I-am văzut pe hackeri dând 45.000 USD din portofelele mele - ce am greșit și ce cripto trebuie să fie corect

La prânz, pe 13 mai, în portofelele mele cripto MetaMask erau jetoane în valoare de 45.000 USD.

O oră mai târziu, totul a dispărut.

Stând la biroul meu din casa mea din Lagos, Nigeria, m-am uitat în gol la ecranul computerului, luptându-mă să înregistrez impactul a ceea ce se întâmplase.

Pe mai multe file deschise de browser pe computerul meu, am putut vedea mai multe tranzacții cripto de ieșire din portofel către adrese necunoscute.

Eram confuz.

M-am uitat la marcajele de timp afișate pe mai multe dintre tranzacții și am știut că nu le-aș fi putut iniția.

Asta pentru că am fost ocupat să lucrez pe un alt computer timp de trei ore.

Șocul meu a cedat curând consternare când mi-am dat seama că fusesem cumva spart. Dar cum?

Durere și vinovăție

Sunt un reporter cripto de șapte ani și, în acel timp, am acoperit multe cazuri în care proprietarii de token-uri și-au pierdut fondurile din cauza hackerilor.

Acum, același lucru tocmai mi se întâmplase.

Am simțit durere și vinovăție când mi-am amintit că cea mai mare parte a fondurilor nu îmi aparțineau mie, ci familiei mele.

Ei au început să strângă aceste criptotoken-uri – Ether, moneda stabilă USDT a lui Tether și Jasmy, un altcoin – în 2020, după ce blocările Covid-19 au declanșat volatilitate economică.

În calitate de expert rezident în familie, mi-a revenit să am grijă de bunurile lor, să le păstrez în siguranță. Eram custodele lor cripto și înregistrarea mea a fost fără pată.

Până acum.

Oricât de dureros a fost furtul, nu a fost nimic în comparație cu angoasa pe care am simțit-o când îmi informam familia despre cele întâmplate.

Durerea pe care am văzut-o gravată pe fețele lor mi-a amintit de moartea tatălui meu regretat în 2017. Calvarul meu aruncă transparența blockchain-urilor publice într-o altă lumină.

În câteva lovituri de calculator, îmi pot vedea cripto-ul furat în portofelul altcuiva și, totuși, nu îmi pot recupera activele. Este o reamintire macabră a calvarului meu.

Realitatea este că o soartă similară a avut parte de mulți utilizatori de cripto, de la profesioniști la începători.

„Este ușor să-ți pierzi cripto-ul dacă faci o greșeală. În cazul meu, totul a început cu un joc.

Miliardarul Mark Cuban a pierdut 870.000 de dolari în fața unui hacker anul trecut, după ce a spus că a descărcat un portofel MetaMask „cu niște rahat în el”.

În 2023, investitorii cripto au pierdut 1,7 miliarde de dolari în fața hoților, potrivit Chainalysis, compania de criminalistică blockchain.

Este ușor să vă pierdeți criptomoneda dacă faceți o greșeală, cum ar fi descărcarea unui software contaminat care expune detaliile portofelului.

Uneori, vă puteți pierde fondurile dacă un hacker atent vă otrăvește adresa portofelului creând un portofel fals care se potrivește îndeaproape cu cel al victimei.

În cazul meu, totul a început cu un joc.

Keylogger

Îmi promisesem că o voi ajuta pe o rudă mai tânără de-a mea să descarce un joc numit „Dave The Driver”.

A devenit nerăbdător și a încercat să o facă singur. Problema a fost că a folosit computerul cu portofelul de browser care deținea activele cripto ale familiei mele.

A descărcat o versiune a jocului încorporată cu malware și mi-a infectat imediat laptopul.

Malware-ul a instalat probabil un keylogger - un program care înregistrează apăsările de la taste - și a expus detaliile portofelului meu MetaMask, ceea ce a permis hackerului să elimine cripto-ul.

Multe portofele online, inclusiv MetaMask, nu folosesc măsuri de protecție dovedite pentru a preveni furtul, cum ar fi alertele de fraudă și autentificarea cu doi factori.

Dacă acesta ar fi fost un cont la banca mea, aș fi primit o alertă de fraudă imediat ce prima tranzacție a fost inițiată.

Banca ar fi întrerupt tranzacția și mi-ar fi dat suficient timp pentru a confirma dacă am inițiat într-adevăr transferul de fond.

Practic nu există astfel de caracteristici preventive pentru portofelele cripto.

Fondurile mizate în siguranță

Într-adevăr, singurul avertisment pe care l-am primit de la un schimb centralizat în care deținem niște jetoane. Se pare că hackerul încerca să-mi acceseze activele și schimbul le-a cerut un cod de autentificare cu doi factori.

Acea încercare a eșuat și am reușit să păstrez acele bunuri, dar a fost o sumă mică. Totuși, aici a fost o situație în care autentificarea cu doi factori sau 2FA a funcționat frumos.

