Pada tengah hari tanggal 13 Mei, ada token senilai $45.000 di dompet kripto MetaMask saya.

Satu jam kemudian, semuanya hilang.

Duduk di depan mejaku di rumahku di Lagos, Nigeria, aku menatap kosong ke layar komputerku, berjuang untuk menyadari dampak dari apa yang telah terjadi.

Pada beberapa tab browser yang terbuka di komputer saya, saya dapat melihat beberapa transaksi kripto keluar dari dompet saya ke alamat yang tidak saya kenal.

Saya bingung.

Saya melihat stempel waktu yang ditampilkan pada beberapa transaksi, dan saya tahu saya tidak dapat memulainya.

Itu karena saya sibuk bekerja di komputer lain selama tiga jam.

Keterkejutanku segera berubah menjadi kekecewaan saat aku menyadari bahwa aku entah bagaimana telah diretas. Tapi bagaimana caranya?

Rasa sakit dan rasa bersalah

Saya telah menjadi reporter kripto selama tujuh tahun, dan selama itu saya telah meliput banyak kasus pemilik token yang kehilangan dananya karena peretas.

Sekarang, hal yang sama baru saja terjadi pada saya.

Saya merasakan kepedihan dan rasa bersalah ketika mengingat bahwa sebagian besar dana itu bukan milik saya, melainkan milik keluarga saya.

Mereka mulai mengumpulkan token kripto ini – Ether, stablecoin USDT Tether, dan Jasmy, sebuah altcoin – pada tahun 2020 setelah lockdown akibat Covid-19 memicu volatilitas ekonomi.

Sebagai ahli residen dalam keluarga, saya bertanggung jawab untuk menjaga aset mereka agar tetap aman. Saya adalah penjaga kripto mereka dan catatan saya tidak bercacat.

Sampai sekarang.

Betapapun menyakitkannya pencurian itu, itu tidak ada apa-apanya dibandingkan dengan kesedihan yang saya rasakan ketika saya memberi tahu keluarga saya tentang apa yang telah terjadi.

Kesedihan yang saya lihat di wajah mereka mengingatkan saya akan meninggalnya ayah saya pada tahun 2017. Cobaan berat yang saya alami membuat transparansi blockchain publik terlihat berbeda.

Dalam beberapa kali serangan komputer, saya dapat melihat kripto saya yang dicuri di dompet orang lain, namun saya tidak dapat memulihkan aset saya. Ini adalah pengingat yang mengerikan akan cobaan berat yang saya alami.

Kenyataannya, nasib serupa menimpa banyak pengguna kripto mulai dari profesional hingga pemula.

'Sangat mudah untuk kehilangan kripto Anda jika Anda melakukan kesalahan. Dalam kasusku, semuanya dimulai dengan sebuah permainan.”

Miliarder Mark Cuban kehilangan $870.000 karena peretas tahun lalu setelah dia mengatakan dia mengunduh dompet MetaMask “dengan beberapa hal di dalamnya.”

Pada tahun 2023, investor kripto kehilangan $1,7 miliar karena pencuri, menurut Chainalysis, perusahaan forensik blockchain.

Kripto Anda akan mudah hilang jika Anda melakukan kesalahan seperti mengunduh perangkat lunak tercemar yang memperlihatkan detail dompet Anda.

Terkadang, Anda bisa kehilangan dana jika peretas yang waspada meracuni alamat dompet Anda dengan membuat dompet palsu yang sangat mirip dengan milik korban.

Dalam kasus saya, semuanya dimulai dengan sebuah permainan.

pencatat kunci

Saya telah berjanji untuk membantu saudara saya yang lebih muda mengunduh permainan bernama “Dave The Driver.”

Dia menjadi tidak sabar dan mencoba melakukannya sendiri. Masalahnya adalah dia menggunakan komputer dengan dompet browser yang menyimpan aset kripto keluarga saya.

Dia mengunduh versi game yang dilengkapi malware dan langsung menginfeksi laptop saya.

Malware tersebut mungkin memasang keylogger – sebuah program yang mencatat penekanan tombol – dan mengungkap detail dompet MetaMask saya, yang memungkinkan peretas menyedot kripto tersebut.

Banyak dompet online, termasuk MetaMask, tidak menggunakan perlindungan yang terbukti mencegah pencurian, seperti peringatan penipuan dan autentikasi dua faktor.

Jika ini adalah rekening di bank saya, saya akan menerima peringatan penipuan segera setelah transaksi pertama dimulai.

Bank akan menghentikan sementara transaksi dan memberi saya cukup waktu untuk mengonfirmasi apakah saya memang yang melakukan transfer dana.

Hampir tidak ada fitur pencegahan seperti itu untuk dompet kripto.

Dana yang dipertaruhkan aman

Memang benar, satu peringatan yang saya terima dari bursa terpusat tempat saya memegang beberapa token. Peretas rupanya mencoba mengakses aset saya dan bursa meminta kode autentikasi dua faktor kepada mereka.

Upaya itu tidak berhasil dan saya berhasil mempertahankan aset tersebut, namun jumlahnya kecil. Namun, ada situasi di mana otentikasi dua faktor, atau 2FA, berfungsi dengan baik.

Peretas juga mencoba mencuri dana dari dompet lain yang saya gunakan yang mempertaruhkan kripto tetapi tidak berhasil.

