Опівдні 13 травня в моїх криптогаманцях MetaMask було токенів на 45 000 доларів.
Через годину все зникло.
Сидячи за письмовим столом у своєму домі в Лагосі, Нігерія, я тупо дивився на екран свого комп’ютера, намагаючись відзначити вплив того, що сталося.
На кількох відкритих вкладках веб-переглядача на моєму комп’ютері я бачив кілька вихідних криптовалютних транзакцій із мого гаманця на незнайомі адреси.
Я був розгублений.
Я подивився на мітки часу, які відображаються на кількох транзакціях, і зрозумів, що я не міг їх ініціювати.
Це тому, що я три години був зайнятий роботою за іншим комп’ютером.
Незабаром мій шок змінився жахом, коли я зрозумів, що мене якимось чином зламали. Але як?
Біль і провина
Я був крипторепортером протягом семи років, і за цей час я висвітлював багато випадків, коли власники токенів втрачали свої кошти хакерам.
Тепер те саме сталося зі мною.
Я відчув біль і почуття провини, коли згадав, що основна частина коштів належить не мені, а моїй родині.
Вони почали накопичувати ці криптотокени — Ether, стейблкоїн USDT від Tether і Jasmy, альткойн — у 2020 році після того, як блокування через Covid-19 викликало економічну волатильність.
Як постійний експерт у родині, мені довелося подбати про їхні активи, зберегти їх у безпеці. Я був їхнім зберігачем криптовалюти, і моя історія була бездоганною.
Дотепер.
Якою б болісною не була крадіжка, це було ніщо в порівнянні з стражданням, яке я відчув, коли повідомив рідним про те, що сталося.
Горе, яке я бачив на їхніх обличчях, нагадало мені про смерть мого покійного батька в 2017 році. Мої важкі випробування кидають прозорість публічних блокчейнів в іншому світлі.
За кілька натискань комп’ютера я бачу свою вкрадену криптовалюту в чужому гаманці, але не можу повернути свої активи. Це моторошне нагадування про моє випробування.
Реальність така, що подібна доля спіткала багатьох користувачів крипто — від професіоналів до новачків.
«Легко втратити свою криптовалюту, якщо ви зробили помилку. У моєму випадку все почалося з гри».
Минулого року мільярдер Марк К’юбан втратив 870 000 доларів від хакера після того, як він сказав, що завантажив гаманець MetaMask «з деяким лайном».
У 2023 році криптоінвестори втратили 1,7 мільярда доларів через злодіїв, згідно з даними Chainalysis, компанії з криміналістики блокчейнів.
Легко втратити свою криптовалюту, якщо ви зробите помилку, наприклад завантаживши зіпсоване програмне забезпечення, яке розкриває дані вашого гаманця.
Іноді ви можете втратити свої кошти, якщо пильний хакер отруїть адресу вашого гаманця, створивши фальшивий гаманець, який дуже збігається з гаманцем жертви.
У моєму випадку все почалося з гри.
Кейлоггер
Я пообіцяв допомогти своєму молодшому родичу завантажити гру під назвою «Dave The Driver».
Він вирвався з терпіння і спробував зробити це сам. Проблема полягала в тому, що він використовував комп’ютер із гаманцем браузера, у якому зберігалися криптовалютні активи моєї родини.
Він завантажив версію гри зі зловмисним програмним забезпеченням, і вона негайно заразила мій ноутбук.
Ймовірно, зловмисне програмне забезпечення встановило кейлоггер — програму, яка записує натискання клавіш — і розкрило дані мого гаманця MetaMask, що дозволило хакеру викачати криптовалюту.
Багато онлайн-гаманців, у тому числі MetaMask, не використовують перевірені засоби захисту для запобігання крадіжці, такі як попередження про шахрайство та двофакторна автентифікація.
Якби це був рахунок у моєму банку, я б отримав сповіщення про шахрайство, щойно була ініційована перша транзакція.
Банк призупинив би трансакцію та дав мені достатньо часу, щоб підтвердити, чи справді я ініціював переказ коштів.
Практично не існує таких профілактичних функцій для криптогаманців.
Ставлені кошти безпечні
Дійсно, єдине попередження, яке я отримав від централізованої біржі, де я тримав кілька жетонів. Очевидно, хакер намагався отримати доступ до моїх активів, і біржа попросила в них код двофакторної автентифікації.
Ця спроба була невдалою, і мені вдалося зберегти ці активи, але це була невелика сума. Тим не менш, тут була ситуація, коли двофакторна автентифікація, або 2FA, працювала добре.
