Vào giữa trưa ngày 13 tháng 5, có số token trị giá 45.000 USD trong ví tiền điện tử MetaMask của tôi.

Một giờ sau, tất cả đã biến mất.

Ngồi ở bàn làm việc tại nhà ở Lagos, Nigeria, tôi ngây người nhìn vào màn hình máy tính, cố gắng ghi nhận tác động của những gì đã xảy ra.

Trên nhiều tab trình duyệt đang mở trên máy tính của mình, tôi có thể thấy một số giao dịch tiền điện tử gửi đi từ ví của mình đến các địa chỉ lạ.

Tôi đã nhầm lẫn.

Tôi đã xem dấu thời gian hiển thị trên một số giao dịch và tôi biết mình không thể thực hiện chúng.

Đó là vì tôi đã bận làm việc trên một máy tính khác trong ba giờ đồng hồ.

Cơn sốc của tôi sớm nhường chỗ cho sự thất vọng khi tôi nhận ra mình đã bị hack bằng cách nào đó. Nhưng bằng cách nào?

Nỗi đau và tội lỗi

Tôi đã là phóng viên về tiền điện tử được bảy năm và trong thời gian đó tôi đã đưa tin về nhiều trường hợp chủ sở hữu mã thông báo bị mất tiền vào tay tin tặc.

Bây giờ, điều tương tự vừa xảy ra với tôi.

Tôi cảm thấy đau đớn và tội lỗi khi nhớ rằng phần lớn số tiền đó không thuộc về tôi mà thuộc về gia đình tôi.

Họ bắt đầu tích lũy các token tiền điện tử này – Ether, USDT stablecoin của Tether và Jasmy, một altcoin – vào năm 2020 sau khi lệnh phong tỏa vì Covid-19 gây ra biến động kinh tế.

Với tư cách là chuyên gia thường trú trong gia đình, tôi có trách nhiệm chăm sóc tài sản của họ, giữ cho chúng được an toàn. Tôi là người giám sát tiền điện tử của họ và hồ sơ của tôi không có dấu vết gì.

Cho đến bây giờ.

Vụ trộm đau đớn đến thế nhưng nó chẳng là gì so với nỗi thống khổ mà tôi cảm thấy khi thông báo cho gia đình về những gì đã xảy ra.

Nỗi đau buồn khắc sâu trên khuôn mặt họ khiến tôi nhớ đến sự ra đi của người cha quá cố của tôi vào năm 2017. Thử thách của tôi khiến tính minh bạch của các chuỗi khối công khai theo một khía cạnh khác.

Trong một vài thao tác trên máy tính, tôi có thể thấy tiền điện tử bị đánh cắp của mình trong ví của người khác nhưng tôi không thể lấy lại tài sản của mình. Đó là một lời nhắc nhở rùng rợn về thử thách của tôi.

Thực tế là số phận tương tự đã xảy ra với nhiều người dùng tiền điện tử, từ chuyên gia đến người mới bắt đầu.

‘Rất dễ bị mất tiền điện tử nếu bạn mắc sai lầm. Trong trường hợp của tôi, tất cả bắt đầu bằng một trò chơi.”

Tỷ phú Mark Cuban đã mất 870.000 USD vào tay một hacker vào năm ngoái sau khi ông nói rằng ông đã tải xuống một chiếc ví MetaMask “với một số thứ trong đó”.

Theo Chainalysis, công ty pháp y blockchain, vào năm 2023, các nhà đầu tư tiền điện tử đã mất 1,7 tỷ USD vào tay kẻ trộm.

Bạn rất dễ bị mất tiền điện tử nếu mắc lỗi chẳng hạn như tải xuống phần mềm bị nhiễm độc làm lộ thông tin chi tiết về ví của bạn.

Đôi khi, bạn có thể mất tiền nếu một hacker thận trọng đánh cắp địa chỉ ví của bạn bằng cách tạo một ví giả gần giống với địa chỉ của nạn nhân.

Trong trường hợp của tôi, tất cả bắt đầu bằng một trò chơi.

Keylogger

Tôi đã hứa giúp một người họ hàng trẻ tuổi của tôi tải xuống trò chơi có tên “Dave The Driver”.

Anh ấy trở nên thiếu kiên nhẫn và cố gắng tự mình làm điều đó. Vấn đề là anh ta đã sử dụng máy tính có ví trình duyệt chứa tài sản tiền điện tử của gia đình tôi.

