В полдень 13 мая в моих криптокошельках MetaMask было токенов на сумму 45 000 долларов.
Через час все исчезло.
Сидя за столом в своем доме в Лагосе, Нигерия, я тупо смотрел на экран компьютера, пытаясь осознать влияние того, что произошло.
На нескольких открытых вкладках браузера на моем компьютере я мог видеть несколько исходящих криптотранзакций из моего кошелька на незнакомые адреса.
Я был сбит с толку.
Я посмотрел на временные метки, отображаемые в нескольких транзакциях, и понял, что не мог их инициировать.
Это потому, что я был занят работой на другом компьютере в течение трех часов.
Мой шок вскоре сменился тревогой, когда я понял, что меня каким-то образом взломали. Но как?
Боль и вина
Я работаю крипторепортером семь лет и за это время освещал множество случаев, когда владельцы токенов теряли свои средства из-за хакеров.
Теперь то же самое только что произошло со мной.
Я почувствовал муки боли и вины, вспомнив, что большая часть средств принадлежит не мне, а моей семье.
Они начали накапливать эти криптотокены — Ether, стейблкоин USDT Tether и альткойн Jasmy — в 2020 году, после того как блокировки Covid-19 вызвали экономическую волатильность.
Как постоянный эксперт в семье, мне пришлось заботиться об их имуществе, обеспечивать их безопасность. Я был их криптохранителем, и мой послужной список был безупречен.
До настоящего времени.
Какой бы болезненной ни была кража, она не могла сравниться с той болью, которую я испытал, сообщая своей семье о том, что произошло.
Горе, которое я увидел на их лицах, напомнило мне о кончине моего покойного отца в 2017 году. Мое испытание представляет прозрачность публичных блокчейнов в ином свете.
С помощью нескольких компьютерных операций я могу увидеть украденную криптовалюту в чужом кошельке, но не могу вернуть свои активы. Это жуткое напоминание о моих испытаниях.
Реальность такова, что аналогичная судьба постигла многих пользователей криптовалюты, от профессионалов до новичков.
«Легко потерять свою криптовалюту, если допустишь ошибку. В моем случае все началось с игры».
Миллиардер Марк Кьюбан потерял 870 000 долларов из-за хакера в прошлом году после того, как он сказал, что скачал кошелек MetaMask «с каким-то дерьмом внутри».
По данным Chainaанализа, компании, занимающейся криминалистической экспертизой блокчейнов, в 2023 году криптоинвесторы потеряли 1,7 миллиарда долларов из-за воров.
Вы легко потеряете свою криптовалюту, если допустите ошибку, например загрузите вредоносное программное обеспечение, раскрывающее данные вашего кошелька.
Иногда вы можете потерять свои средства, если бдительный хакер отравит адрес вашего кошелька, создав поддельный кошелек, который очень похож на адрес жертвы.
В моем случае все началось с игры.
Кейлоггер
Я обещал помочь своему младшему родственнику скачать игру под названием «Дэйв Водитель».
Он потерял терпение и попытался сделать это сам. Проблема заключалась в том, что он использовал компьютер с кошельком браузера, в котором хранились криптоактивы моей семьи.
Он скачал версию игры с вредоносным ПО, и оно сразу же заразило мой ноутбук.
Вредоносное ПО, вероятно, установило кейлоггер — программу, которая записывает нажатия клавиш — и раскрыло данные моего кошелька MetaMask, что позволило хакеру выкачать криптовалюту.
Многие онлайн-кошельки, включая MetaMask, не используют проверенные средства защиты от кражи, такие как оповещения о мошенничестве и двухфакторная аутентификация.
Если бы это был счет в моем банке, я бы получил предупреждение о мошенничестве, как только была инициирована первая транзакция.
Банк приостановил бы транзакцию и дал бы мне достаточно времени, чтобы подтвердить, действительно ли я инициировал перевод средств.
Для криптокошельков таких профилактических функций практически не существует.
Заложенные средства в безопасности
Действительно, единственное предупреждение, которое я получил от централизованной биржи, где у меня было несколько токенов. Хакер, очевидно, пытался получить доступ к моим активам, и биржа запросила у них код двухфакторной аутентификации.
Эта попытка не увенчалась успехом, и мне удалось сохранить эти активы, но это была небольшая сумма. Тем не менее, была ситуация, когда двухфакторная аутентификация, или 2FA, работала хорошо.
