W południe 13 maja w moich portfelach kryptowalutowych MetaMask znajdowały się tokeny o wartości 45 000 dolarów.
Godzinę później wszystko zniknęło.
Siedząc przy biurku w domu w Lagos w Nigerii, wpatrywałem się tępo w ekran komputera, starając się zarejestrować wpływ tego, co się wydarzyło.
Na wielu otwartych kartach przeglądarki na moim komputerze widziałem kilka wychodzących transakcji kryptowalutowych z mojego portfela na nieznane adresy.
Byłem zmieszany.
Przyjrzałem się sygnaturom czasowym kilku transakcji i wiedziałem, że nie mogłem ich zainicjować.
To dlatego, że przez trzy godziny byłem zajęty pracą na innym komputerze.
Mój szok wkrótce ustąpił miejsca przerażeniu, gdy zdałem sobie sprawę, że w jakiś sposób zostałem zhakowany. Ale jak?
Ból i poczucie winy
Jestem reporterem kryptowalut od siedmiu lat i w tym czasie opisałem wiele przypadków utraty środków przez hakerów przez właścicieli tokenów.
Teraz przydarzyło mi się to samo.
Poczułem ukłucie bólu i poczucia winy, gdy przypomniałem sobie, że większość funduszy nie należała do mnie, ale do mojej rodziny.
Zaczęli gromadzić te tokeny kryptograficzne – Ether, stablecoin USDT Tether i Jasmy, altcoin – w 2020 r., po tym, jak blokady Covid-19 wywołały zmienność gospodarczą.
Jako stały ekspert rodzinny, do mnie należało dbanie o ich majątek i zapewnienie im bezpieczeństwa. Byłem ich kryptoopiekunem i moje dane były nieskazitelne.
Do teraz.
Choć kradzież była bolesna, była niczym w porównaniu z udręką, jaką odczuwałem, gdy informowałem rodzinę o tym, co się stało.
Smutek, który widziałem na ich twarzach, przypomniał mi o śmierci mojego zmarłego ojca w 2017 roku. Moje doświadczenie rzuca przejrzystość publicznych łańcuchów bloków w innym świetle.
Za pomocą kilku ruchów komputera mogę zobaczyć skradzione kryptowaluty w czyimś portfelu, a mimo to nie mogę odzyskać swoich aktywów. To makabryczne przypomnienie moich przeżyć.
Rzeczywistość jest taka, że podobny los spotkał wielu użytkowników kryptowalut, od profesjonalistów po nowicjuszy.
„Łatwo stracić swoje kryptowaluty, jeśli popełnisz błąd. W moim przypadku wszystko zaczęło się od gry.
Miliarder Mark Cuban stracił w zeszłym roku 870 000 dolarów na rzecz hakera po tym, jak powiedział, że pobrał portfel MetaMask „zawierający jakieś gówno”.
Według Chainalytic, firmy zajmującej się kryminalistyką blockchain, w 2023 roku inwestorzy kryptowalut stracili na rzecz złodziei 1,7 miliarda dolarów.
Łatwo stracić swoje kryptowaluty, jeśli popełnisz błąd, na przykład pobierając skażone oprogramowanie, które ujawnia dane z Twojego portfela.
Czasami możesz stracić swoje środki, jeśli uważny haker zatruje adres Twojego portfela, tworząc fałszywy portfel, który jest bardzo podobny do portfela ofiary.
W moim przypadku wszystko zaczęło się od gry.
Keylogger
Obiecałem pomóc mojemu młodszemu krewnemu w pobraniu gry o nazwie „Dave The Driver”.
Zniecierpliwił się i spróbował zrobić to sam. Problem polegał na tym, że korzystał z komputera z portfelem przeglądarki, w którym znajdowały się aktywa kryptograficzne mojej rodziny.
Pobrał wersję gry zawierającą złośliwe oprogramowanie, które natychmiast zainfekowało mój laptop.
Szkodnik prawdopodobnie zainstalował keylogger – program rejestrujący naciśnięcia klawiszy – i ujawnił szczegóły mojego portfela MetaMask, co umożliwiło hakerowi wyssanie kryptowaluty.
Wiele portfeli internetowych, w tym MetaMask, nie korzysta ze sprawdzonych zabezpieczeń zapobiegających kradzieży, takich jak powiadomienia o oszustwach i uwierzytelnianie dwuskładnikowe.
Gdyby to było konto w moim banku, otrzymałbym powiadomienie o oszustwie już po zainicjowaniu pierwszej transakcji.
Bank wstrzymałby transakcję i dałby mi wystarczająco dużo czasu na potwierdzenie, czy rzeczywiście zainicjowałem transfer środków.
Praktycznie nie ma takich funkcji zapobiegawczych dla portfeli kryptowalutowych.
Postawione środki są bezpieczne
Rzeczywiście, jedyne ostrzeżenie, które otrzymałem od scentralizowanej giełdy, na której trzymałem trochę tokenów. Haker najwyraźniej próbował uzyskać dostęp do moich zasobów, a giełda poprosiła ich o dwuskładnikowy kod uwierzytelniający.
Próba ta nie powiodła się i udało mi się zatrzymać te aktywa, ale była to niewielka kwota. Mimo to była sytuacja, w której uwierzytelnianie dwuskładnikowe, czyli 2FA, działało dobrze.
Haker próbował także ukraść środki z innych portfeli, z których korzystałem i które obstawiały kryptowaluty, ale bezskutecznie.
