I watched hackers drain $45,000 from my wallets — what I did wrong and what crypto must get right

DL News · 2024-06-07T09:17:52.000Z

At midday on May 13, there was $45,000 worth of tokens in my MetaMask crypto wallets. One hour later, it was all gone. Sitting at my desk in my home in Lagos, Nigeria, I stared blankly at my computer screen, struggling to register the impact of what had happened. On multiple open browser tabs on my computer, I could see several outgoing crypto transactions from my wallet to unfamiliar addresses. I was confused. I looked at the timestamps displayed on several of the transactions, and I knew I could not have initiated them. That’s because I had been busy working on a different computer for three hours. My shock soon gave way to dismay as I realised I’d somehow been hacked. But how? Pain and guilt I’ve been a crypto reporter for seven years, and in that time I’ve covered many cases of token owners losing their funds to hackers. Now, the same thing had just happened to me. I felt pangs of pain and guilt as I remembered that the bulk of the funds belonged not to me but to my family. They began amassing these crypto tokens — Ether, Tether’s USDT stablecoin, and Jasmy, an altcoin — in 2020 after the Covid-19 lockdowns sparked economic volatility. As the resident expert in the family, it had fallen to me to take care of their assets, to keep them safe. I was their crypto custodian and my record was unblemished. Until now. As painful as the theft was, it was nothing compared to the anguish I felt as I informed my family about what had happened. The grief I saw etched on their faces reminded me of my late father’s passing in 2017. My ordeal casts the transparency of public blockchains in a different light. In a few computer strokes, I can see my stolen crypto in someone else’s wallet, and yet I can’t recover my assets. It is a macabre reminder of my ordeal. The reality is that a similar fate has befallen many crypto users ranging from professionals to novices. ‘It’s easy to lose your crypto if you make a mistake. In my case, it all started with a game.’ Billionaire Mark Cuban lost $870,000 to a hacker last year after he said he downloaded a MetaMask wallet “with some shit in it.” In 2023, crypto investors lost $1.7 billion to thieves, according to Chainalysis, the blockchain forensics company. It’s easy to lose your crypto if you make a mistake such as downloading tainted software that exposes your wallet details. Sometimes, you can lose your funds if a watchful hacker poisons your wallet address by creating a fake wallet that closely matches the victim’s. In my case, it all started with a game. Keylogger I had promised to help a younger relative of mine download a game called “Dave The Driver.” He grew impatient and tried to do it himself. The problem was he used the computer with the browser wallet that held my family’s crypto assets. He downloaded a version of the game embedded with malware and it immediately infected my laptop. The malware probably installed a keylogger — a programme that records keystrokes — and exposed my MetaMask wallet details, which allowed the hacker to syphon out the crypto. Many online wallets, including MetaMask, don’t use proven safeguards to prevent theft, such as fraud alerts and two-factor authentication. If this was an account at my bank, I’d would have received a fraud alert as soon as the first transaction was initiated. The bank would have paused the transaction and given me enough time to confirm whether I had indeed initiated the fund transfer. Virtually no such preventive features exist for crypto wallets. Staked funds safe Indeed, the one warning I received from from a centralised exchange where I held some tokens. The hacker was apparently trying to access my assets and the exchange asked them for a two-factor authentication code. That attempt was unsuccessful and I managed to hold on to those assets, but it was a small amount. Still, here was a situation where two-factor authentication, or 2FA, worked nicely. The hacker also tried to steal funds from other wallets I used that had staked crypto but they were unsuccessful. ‘Unless the hacker forgets, I’d be in a race with the thief to secure those staked assets in a new wallet.’ That’s because blockchains like Cosmos typically require users to wait 14 to 21 days to withdraw staked assets after they are unstaked. The hacker initiated the unstaking process, but was unable to transfer the tokens to their wallet. I’ve since restaked those crypto tokens, but that hardly solves the problem. (Staking is a process of permitting your tokens to be used in validating transactions on a blockchain network.) Unless the hacker forgets about my assets, I’ll be in a race with the thief to secure those staked assets in a new wallet when they become available for withdrawal, but that’s a problem for another day. As for the immediate fallout, I am grateful my family didn’t blame me or my young relative for exposing their assets. Reflecting on the stories I had written about similar cases, I realised I hadn’t given much thought to the families of people who’d lost crypto funds to hackers. My focus had been on explaining how the hacks happened, where the funds went and possible recovery efforts. I can see the assets What was especially frustrating was the fact I can still see my stolen assets three weeks after the crime. The bulk of the stolen crypto sits in the two addresses belonging to the hacker. They can be seen here and here. In any event, I contacted a blockchain security firm to try to block the hacker from being able to trade the stolen crypto for cash via a centralised exchange. They told me it would cost $2,000 for them to try and block the hacker’s wallet addresses. Recovering stolen crypto is usually a long process that involves law enforcement action and the cooperation of crypto exchanges. My family members decided it was better to absorb the loss. They were not enthused at the prospect of spending more money in pursuit of the hacker when the chances of recovery were slim to none. Better safeguards needed I’ve had time to reflect on what happened, and there are lessons to be learned from my experience. First, keep your computers that hold valuable crypto wallets away from little kids! On a more serious note, crypto wallets need better safeguards. If broad-based crypto adoption is the goal, then safely storing these digital assets needs to become simpler, especially for those who prefer self-custody. Self-custody comes with the expectation that the user is responsible for keeping their assets safe. But users need more help ― perhaps in the form of real-time alerts and two-factor authentication. There are smart contract solutions like Safe’s multi-signature wallet where more than one signer is required to complete a transaction. While multi-sig wallets help improve security, the individual signers must protect their keys ― again, with self-custody, the onus is on the user to ensure the security of the wallet. Multi-sig to the rescue? Assuming I’d set up a multi-sig arrangement with the compromised wallets, the hacker would have still been able to steal the funds. They would have used each compromised address to sign the transactions needed to move the funds. That process would have been slower, but they’d have gotten away with my family money. However, it’s poor practice to set up a multi-sig controlled by one entity. Ideally, each signer would have been a different family member whose wallets were on separate devices. And that’s what we’ve done. Some may point to the mistake of keeping the funds in an online wallet that is prone to hacking. Or say the tokens should have been safely ensconced in an offline wallet, such as the type offered by hardware wallet makers. That was the plan, albeit I’d been slow to make the move. And now I’ve been hit with a $45,000 lesson for my lethargy. Osato Avan-Nomayo is our Nigeria-based DeFi correspondent. He covers DeFi and tech. To share tips or information about stories, please contact him at osato@dlnews.com.

Ao meio-dia de 13 de maio, havia US$ 45.000 em tokens em minhas carteiras criptográficas MetaMask.
Uma hora depois, tudo desapareceu.
Sentado à minha secretária na minha casa em Lagos, na Nigéria, olhava fixamente para o ecrã do computador, esforçando-me por registar o impacto do que tinha acontecido.
Em várias abas abertas do navegador no meu computador, pude ver várias transações criptográficas de saída da minha carteira para endereços desconhecidos.
Eu estava confuso.
Observei os carimbos de data e hora exibidos em várias transações e sabia que não poderia tê-las iniciado.
Isso porque estive ocupado trabalhando em um computador diferente por três horas.
Meu choque logo deu lugar ao desânimo quando percebi que de alguma forma havia sido hackeado. Mas como?
Dor e culpa
Sou repórter de criptografia há sete anos e, nesse período, cobri muitos casos de proprietários de tokens que perderam seus fundos para hackers.
Agora, a mesma coisa tinha acabado de acontecer comigo.
Senti pontadas de dor e culpa ao lembrar que a maior parte dos fundos não pertencia a mim, mas à minha família.
