-Details preisgibt.
Manchmal können Sie Ihr Geld verlieren, wenn ein aufmerksamer Hacker Ihre Wallet-Adresse kompromittiert, indem er eine gefälschte Wallet erstellt, die der des Opfers sehr ähnlich ist.
In meinem Fall begann alles mit einem Spiel.
Keylogger
Ich hatte einem jüngeren Verwandten versprochen, ihm beim Herunterladen eines Spiels namens „Dave The Driver“ zu helfen.
Er wurde ungeduldig und versuchte, es selbst zu tun. Das Problem war, dass er den Computer mit der Browser-Wallet verwendete, in der die Krypto-Assets meiner Familie gespeichert waren.
Er lud eine Version des Spiels herunter, in der Schadsoftware eingebettet war, und diese infizierte sofort meinen Laptop.
Die Schadsoftware hat wahrscheinlich einen Keylogger installiert – ein Programm, das Tastatureingaben aufzeichnet – und die Details zu meinem MetaMask-Wallet offengelegt, wodurch der Hacker die Kryptowährung abgreifen konnte.
Viele Online-Wallets, darunter auch MetaMask, nutzen keine bewährten Sicherheitsvorkehrungen zum Schutz vor Diebstahl, wie etwa Betrugswarnungen und Zwei-Faktor-Authentifizierung.
Wenn es sich um ein Konto bei meiner Bank handeln würde, hätte ich bereits bei der ersten Transaktion eine Betrugswarnung erhalten.
Die Bank hätte die Transaktion angehalten und mir genügend Zeit gegeben, um zu bestätigen, ob ich die Überweisung tatsächlich veranlasst hatte.
Für Krypto-Wallets gibt es praktisch keine derartigen Präventionsfunktionen.
Eingesetzte Gelder sicher
Tatsächlich erhielt ich eine Warnung von einer zentralen Börse, bei der ich einige Token hielt. Der Hacker versuchte offenbar, auf meine Vermögenswerte zuzugreifen, und die Börse verlangte von ihm einen Zwei-Faktor-Authentifizierungscode.
Dieser Versuch war erfolglos und ich konnte diese Vermögenswerte behalten, aber es war nur ein kleiner Betrag. Dennoch gab es hier eine Situation, in der die Zwei-Faktor-Authentifizierung oder 2FA gut funktionierte.
Der Hacker versuchte auch, Geld aus anderen von mir verwendeten Wallets zu stehlen, die Kryptowährungen eingesetzt hatten, jedoch ohne Erfolg.
„Sofern der Hacker es nicht vergisst, würde ich mit dem Dieb ein Wettrennen veranstalten, um die gesicherten Vermögenswerte in einer neuen Brieftasche zu sichern.“
Das liegt daran, dass Benutzer bei Blockchains wie Cosmos in der Regel 14 bis 21 Tage warten müssen, bevor sie eingesetzte Vermögenswerte abheben können, nachdem diese nicht mehr eingesetzt werden.
Der Hacker leitete den Unstaking-Prozess ein, konnte die Token aber nicht in sein Wallet übertragen. Ich habe diese Krypto-Token inzwischen erneut eingesetzt, aber das löst das Problem kaum.
(Beim Staking handelt es sich um einen Vorgang, bei dem Ihre Token zur Validierung von Transaktionen in einem Blockchain-Netzwerk verwendet werden dürfen.)
Sofern der Hacker meine Vermögenswerte nicht vergisst, werde ich mir mit dem Dieb ein Wettrennen liefern, um die eingesetzten Vermögenswerte in einer neuen Brieftasche zu sichern, sobald sie zur Auszahlung verfügbar sind, aber das ist ein Problem für einen anderen Tag.
Was die unmittelbaren Folgen angeht, bin ich dankbar, dass meine Familie weder mir noch meinem jungen Verwandten die Schuld dafür gegeben hat, ihr Vermögen preisgegeben zu haben.
Als ich über die Geschichten nachdachte, die ich zu ähnlichen Fällen geschrieben hatte, wurde mir klar, dass ich den Familien der Menschen, die Kryptogelder an Hacker verloren hatten, kaum Gedanken gewidmet hatte.
Mein Schwerpunkt lag auf der Erklärung, wie es zu den Hackerangriffen kam, wohin die Gelder flossen und welche Möglichkeiten eine Wiederherstellung bietet.