Hackerul a încercat să fure și fonduri din alte portofele pe care le-am folosit și care aveau mizați cripto, dar nu au reușit.

„Cu excepția cazului în care hackerul uită, aș fi într-o cursă cu hoțul pentru a securiza acele active pariate într-un portofel nou.”

Acest lucru se datorează faptului că blockchain-urile precum Cosmos solicită, de obicei, utilizatorilor să aștepte 14 până la 21 de zile pentru a retrage activele pariate după ce acestea sunt dezlegate.

Hackerul a inițiat procesul de anulare, dar nu a putut transfera jetoanele în portofel. De atunci, am reluat acele jetoane cripto, dar asta cu greu rezolvă problema.

(Staking-ul este un proces prin care permiteți ca token-urile dvs. să fie utilizate în validarea tranzacțiilor într-o rețea blockchain.)

Cu excepția cazului în care hackerul uită de bunurile mele, voi fi într-o cursă cu hoțul pentru a securiza acele active mizate într-un nou portofel, atunci când devin disponibile pentru retragere, dar aceasta este o problemă pentru altă zi.

În ceea ce privește consecințele imediate, sunt recunoscător că familia mea nu m-a învinuit pe mine sau pe tânăra mea rudă pentru că și-au expus bunurile.

Reflectând la poveștile pe care le scrisesem despre cazuri similare, mi-am dat seama că nu m-am gândit prea mult la familiile oamenilor care pierduseră fonduri criptografice din cauza hackerilor.

Accentul meu fusese pe explicarea modului în care s-au întâmplat hackurile, unde s-au dus fondurile și posibilele eforturi de recuperare.

Pot vedea activele

Ceea ce a fost deosebit de frustrant a fost faptul că încă îmi pot vedea bunurile furate la trei săptămâni după crimă.

Cea mai mare parte a criptografiei furate se află în cele două adrese aparținând hackerului. Ele pot fi văzute aici și aici.

În orice caz, am contactat o firmă de securitate blockchain pentru a încerca să blochez hackerul să nu poată tranzacționa criptograful furat pentru numerar printr-un schimb centralizat.

Mi-au spus că ar costa 2.000 de dolari pentru ei să încerce să blocheze adresele portofelului hackerului.

Recuperarea criptomonelor furate este de obicei un proces lung care implică acțiuni de aplicare a legii și cooperarea schimburilor de cripto.

Membrii familiei mele au decis că este mai bine să absoarbă pierderea.

Ei nu au fost entuziasmați de perspectiva de a cheltui mai mulți bani în urmărirea hackerului, când șansele de recuperare erau mici până la deloc.

Sunt necesare garanții mai bune

Am avut timp să reflectez la ceea ce sa întâmplat și există lecții de învățat din experiența mea.

În primul rând, ține-ți computerele care dețin portofele cripto valoroase departe de copiii mici!

Pe o notă mai serioasă, portofelele cripto au nevoie de protecții mai bune.

Dacă obiectivul este adoptarea criptografică pe scară largă, atunci stocarea în siguranță a acestor active digitale trebuie să devină mai simplă, în special pentru cei care preferă auto-custodia.

Auto-custodia vine cu așteptarea că utilizatorul este responsabil pentru păstrarea bunurilor în siguranță.

Dar utilizatorii au nevoie de mai mult ajutor – poate sub formă de alerte în timp real și autentificare cu doi factori.

Există soluții de contract inteligente, cum ar fi portofelul cu semnături multiple de la Safe, unde este necesar mai mult de un semnatar pentru a finaliza o tranzacție.

În timp ce portofelele multi-sig ajută la îmbunătățirea securității, semnatarii individuali trebuie să își protejeze cheile - din nou, cu auto-custodia, sarcina de a asigura securitatea portofelului revine utilizatorului.

Multi-sig la salvare?

Presupunând că aș stabili un aranjament multi-sig cu portofelele compromise, hackerul ar fi putut totuși să fure fondurile. Ei ar fi folosit fiecare adresă compromisă pentru a semna tranzacțiile necesare pentru a muta fondurile.

Acest proces ar fi fost mai lent, dar ar fi scăpat cu banii familiei mele.

Cu toate acestea, este o practică slabă să configurați un multi-sig controlat de o entitate.

În mod ideal, fiecare semnatar ar fi fost un membru diferit al familiei ale cărui portofele se aflau pe dispozitive separate.

Și asta am făcut.

Unii pot indica greșeala de a păstra fondurile într-un portofel online care este predispus la hacking. Sau spuneți că jetoanele ar fi trebuit să fie plasate în siguranță într-un portofel offline, cum ar fi tipul oferit de producătorii de portofel hardware.

Acesta era planul, deși am întârziat să fac mișcarea.

Și acum am fost lovit cu o lecție de 45.000 de dolari pentru letargia mea.

Osato Avan-Nomayo este corespondentul nostru DeFi din Nigeria. El acoperă DeFi și tehnologie. Pentru a împărtăși sfaturi sau informații despre povești, vă rugăm să-l contactați la osato@dlnews.com.