Al mediodía del 13 de mayo, había 45.000 dólares en tokens en mis carteras criptográficas MetaMask.

Una hora más tarde, todo había desaparecido.

Sentada en mi escritorio en mi casa en Lagos, Nigeria, miraba fijamente la pantalla de mi computadora, luchando por registrar el impacto de lo que había sucedido.

En varias pestañas abiertas del navegador en mi computadora, pude ver varias transacciones criptográficas salientes desde mi billetera a direcciones desconocidas.

Estaba confundido.

Miré las marcas de tiempo que aparecen en varias de las transacciones y supe que no podría haberlas iniciado.

Eso es porque estuve ocupado trabajando en una computadora diferente durante tres horas.

Mi sorpresa pronto dio paso a la consternación cuando me di cuenta de que de alguna manera me habían hackeado. ¿Pero cómo?

Dolor y culpa

He sido reportero criptográfico durante siete años y durante ese tiempo he cubierto muchos casos de propietarios de tokens que perdieron sus fondos a manos de los piratas informáticos.

Ahora me acababa de pasar lo mismo.

Sentí punzadas de dolor y culpa al recordar que la mayor parte de los fondos no me pertenecían a mí sino a mi familia.

Comenzaron a acumular estos tokens criptográficos (Ether, la moneda estable USDT de Tether y Jasmy, una moneda alternativa) en 2020, después de que los bloqueos de Covid-19 provocaron volatilidad económica.

Como experto residente de la familia, me correspondía cuidar sus bienes y mantenerlos a salvo. Yo era su custodio de criptomonedas y mi historial estaba impecable.

Hasta ahora.

Por muy doloroso que fue el robo, no fue nada comparado con la angustia que sentí al informar a mi familia sobre lo sucedido.

El dolor que vi grabado en sus rostros me recordó el fallecimiento de mi difunto padre en 2017. Mi terrible experiencia arroja la transparencia de las cadenas de bloques públicas bajo una luz diferente.

En unos pocos trazos de computadora, puedo ver mi criptomoneda robada en la billetera de otra persona y, sin embargo, no puedo recuperar mis activos. Es un recordatorio macabro de mi terrible experiencia.

La realidad es que un destino similar ha corrido sobre muchos usuarios de criptomonedas, desde profesionales hasta novatos.

'Es fácil perder tu criptografía si cometes un error. En mi caso, todo empezó con un juego”.

El multimillonario Mark Cuban perdió 870.000 dólares a manos de un hacker el año pasado después de decir que descargó una billetera MetaMask "con algo de mierda dentro".

En 2023, los inversores en criptomonedas perdieron 1.700 millones de dólares a manos de los ladrones, según Chainalysis, la empresa forense de blockchain.

Es fácil perder sus criptomonedas si comete un error, como descargar software contaminado que expone los detalles de su billetera.

A veces, puedes perder tus fondos si un hacker atento envenena la dirección de tu billetera creando una billetera falsa que se aproxima mucho a la de la víctima.

En mi caso, todo empezó con un juego.

registrador de teclas

Había prometido ayudar a un pariente más joven a descargar un juego llamado "Dave The Driver".

Se impacientó y trató de hacerlo él mismo. El problema fue que usó la computadora con la billetera del navegador que contenía los criptoactivos de mi familia.

Descargó una versión del juego con malware e inmediatamente infectó mi computadora portátil.

El malware probablemente instaló un registrador de teclas (un programa que registra las pulsaciones de teclas) y expuso los detalles de mi billetera MetaMask, lo que permitió al hacker desviar la criptografía.

Muchas billeteras en línea, incluida MetaMask, no utilizan medidas de seguridad comprobadas para prevenir el robo, como alertas de fraude y autenticación de dos factores.

Si se tratara de una cuenta de mi banco, habría recibido una alerta de fraude tan pronto como se inició la primera transacción.

El banco habría detenido la transacción y me habría dado tiempo suficiente para confirmar si efectivamente había iniciado la transferencia de fondos.

Prácticamente no existen funciones preventivas de este tipo para las carteras criptográficas.

Fondos apostados seguros

De hecho, la única advertencia que recibí de un intercambio centralizado donde tenía algunos tokens. Aparentemente, el hacker estaba intentando acceder a mis activos y el intercambio les pidió un código de autenticación de dos factores.

Ese intento no tuvo éxito y logré conservar esos bienes, pero era una cantidad pequeña. Aún así, aquí hubo una situación en la que la autenticación de dos factores, o 2FA, funcionó muy bien.

El hacker también intentó robar fondos de otras billeteras que usé y que habían apostado criptomonedas, pero no lo lograron.