Eles começaram a acumular esses tokens criptográficos – Ether, stablecoin USDT da Tether, e Jasmy, uma altcoin – em 2020, depois que os bloqueios da Covid-19 provocaram volatilidade econômica.
Como especialista residente da família, cabia a mim cuidar de seus bens, mantê-los seguros. Eu era o guardião da criptografia e meu histórico era imaculado.
Até agora.
Por mais doloroso que tenha sido o roubo, não foi nada comparado à angústia que senti ao informar minha família sobre o ocorrido.
A tristeza que vi gravada em seus rostos me lembrou do falecimento de meu falecido pai em 2017. Minha provação lança a transparência das blockchains públicas sob uma luz diferente.
Com alguns toques no computador, posso ver minha criptografia roubada na carteira de outra pessoa e, ainda assim, não consigo recuperar meus ativos. É um lembrete macabro da minha provação.
A realidade é que um destino semelhante se abateu sobre muitos usuários de criptografia, desde profissionais até novatos.
‘É fácil perder sua criptografia se você cometer um erro. No meu caso, tudo começou com um jogo.”
O bilionário Mark Cuban perdeu US$ 870.000 para um hacker no ano passado depois de dizer que baixou uma carteira MetaMask “com alguma merda dentro”.
Em 2023, os investidores em criptomoedas perderam US$ 1,7 bilhão para ladrões, de acordo com a Chainalysis, empresa forense de blockchain.
É fácil perder sua criptografia se você cometer um erro, como baixar um software contaminado que expõe os detalhes de sua carteira.
Às vezes, você pode perder seus fundos se um hacker vigilante envenenar o endereço da sua carteira, criando uma carteira falsa que corresponda exatamente à da vítima.
No meu caso, tudo começou com um jogo.
Registrador de teclas
Eu havia prometido ajudar um parente mais jovem a baixar um jogo chamado “Dave The Driver”.
Ele ficou impaciente e tentou fazer isso sozinho. O problema é que ele usou o computador com a carteira do navegador que continha os ativos criptográficos da minha família.
Ele baixou uma versão do jogo com malware e infectou imediatamente meu laptop.
O malware provavelmente instalou um keylogger – um programa que registra as teclas digitadas – e expôs os detalhes da minha carteira MetaMask, o que permitiu ao hacker extrair a criptografia.
Muitas carteiras online, incluindo MetaMask, não usam salvaguardas comprovadas para evitar roubo, como alertas de fraude e autenticação de dois fatores.
Se esta fosse uma conta no meu banco, eu teria recebido um alerta de fraude assim que a primeira transação fosse iniciada.
O banco teria pausado a transação e me dado tempo suficiente para confirmar se eu realmente havia iniciado a transferência de fundos.
Praticamente não existem tais recursos preventivos para carteiras criptografadas.
Fundos apostados seguros
Na verdade, o único aviso que recebi de uma exchange centralizada onde eu mantinha alguns tokens. Aparentemente, o hacker estava tentando acessar meus ativos e a exchange solicitou um código de autenticação de dois fatores.
Essa tentativa não teve sucesso e consegui manter esses bens, mas era uma quantia pequena. Ainda assim, aqui estava uma situação em que a autenticação de dois fatores, ou 2FA, funcionava bem.
O hacker também tentou roubar fundos de outras carteiras que usei e que tinham criptomoedas apostadas, mas não tiveram sucesso.
‘A menos que o hacker esqueça, eu estaria em uma corrida com o ladrão para proteger os ativos apostados em uma nova carteira.’
Isso ocorre porque blockchains como o Cosmos normalmente exigem que os usuários esperem de 14 a 21 dias para retirar os ativos apostados depois de serem despostos.
O hacker iniciou o processo de desempacotamento, mas não conseguiu transferir os tokens para sua carteira. Desde então, recoloquei esses tokens criptográficos, mas isso dificilmente resolve o problema.
(Staking é um processo que permite que seus tokens sejam usados ​​na validação de transações em uma rede blockchain.)
