5月13日の正午時点で、私のMetaMask暗号通貨ウォレットには45,000ドル相当のトークンがありました。
1時間後、すべて消えていました。
ナイジェリアのラゴスの自宅の机に座り、私はコンピューターの画面をぼんやりと見つめ、何が起こったのか理解しようと苦労していた。
コンピューターで開いている複数のブラウザタブで、ウォレットから見慣れないアドレスへの暗号通貨の送金取引がいくつか確認できました。
私は混乱していた。
いくつかの取引に表示されたタイムスタンプを見て、自分がその取引を開始したはずがないと分かりました。
それは、私が3時間も別のコンピューターで作業に忙しかったからです。
すぐにショックは落胆に変わり、自分が何らかの形でハッキングされたことに気づきました。しかし、どうやって?
痛みと罪悪感
私は7年間暗号通貨の記者をしており、その間、トークン所有者がハッカーに資金を奪われる多くの事例を取材してきました。
今、私にも同じことが起こったのです。
資金の大部分が私のものではなく家族のものであることを思い出し、私は激しい苦痛と罪悪感を覚えました。
2020年に新型コロナウイルスによるロックダウンで経済が不安定になった後、彼らはこれらの暗号トークン(イーサ、テザーのUSDTステーブルコイン、アルトコインのジャスミー)を蓄積し始めた。
家族の専門家として、彼らの資産を管理し、安全に保つのは私の役目でした。私は彼らの暗号資産の管理人であり、私の記録には汚れはありませんでした。
今まで。
盗難は痛ましい出来事でしたが、何が起こったかを家族に伝えたときの苦悩に比べれば、それは何でもありませんでした。
彼らの顔に刻まれた悲しみを見て、私は2017年に亡くなった父のことを思い出しました。私の苦難は、パブリックブロックチェーンの透明性に別の光を当てています。
コンピューターを数回操作するだけで、盗まれた仮想通貨が他人のウォレットにあるのがわかりますが、それでも自分の資産を取り戻すことはできません。これは、私が経験した苦難を思い出させる恐ろしい出来事です。
現実には、プロから初心者まで多くの暗号通貨ユーザーに同様の運命が降りかかっています。
「ミスをすると、簡単に暗号資産を失ってしまいます。私の場合、すべてはゲームから始まりました。」
億万長者のマーク・キューバンは昨年、メタマスクのウォレットを「何かが入った」状態でダウンロードしたとして、ハッカーに87万ドルを失った。
ブロックチェーンフォレンジック企業Chainalysisによると、2023年に仮想通貨投資家は窃盗犯に17億ドルを失った。
ウォレットの詳細を公開する汚染されたソフトウェアをダウンロードするなどのミスをすると、暗号通貨を簡単に失う可能性があります。
注意深いハッカーが被害者のウォレットとよく似た偽のウォレットを作成してウォレット アドレスを改ざんすると、資金を失う可能性があります。
私の場合、すべてはゲームから始まりました。
キーロガー
私は、若い親戚が「Dave The Driver」というゲームをダウンロードするのを手伝うと約束していました。
彼は我慢できなくなり、自分でやろうとしました。問題は、彼が私の家族の暗号資産を保管しているブラウザウォレットを搭載したコンピューターを使用していたことです。
彼はマルウェアが埋め込まれたバージョンのゲームをダウンロードし、すぐに私のラップトップに感染しました。
おそらくマルウェアはキーロガー(キー入力を記録するプログラム)をインストールし、私のMetaMaskウォレットの詳細を公開し、ハッカーが暗号資産を盗み出すことを可能にしたのだろう。
MetaMask を含む多くのオンラインウォレットは、詐欺警告や二要素認証など、盗難を防止するための実証済みの安全対策を使用していません。
これが私の銀行の口座だったら、最初の取引が開始されるとすぐに不正行為の警告が届いたはずです。
銀行は取引を一時停止し、私が実際に送金を開始したかどうかを確認するのに十分な時間を与えたはずです。
暗号通貨ウォレットには、そのような予防機能は事実上存在しません。
賭けた資金は安全
実際、私がトークンを保有していた中央集権型取引所から、1 つの警告を受け取りました。ハッカーは明らかに私の資産にアクセスしようとしており、取引所はハッカーに 2 要素認証コードを要求しました。
その試みは失敗し、私はそれらの資産をなんとか保持できましたが、その額は少額でした。それでも、ここでは 2 要素認証 (2FA) がうまく機能した状況でした。
ハッカーは、私が使用していた暗号通貨を賭けた他のウォレットからも資金を盗もうとしましたが、失敗しました。