Хакер также пытался украсть средства из других кошельков, которые я использовал, в которых была сделана ставка криптовалюты, но безуспешно.
«Если хакер не забудет, я буду соревноваться с вором, чтобы защитить эти поставленные активы в новом кошельке».
Это связано с тем, что такие блокчейны, как Cosmos, обычно требуют, чтобы пользователи ждали от 14 до 21 дня, чтобы вывести поставленные активы после того, как они были отменены.
Хакер инициировал процесс анстейкинга, но не смог перевести токены на свой кошелек. С тех пор я сделал повторный стейкинг этих криптотокенов, но это вряд ли решит проблему.
(Стейкинг — это процесс разрешения использования ваших токенов для проверки транзакций в сети блокчейн.)
Если хакер не забудет о моих активах, я буду участвовать в гонке с вором, чтобы защитить эти поставленные активы в новом кошельке, когда они станут доступны для вывода, но это проблема для другого дня.
Что касается немедленных последствий, я благодарен, что моя семья не обвинила меня или моего молодого родственника в раскрытии их активов.
Размышляя над историями, которые я написал о подобных случаях, я понял, что не особо задумывался о семьях людей, которые потеряли криптофонды из-за хакеров.
Я сосредоточился на объяснении того, как произошли взломы, куда пошли средства и возможные меры по восстановлению.
Я вижу активы
Что особенно расстраивало, так это то, что я все еще могу видеть свои украденные активы спустя три недели после преступления.
Основная часть украденной криптовалюты находится на двух адресах, принадлежащих хакеру. Их можно увидеть здесь и здесь.
В любом случае я связался с фирмой, занимающейся безопасностью блокчейнов, чтобы попытаться лишить хакера возможности обменять украденную криптовалюту на наличные через централизованную биржу.
Они сказали мне, что попытка заблокировать адреса хакерского кошелька обойдется им в 2000 долларов.
Восстановление украденной криптовалюты обычно представляет собой длительный процесс, включающий действия правоохранительных органов и сотрудничество криптобирж.
Члены моей семьи решили, что лучше смириться с потерей.
Их не воодушевила перспектива потратить больше денег на поимку хакера, поскольку шансы на его выздоровление были практически нулевыми.
Необходимы более эффективные меры безопасности
У меня было время поразмыслить о том, что произошло, и из моего опыта можно извлечь уроки.
Во-первых, держите свои компьютеры, на которых хранятся ценные криптовалютные кошельки, подальше от маленьких детей!
А если серьезно, то криптокошельки нуждаются в более надежной защите.
Если целью является широкое внедрение криптовалюты, то безопасное хранение этих цифровых активов должно стать проще, особенно для тех, кто предпочитает самостоятельное хранение.
Самостоятельное хранение предполагает, что пользователь несет ответственность за сохранность своих активов.
Но пользователям нужна дополнительная помощь — возможно, в виде оповещений в реальном времени и двухфакторной аутентификации.
Существуют решения для смарт-контрактов, такие как кошелек с несколькими подписями Safe, где для завершения транзакции требуется более одного подписывающего лица.
Хотя кошельки с несколькими подписями помогают повысить безопасность, отдельные подписывающие лица должны защищать свои ключи — опять же, при самостоятельном хранении ответственность за обеспечение безопасности кошелька лежит на пользователе.
Мультиподпись спешит на помощь?
Если предположить, что я установил соглашение с несколькими подписями для взломанных кошельков, хакер все равно смог бы украсть средства. Они использовали бы каждый скомпрометированный адрес для подписи транзакций, необходимых для перемещения средств.
Этот процесс был бы медленнее, но им бы сошло с рук деньги моей семьи.
Однако устанавливать мультиподпись, контролируемую одним субъектом, — плохая практика.
В идеале каждый подписавшийся должен был быть отдельным членом семьи, чьи кошельки находились на разных устройствах.
И это то, что мы сделали.
Некоторые могут указать на ошибку хранения средств в онлайн-кошельке, который может быть взломан. Или, скажем, токены должны были быть безопасно размещены в автономном кошельке, таком как тот, который предлагают производители аппаратных кошельков.
Таков был план, хотя я и не спешил с этим шагом.
А теперь за мою летаргию мне назначили урок на 45 000 долларов.
Осато Аван-Номайо — наш корреспондент DeFi в Нигерии. Он рассказывает о DeFi и технологиях. Чтобы поделиться советами или информацией об историях, свяжитесь с ним по адресу osato@dlnews.com.