Ich kann die Vermögenswerte sehen
Besonders frustrierend war die Tatsache, dass ich mein gestohlenes Vermögen drei Wochen nach der Tat immer noch sehen konnte.
Der Großteil der gestohlenen Kryptowährung befindet sich in den beiden Adressen des Hackers. Sie sind hier und hier zu sehen.
Auf jeden Fall habe ich eine Blockchain-Sicherheitsfirma kontaktiert, um zu versuchen, den Hacker daran zu hindern, die gestohlene Kryptowährung über eine zentrale Börse gegen Bargeld einzutauschen.
Sie sagten mir, der Versuch, die Wallet-Adressen des Hackers zu sperren, würde sie 2.000 US-Dollar kosten.
Die Wiederbeschaffung gestohlener Kryptowährungen ist in der Regel ein langwieriger Prozess, der polizeiliche Maßnahmen und die Zusammenarbeit mit Krypto-Börsen erfordert.
Meine Familienmitglieder entschieden, dass es besser sei, den Verlust zu verkraften.
Die Aussicht, noch mehr Geld für die Verfolgung des Hackers auszugeben, wenn die Aussicht auf eine Rettung gleich Null war, gefiel ihnen nicht.
Bessere Sicherheitsvorkehrungen nötig
Ich hatte Zeit, über das Geschehene nachzudenken, und aus meiner Erfahrung kann ich Lehren ziehen.
Erstens: Bewahren Sie Ihre Computer, auf denen wertvolle Krypto-Wallets gespeichert sind, außerhalb der Reichweite von kleinen Kindern auf!
Ernsthafter ist jedoch, dass Krypto-Wallets besser geschützt werden müssen.
Wenn eine breite Akzeptanz der Kryptowährung das Ziel ist, muss die sichere Speicherung dieser digitalen Vermögenswerte einfacher werden, insbesondere für diejenigen, die die Selbstverwahrung bevorzugen.
Bei der Selbstverwahrung geht die Erwartung einher, dass der Benutzer für die Sicherheit seiner Vermögenswerte verantwortlich ist.
Doch die Benutzer benötigen mehr Hilfe – etwa in Form von Echtzeitwarnungen und einer Zwei-Faktor-Authentifizierung.
Es gibt Smart-Contract-Lösungen wie das Multi-Signatur-Wallet von Safe, bei dem zum Abschließen einer Transaktion mehr als ein Unterzeichner erforderlich ist.
Während Multi-Sig-Wallets die Sicherheit verbessern, müssen die einzelnen Unterzeichner ihre Schlüssel schützen – auch hier liegt die Verantwortung für die Sicherheit des Wallets beim Benutzer, wenn es sich um die Selbstverwahrung handelt.
Multi-Sig zur Rettung?
Angenommen, ich hätte mit den kompromittierten Wallets eine Multi-Sig-Vereinbarung eingerichtet, dann hätte der Hacker die Gelder trotzdem stehlen können. Er hätte jede kompromittierte Adresse verwendet, um die Transaktionen zu signieren, die zum Überweisen der Gelder erforderlich waren.
Dieser Prozess wäre langsamer gewesen, aber sie wären mit dem Geld meiner Familie davongekommen.
Es ist jedoch keine gute Praxis, eine Multi-Sig einzurichten, die von einer einzigen Entität kontrolliert wird.
Im Idealfall wäre jeder Unterzeichner ein anderes Familienmitglied gewesen, dessen Wallets sich auf unterschiedlichen Geräten befanden.
Und genau das haben wir getan.
Manche mögen darauf hinweisen, dass es ein Fehler ist, die Gelder in einem Online-Wallet aufzubewahren, das anfällig für Hackerangriffe ist. Oder sie meinen, die Token hätten besser sicher in einem Offline-Wallet aufbewahrt werden sollen, wie es beispielsweise von Herstellern von Hardware-Wallets angeboten wird.
Das war der Plan, auch wenn ich mit der Umsetzung zögerte.
Und jetzt wurde mir für meine Lethargie eine 45.000-Dollar-Lektion aufgebrummt.
Osato Avan-Nomayo ist unser in Nigeria ansässiger DeFi-Korrespondent. Er berichtet über DeFi und Technologie. Um Tipps oder Informationen zu Geschichten zu teilen, kontaktieren Sie ihn bitte unter osato@dlnews.com.