「ハッカーが忘れない限り、私は新しいウォレットに賭けた資産を守るために泥棒と競争することになるだろう。」
これは、Cosmos のようなブロックチェーンでは通常、ステーキングされた資産をステーキング解除してから引き出すのに 14 日から 21 日間待つ必要があるためです。
ハッカーはステーキング解除プロセスを開始しましたが、トークンをウォレットに転送できませんでした。それ以来、私はそれらの暗号トークンを再度ステーキングしましたが、それで問題はほとんど解決していません。
(ステーキングとは、ブロックチェーン ネットワーク上のトランザクションの検証にトークンを使用できるようにするプロセスです。)
ハッカーが私の資産のことを忘れない限り、引き出し可能になったときに、新しいウォレットに賭けた資産を確保するために、私は泥棒と競争することになりますが、それはまた別の日の問題です。
当面の影響については、家族が私や若い親戚の資産を公開したことを責めなかったことに感謝しています。
似たようなケースについて書いた記事を振り返ってみると、ハッカーに仮想通貨の資金を奪われた人々の家族のことをあまり考えてこなかったことに気づいた。
私の焦点は、ハッキングがどのように起こったか、資金がどこに行ったか、そして回復に向けた取り組みの可能性について説明することにあった。
資産を見ることができます
特に苛立たしかったのは、犯行から3週間経っても盗まれた資産がまだ見えるという事実でした。
盗まれた仮想通貨の大部分は、ハッカーの所有する 2 つのアドレスに保存されています。それらは、こことここで確認できます。
いずれにせよ、私はブロックチェーン セキュリティ企業に連絡し、ハッカーが中央集権型取引所を介して盗んだ暗号通貨を現金と交換できないようにしようとしました。
ハッカーのウォレットアドレスをブロックするには2,000ドルかかると言われました。
盗まれた暗号資産の回収は、通常、法執行機関の行動と暗号資産取引所の協力を必要とする長いプロセスです。
家族は損失を受け入れる方が良いと判断しました。
彼らは、回復の見込みがほとんどない中で、ハッカーを追跡するためにさらにお金を使うことに乗り気ではなかった。
より優れた安全対策が必要
私は何が起こったのかを振り返る時間があり、私の経験から学ぶべき教訓があります。
まず、貴重な暗号通貨ウォレットを保存しているコンピューターを小さなお子様の手の届かない場所に保管してください。
もっと深刻な話ですが、暗号通貨ウォレットにはより優れた安全対策が必要です。
暗号通貨の広範な導入が目標である場合、特に自己管理を好む人にとって、これらのデジタル資産を安全に保管することがより簡単になる必要があります。
自己管理には、ユーザーが自分の資産を安全に保つ責任を負うことが期待されます。
しかし、ユーザーには、リアルタイムアラートや二要素認証といった形でのさらなる支援が必要です。
Safe のマルチ署名ウォレットのようなスマート コントラクト ソリューションでは、トランザクションを完了するために複数の署名者が必要になります。
マルチシグウォレットはセキュリティの向上に役立ちますが、個々の署名者は自分の鍵を保護する必要があります。また、自己管理の場合、ウォレットのセキュリティを確保する責任はユーザーにあります。
マルチ署名が救世主となるのか?
侵害されたウォレットでマルチシグ協定を結んでいたとしても、ハッカーは資金を盗むことができたでしょう。ハッカーは侵害された各アドレスを使用して、資金を移動するために必要なトランザクションに署名したでしょう。
そのプロセスはより遅くなったでしょうが、彼らは私の家族のお金を持って逃げることができたでしょう。
ただし、1 つのエンティティによって制御されるマルチシグを設定するのは好ましくありません。
理想的には、署名者はそれぞれ別の家族メンバーであり、それぞれのウォレットは別のデバイス上にあるはずです。
そして、私たちはそれを実行しました。
ハッキングされやすいオンラインウォレットに資金を保管するのは間違いだと指摘する人もいるかもしれない。あるいは、トークンはハードウェアウォレットメーカーが提供するようなオフラインウォレットに安全に保管すべきだったと言う人もいるだろう。
それが計画だったのですが、行動を起こすのが遅かったのです。
そして今、私は自分の無気力さのせいで45,000ドルの罰金を科せられた。
Osato Avan-Nomayo はナイジェリアを拠点とする DeFi 特派員です。DeFi とテクノロジーを担当しています。ストーリーに関するヒントや情報を共有するには、osato@dlnews.com までご連絡ください。