„O ile haker nie zapomni, ścigałbym się ze złodziejem, aby zabezpieczyć postawione aktywa w nowym portfelu”.
Dzieje się tak dlatego, że łańcuchy bloków, takie jak Cosmos, zazwyczaj wymagają od użytkowników odczekania od 14 do 21 dni, aby wypłacić postawione aktywa po ich odstawieniu.
Haker zainicjował proces odstawiania, ale nie był w stanie przenieść tokenów do swojego portfela. Od tego czasu ponownie postawiłem te tokeny kryptograficzne, ale to prawie nie rozwiązuje problemu.
(Staking to proces pozwalający na wykorzystanie tokenów do sprawdzania poprawności transakcji w sieci blockchain.)
Jeśli haker nie zapomni o moich aktywach, będę ścigał się ze złodziejem, aby zabezpieczyć postawione aktywa w nowym portfelu, gdy będą dostępne do wypłaty, ale to problem na inny dzień.
Jeśli chodzi o bezpośrednie skutki, jestem wdzięczny, że moja rodzina nie obwiniała mnie ani mojego młodego krewnego za ujawnienie swojego majątku.
Zastanawiając się nad historiami, które napisałem na temat podobnych przypadków, zdałem sobie sprawę, że nie poświęciłem zbyt wiele uwagi rodzinom ludzi, którzy stracili kryptowaluty z rąk hakerów.
Skupiłem się na wyjaśnieniu, w jaki sposób doszło do włamań, dokąd poszły środki i możliwych działaniach naprawczych.
Widzę aktywa
Szczególnie frustrujący był fakt, że trzy tygodnie po popełnieniu przestępstwa nadal widzę skradziony majątek.
Większość skradzionego krypto znajduje się pod dwoma adresami należącymi do hakera. Można je zobaczyć tutaj i tutaj.
W każdym razie skontaktowałem się z firmą zajmującą się bezpieczeństwem blockchain, aby spróbować uniemożliwić hakerowi wymianę skradzionego krypto na gotówkę za pośrednictwem scentralizowanej giełdy.
Powiedzieli mi, że próba zablokowania adresów portfela hakera będzie kosztować 2000 dolarów.
Odzyskiwanie skradzionych kryptowalut to zwykle długi proces, który wymaga działań organów ścigania i współpracy giełd kryptowalut.
Członkowie mojej rodziny zdecydowali, że lepiej będzie przeboleć stratę.
Nie była zachwycona perspektywą wydania większych pieniędzy w pogoni za hakerem, gdy szanse na odzyskanie zdrowia były znikome.
Potrzebne lepsze zabezpieczenia
Miałem czas, aby zastanowić się nad tym, co się wydarzyło, i z mojego doświadczenia można wyciągnąć wnioski.
Po pierwsze, trzymaj komputery zawierające cenne portfele kryptowalutowe z dala od małych dzieci!
Mówiąc poważniej, portfele kryptowalutowe wymagają lepszych zabezpieczeń.
Jeśli celem jest szerokie przyjęcie kryptowalut, bezpieczne przechowywanie tych zasobów cyfrowych musi stać się prostsze, szczególnie dla tych, którzy wolą samodzielną opiekę.
Samodzielna opieka wiąże się z oczekiwaniem, że użytkownik będzie odpowiedzialny za bezpieczeństwo swoich aktywów.
Użytkownicy potrzebują jednak większej pomocy — być może w formie alertów w czasie rzeczywistym i uwierzytelniania dwuskładnikowego.
Istnieją inteligentne rozwiązania kontraktowe, takie jak portfel z wieloma podpisami Safe, w przypadku których do sfinalizowania transakcji potrzebny jest więcej niż jeden podpisujący.
Chociaż portfele z wieloma podpisami pomagają poprawić bezpieczeństwo, indywidualni podpisujący muszą chronić swoje klucze – ponownie, w przypadku samodzielnej opieki, ciężar zapewnienia bezpieczeństwa portfela spoczywa na użytkowniku.
Multi-sig na ratunek?
Zakładając, że z zaatakowanymi portfelami zawarłbym umowę obejmującą wiele podpisów, haker nadal byłby w stanie ukraść środki. Wykorzystaliby każdy skompromitowany adres do podpisania transakcji niezbędnych do przeniesienia środków.
Proces ten byłby wolniejszy, ale uszłoby im na sucho moje rodzinne pieniądze.
Jednakże złą praktyką jest konfigurowanie multi-podpisu kontrolowanego przez jeden podmiot.
W idealnym przypadku każdy sygnatariusz byłby innym członkiem rodziny, którego portfele znajdowały się na osobnych urządzeniach.
I to właśnie zrobiliśmy.
Niektórzy mogą wskazywać na błąd polegający na trzymaniu środków w portfelu internetowym, który jest podatny na ataki hakerskie. Lub powiedz, że tokeny powinny zostać bezpiecznie umieszczone w portfelu offline, takim jak ten oferowany przez twórców portfeli sprzętowych.
Taki był plan, chociaż zwlekałem z wykonaniem tego ruchu.
A teraz dostałem lekcję w wysokości 45 000 dolarów za mój letarg.
Osato Avan-Nomayo jest naszym korespondentem DeFi z Nigerii. Zajmuje się DeFi i technologią. Aby podzielić się wskazówkami lub informacjami na temat historii, skontaktuj się z nim pod adresem osato@dlnews.com.