A menos que o hacker se esqueça dos meus ativos, estarei numa corrida com o ladrão para proteger esses ativos apostados numa nova carteira quando estiverem disponíveis para levantamento, mas isso é um problema para outro dia.
Quanto às consequências imediatas, estou grato por a minha família não ter culpado a mim ou ao meu jovem parente por expor os seus bens.
Refletindo sobre as histórias que escrevi sobre casos semelhantes, percebi que não havia pensado muito nas famílias das pessoas que perderam fundos criptográficos para hackers.
Meu foco foi explicar como os hacks aconteceram, para onde foram os fundos e possíveis esforços de recuperação.
Eu posso ver os ativos
O que foi especialmente frustrante foi o facto de ainda poder ver os meus bens roubados três semanas após o crime.
A maior parte da criptografia roubada está nos dois endereços pertencentes ao hacker. Eles podem ser vistos aqui e aqui.
De qualquer forma, entrei em contato com uma empresa de segurança blockchain para tentar impedir que o hacker pudesse negociar a criptografia roubada por dinheiro através de uma troca centralizada.
Eles me disseram que custaria US$ 2.000 para tentar bloquear os endereços da carteira do hacker.
A recuperação de criptografia roubada geralmente é um processo longo que envolve ações policiais e a cooperação de trocas de criptografia.
Os membros da minha família decidiram que era melhor absorver a perda.
Eles não ficaram entusiasmados com a perspectiva de gastar mais dinheiro na perseguição do hacker, quando as chances de recuperação eram mínimas ou nulas.
São necessárias melhores salvaguardas
Tive tempo para refletir sobre o que aconteceu e há lições a serem aprendidas com minha experiência.
Primeiro, mantenha seus computadores que contêm carteiras criptográficas valiosas longe do alcance das crianças!
Falando mais sério, as carteiras criptográficas precisam de melhores salvaguardas.
Se o objetivo for a adoção ampla da criptografia, o armazenamento seguro desses ativos digitais precisa se tornar mais simples, especialmente para aqueles que preferem a autocustódia.
A autocustódia vem com a expectativa de que o usuário seja responsável por manter seus bens seguros.
Mas os usuários precisam de mais ajuda – talvez na forma de alertas em tempo real e autenticação de dois fatores.
Existem soluções de contrato inteligente, como a carteira com múltiplas assinaturas da Safe, onde é necessário mais de um assinante para concluir uma transação.
Embora as carteiras multi-sig ajudem a melhorar a segurança, os signatários individuais devem proteger as suas chaves – mais uma vez, com a autocustódia, a responsabilidade recai sobre o utilizador para garantir a segurança da carteira.
Multi-assinatura para o resgate?
Supondo que eu tivesse estabelecido um acordo multi-assinatura com as carteiras comprometidas, o hacker ainda teria conseguido roubar os fundos. Eles teriam usado cada endereço comprometido para assinar as transações necessárias para movimentar os fundos.
Esse processo teria sido mais lento, mas eles teriam escapado impunes do dinheiro da minha família.
No entanto, é uma prática inadequada configurar uma assinatura múltipla controlada por uma entidade.
Idealmente, cada signatário seria um membro diferente da família cujas carteiras estivessem em dispositivos separados.
E foi isso que fizemos.
Alguns podem apontar para o erro de manter os fundos em uma carteira online propensa a hackers. Ou digamos que os tokens deveriam ter sido guardados com segurança em uma carteira off-line, como o tipo oferecido pelos fabricantes de carteiras de hardware.
Esse era o plano, embora eu tenha demorado a agir.
E agora recebi uma lição de US$ 45 mil para minha letargia.
Osato Avan-Nomayo é nosso correspondente DeFi na Nigéria. Ele cobre DeFi e tecnologia. Para compartilhar dicas ou informações sobre histórias, entre em contato com ele pelo e-mail osato@dlnews.com.

Explore mais do Criador

Últimas Notícias