“Kecuali jika peretasnya lupa, saya akan berlomba dengan pencuri untuk mengamankan aset yang dipertaruhkan tersebut di dompet baru.”

Itu karena blockchain seperti Cosmos biasanya mengharuskan pengguna menunggu 14 hingga 21 hari untuk menarik aset yang dipertaruhkan setelah aset tersebut tidak dipertaruhkan.

Peretas memulai proses pelepasan taruhan, tetapi tidak dapat mentransfer token ke dompet mereka. Saya telah memasang kembali token kripto tersebut, tetapi hal itu tidak menyelesaikan masalah.

(Staking adalah proses mengizinkan token Anda digunakan dalam memvalidasi transaksi di jaringan blockchain.)

Kecuali jika peretas melupakan aset saya, saya akan berlomba dengan pencuri untuk mengamankan aset yang dipertaruhkan tersebut di dompet baru ketika sudah tersedia untuk penarikan, tetapi itu akan menjadi masalah di lain hari.

Mengenai dampak langsungnya, saya bersyukur keluarga saya tidak menyalahkan saya atau kerabat muda saya karena membeberkan aset mereka.

Berkaca pada cerita yang saya tulis tentang kasus serupa, saya menyadari bahwa saya tidak terlalu memikirkan keluarga orang-orang yang kehilangan dana kripto karena peretas.

Fokus saya selama ini adalah menjelaskan bagaimana peretasan terjadi, ke mana dana disalurkan, dan kemungkinan upaya pemulihan.

Saya bisa melihat asetnya

Yang paling membuat frustrasi adalah kenyataan bahwa saya masih dapat melihat aset saya yang dicuri tiga minggu setelah kejahatan tersebut.

Sebagian besar kripto yang dicuri berada di dua alamat milik peretas. Mereka dapat dilihat di sini dan di sini.

Bagaimanapun, saya menghubungi perusahaan keamanan blockchain untuk mencoba memblokir peretas agar tidak dapat memperdagangkan kripto yang dicuri dengan uang tunai melalui bursa terpusat.

Mereka mengatakan kepada saya bahwa mereka memerlukan biaya $2.000 untuk mencoba memblokir alamat dompet peretas.

Memulihkan kripto yang dicuri biasanya merupakan proses panjang yang melibatkan tindakan penegakan hukum dan kerja sama pertukaran kripto.

Anggota keluarga saya memutuskan lebih baik menanggung kehilangan tersebut.

Mereka tidak tertarik dengan prospek mengeluarkan lebih banyak uang untuk mengejar peretas ketika peluang pemulihan sangat kecil.

Diperlukan perlindungan yang lebih baik

Saya punya waktu untuk merenungkan apa yang terjadi, dan ada pelajaran yang bisa dipetik dari pengalaman saya.

Pertama, jauhkan komputer Anda yang menyimpan dompet kripto berharga dari jangkauan anak-anak!

Dalam konteks yang lebih serius, dompet kripto membutuhkan perlindungan yang lebih baik.

Jika tujuannya adalah adopsi kripto berbasis luas, maka penyimpanan aset digital ini dengan aman harus menjadi lebih sederhana, terutama bagi mereka yang lebih memilih hak asuh mandiri.

Hak asuh sendiri hadir dengan harapan bahwa pengguna bertanggung jawab untuk menjaga keamanan aset mereka.

Namun pengguna memerlukan bantuan lebih lanjut – mungkin dalam bentuk peringatan real-time dan autentikasi dua faktor.

Ada solusi kontrak pintar seperti dompet multi-tanda tangan Safe yang mengharuskan lebih dari satu penandatangan untuk menyelesaikan transaksi.

Meskipun dompet multi-sig membantu meningkatkan keamanan, masing-masing penandatangan harus melindungi kunci mereka – sekali lagi, dengan hak asuh sendiri, pengguna bertanggung jawab untuk memastikan keamanan dompet.

Multi-tanda untuk menyelamatkan?

Dengan asumsi saya membuat pengaturan multi-sig dengan dompet yang disusupi, peretas masih bisa mencuri dana. Mereka akan menggunakan setiap alamat yang disusupi untuk menandatangani transaksi yang diperlukan untuk memindahkan dana.

Prosesnya mungkin lebih lambat, tapi uang keluarga saya bisa hilang.

Namun, menyiapkan multi-sig yang dikendalikan oleh satu entitas merupakan praktik yang buruk.

Idealnya, setiap penandatangan adalah anggota keluarga berbeda yang dompetnya berada di perangkat terpisah.

Dan itulah yang telah kami lakukan.

Beberapa orang mungkin menunjuk pada kesalahan menyimpan dana di dompet online yang rentan diretas. Atau katakanlah token tersebut seharusnya disimpan dengan aman di dompet offline, seperti jenis yang ditawarkan oleh pembuat dompet perangkat keras.

Itulah rencananya, meskipun aku lambat dalam mengambil tindakan.

Dan sekarang saya mendapat pelajaran $45.000 karena kelesuan saya.

Osato Avan-Nomayo adalah koresponden DeFi kami yang berbasis di Nigeria. Dia meliput DeFi dan teknologi. Untuk berbagi tips atau informasi seputar Stories, silakan menghubunginya di osato@dlnews.com.