"A menos que el hacker lo olvide, estaría en una carrera con el ladrón para asegurar esos activos apostados en una nueva billetera".

Esto se debe a que las cadenas de bloques como Cosmos generalmente requieren que los usuarios esperen de 14 a 21 días para retirar los activos apostados una vez que se les quita el stake.

El hacker inició el proceso de eliminación de la apuesta, pero no pudo transferir los tokens a su billetera. Desde entonces, volví a apostar esos tokens criptográficos, pero eso difícilmente resuelve el problema.

(El stake es un proceso que permite que sus tokens se utilicen para validar transacciones en una red blockchain).

A menos que el hacker se olvide de mis activos, estaré en una carrera con el ladrón para asegurar esos activos apostados en una nueva billetera cuando estén disponibles para su retiro, pero ese es un problema para otro día.

En cuanto a las consecuencias inmediatas, agradezco que mi familia no me haya culpado a mí ni a mi joven pariente por exponer sus bienes.

Al reflexionar sobre las historias que había escrito sobre casos similares, me di cuenta de que no había pensado mucho en las familias de las personas que habían perdido fondos criptográficos a manos de los piratas informáticos.

Mi atención se centró en explicar cómo ocurrieron los ataques, adónde fueron los fondos y los posibles esfuerzos de recuperación.

Puedo ver los activos

Lo que fue especialmente frustrante fue el hecho de que todavía puedo ver mis bienes robados tres semanas después del crimen.

La mayor parte de las criptomonedas robadas se encuentran en las dos direcciones que pertenecen al hacker. Se pueden ver aquí y aquí.

En cualquier caso, me comuniqué con una empresa de seguridad blockchain para intentar impedir que el hacker pudiera intercambiar las criptomonedas robadas por dinero en efectivo a través de un intercambio centralizado.

Me dijeron que les costaría $2,000 intentar bloquear las direcciones de billetera del hacker.

La recuperación de criptomonedas robadas suele ser un proceso largo que implica acciones policiales y la cooperación de los intercambios de criptomonedas.

Los miembros de mi familia decidieron que era mejor absorber la pérdida.

No les entusiasmaba la perspectiva de gastar más dinero persiguiendo al hacker cuando las posibilidades de recuperación eran escasas o nulas.

Se necesitan mejores salvaguardias

He tenido tiempo para reflexionar sobre lo sucedido y hay lecciones que aprender de mi experiencia.

Primero, ¡mantenga sus computadoras que contienen valiosas billeteras criptográficas alejadas de los niños pequeños!

En una nota más seria, las carteras criptográficas necesitan mejores salvaguardias.

Si el objetivo es una adopción amplia de las criptomonedas, entonces el almacenamiento seguro de estos activos digitales debe volverse más sencillo, especialmente para aquellos que prefieren la autocustodia.

La autocustodia conlleva la expectativa de que el usuario sea responsable de mantener seguros sus activos.

Pero los usuarios necesitan más ayuda, tal vez en forma de alertas en tiempo real y autenticación de dos factores.

Existen soluciones de contratos inteligentes como la billetera multifirma de Safe, donde se requiere más de un firmante para completar una transacción.

Si bien las billeteras multifirma ayudan a mejorar la seguridad, los firmantes individuales deben proteger sus claves; nuevamente, con la autocustodia, la responsabilidad de garantizar la seguridad de la billetera recae en el usuario.

¿Multi-firma al rescate?

Suponiendo que hubiera establecido un acuerdo multifirma con las billeteras comprometidas, el hacker aún habría podido robar los fondos. Habrían utilizado cada dirección comprometida para firmar las transacciones necesarias para mover los fondos.

Ese proceso habría sido más lento, pero se habrían salido con la suya con el dinero de mi familia.

Sin embargo, es una mala práctica establecer una firma múltiple controlada por una entidad.

Lo ideal sería que cada firmante hubiera sido un miembro diferente de la familia cuyas billeteras estuvieran en dispositivos separados.

Y eso es lo que hemos hecho.

Algunos pueden señalar el error de guardar los fondos en una billetera en línea propensa a ser pirateada. O digamos que los tokens deberían haberse guardado de forma segura en una billetera fuera de línea, como el tipo que ofrecen los fabricantes de billeteras de hardware.

Ese era el plan, aunque había tardado en dar el paso.

Y ahora he recibido una lección de 45.000 dólares por mi letargo.

Osato Avan-Nomayo es nuestro corresponsal de DeFi con sede en Nigeria. Cubre DeFi y tecnología. Para compartir consejos o información sobre historias, comuníquese con él en osato@dlnews.com.