Хакер також намагався викрасти кошти з інших гаманців, які я використовував, які робили криптовалюту, але вони були невдалими.
«Якщо хакер не забуде, я буду змагатися зі злодієм, щоб зберегти ці активи в новому гаманці».
Це тому, що такі блокчейни, як Cosmos, зазвичай вимагають, щоб користувачі чекали від 14 до 21 дня, щоб вивести ставлені активи після їх зняття з ставки.
Хакер ініціював процес дестакінгу, але не зміг перенести токени на свій гаманець. Відтоді я переставив ці криптотокени, але це навряд чи вирішує проблему.
(Стейкинг — це процес дозволу використання ваших токенів для перевірки транзакцій у мережі блокчейн.)
Якщо хакер не забуде про мої активи, я змагатимуся зі злодієм, щоб зберегти ці активи в новому гаманці, коли вони стануть доступними для виведення, але це проблема на інший день.
Щодо миттєвих наслідків, я вдячний, що моя сім’я не звинуватила мене чи мого молодого родича в розкритті їхніх активів.
Розмірковуючи над історіями, які я написав про подібні випадки, я зрозумів, що не дуже думав про сім’ї людей, які втратили криптокошти через хакерів.
Я зосередився на тому, щоб пояснити, як відбулися зломи, куди пішли кошти та можливі спроби відновлення.
Я бачу активи
Особливо засмучував той факт, що я все ще бачу свої вкрадені активи через три тижні після злочину.
Основна частина вкраденої криптовалюти зберігається на двох адресах, що належать хакеру. Їх можна побачити тут і тут.
У будь-якому випадку, я зв’язався з фірмою безпеки блокчейну, щоб спробувати заблокувати хакеру можливість обміняти вкрадену криптовалюту на готівку через централізовану біржу.
Вони сказали мені, що спроба заблокувати адреси гаманців хакера коштуватиме їм 2000 доларів.
Повернення вкраденої криптовалюти зазвичай є тривалим процесом, який передбачає дії правоохоронних органів і співпрацю криптобірж.
Члени моєї родини вирішили, що краще пережити втрату.
Вони не були в захваті від перспективи витратити більше грошей на пошуки хакера, коли шанси на одужання були нульовими.
Потрібні кращі гарантії
У мене був час подумати про те, що сталося, і з мого досвіду можна винести уроки.
По-перше, тримайте свої комп’ютери, на яких зберігаються цінні криптогаманці, подалі від маленьких дітей!
Якщо говорити серйозніше, криптогаманцям потрібні кращі засоби захисту.
Якщо метою є широке впровадження криптовалюти, то безпечне зберігання цих цифрових активів має стати простішим, особливо для тих, хто надає перевагу самоохороні.
Самостійна опіка передбачає, що користувач несе відповідальність за збереження своїх активів.
Але користувачам потрібна додаткова допомога — можливо, у формі сповіщень у реальному часі та двофакторної автентифікації.
Існують рішення для інтелектуальних контрактів, як-от гаманець із кількома підписами Safe, де для завершення транзакції потрібен більше ніж один підписувач.
У той час як гаманці з кількома підписами допомагають підвищити безпеку, окремі підписувачі повинні захищати свої ключі — знову ж таки, за умови самостійної опіки користувач повинен забезпечити безпеку гаманця.
Multi-sig на допомогу?
Якщо припустити, що я створив домовленість із кількома підписами зі зламаними гаманцями, хакер все одно зміг би викрасти кошти. Вони б використовували кожну скомпрометовану адресу для підписання транзакцій, необхідних для переміщення коштів.
Цей процес був би повільнішим, але вони б пішли з рук моєї родини.
Однак це погана практика — налаштовувати мультипідпис, керований однією сутністю.
В ідеалі кожен підписувач був би іншим членом сім’ї, чиї гаманці були на різних пристроях.
І це те, що ми зробили.
Деякі можуть вказати на помилку зберігання коштів в онлайн-гаманці, який схильний до злому. Або скажімо, токени мали бути безпечно розміщені в офлайн-гаманці, наприклад тому, який пропонують виробники апаратних гаманців.
Це був план, хоча я повільно робив крок.
І тепер я отримав урок у 45 000 доларів за мою млявість.
Осато Аван-Номайо — наш кореспондент DeFi у Нігерії. Він охоплює DeFi та технології. Щоб поділитися порадами чи інформацією про історії, зв’яжіться з ним за адресою osato@dlnews.com.