Anh ta đã tải xuống một phiên bản trò chơi có chứa phần mềm độc hại và nó ngay lập tức lây nhiễm vào máy tính xách tay của tôi.

Phần mềm độc hại có thể đã cài đặt keylogger – một chương trình ghi lại các lần gõ phím – và tiết lộ thông tin chi tiết về ví MetaMask của tôi, cho phép hacker lấy tiền điện tử.

Nhiều ví trực tuyến, bao gồm MetaMask, không sử dụng các biện pháp bảo vệ đã được chứng minh để ngăn chặn hành vi trộm cắp, chẳng hạn như cảnh báo gian lận và xác thực hai yếu tố.

Nếu đây là tài khoản tại ngân hàng của tôi, tôi sẽ nhận được cảnh báo gian lận ngay khi giao dịch đầu tiên được thực hiện.

Ngân hàng sẽ tạm dừng giao dịch và cho tôi đủ thời gian để xác nhận xem tôi có thực sự bắt đầu chuyển tiền hay không.

Hầu như không có tính năng phòng ngừa nào như vậy tồn tại đối với ví tiền điện tử.

Tiền đặt cược an toàn

Thật vậy, tôi đã nhận được một cảnh báo từ một sàn giao dịch tập trung nơi tôi nắm giữ một số token. Tin tặc dường như đang cố truy cập vào tài sản của tôi và sàn giao dịch đã yêu cầu họ cung cấp mã xác thực hai yếu tố.

Nỗ lực đó đã không thành công và tôi đã cố gắng giữ lại số tài sản đó, nhưng đó chỉ là một số tiền nhỏ. Tuy nhiên, đây là một tình huống mà xác thực hai yếu tố hoặc 2FA hoạt động tốt.

Tin tặc cũng đã cố gắng đánh cắp tiền từ các ví tiền điện tử khác mà tôi đã sử dụng nhưng không thành công.

‘Trừ khi hacker quên, tôi sẽ chạy đua với tên trộm để bảo đảm những tài sản đặt cọc đó trong một ví mới.’

Đó là bởi vì các blockchain như Cosmos thường yêu cầu người dùng phải đợi từ 14 đến 21 ngày để rút tài sản đã đặt cọc sau khi chúng chưa được đặt cọc.

Tin tặc đã bắt đầu quá trình hủy đặt cược nhưng không thể chuyển mã thông báo vào ví của họ. Kể từ đó, tôi đã đặt lại các mã thông báo tiền điện tử đó, nhưng điều đó hầu như không giải quyết được vấn đề.

(Đặt cọc là một quá trình cho phép sử dụng mã thông báo của bạn để xác thực các giao dịch trên mạng blockchain.)

Trừ khi hacker quên tài sản của tôi, tôi sẽ chạy đua với kẻ trộm để bảo đảm những tài sản được đặt cọc đó trong ví mới khi chúng có thể rút được, nhưng đó lại là vấn đề vào một ngày khác.

Về hậu quả ngay lập tức, tôi rất biết ơn gia đình tôi đã không đổ lỗi cho tôi hoặc người họ hàng trẻ tuổi của tôi vì đã để lộ tài sản của họ.

Nghĩ lại những câu chuyện tôi đã viết về những trường hợp tương tự, tôi nhận ra rằng mình đã không suy nghĩ nhiều đến gia đình của những người đã mất tiền điện tử vào tay tin tặc.

Trọng tâm của tôi là giải thích các vụ hack đã xảy ra như thế nào, tiền đã đi đâu và các nỗ lực phục hồi có thể xảy ra.

Tôi có thể thấy tài sản

Điều đặc biệt khó chịu là tôi vẫn có thể nhìn thấy tài sản bị đánh cắp của mình ba tuần sau vụ án.

Phần lớn số tiền điện tử bị đánh cắp nằm ở hai địa chỉ thuộc về tin tặc. Họ có thể được nhìn thấy ở đây và ở đây.

Trong mọi trường hợp, tôi đã liên hệ với một công ty bảo mật blockchain để cố gắng ngăn chặn tin tặc có thể giao dịch tiền điện tử bị đánh cắp lấy tiền mặt thông qua một sàn giao dịch tập trung.

Họ nói với tôi rằng họ sẽ phải trả 2.000 USD để thử và chặn các địa chỉ ví của hacker.

Việc khôi phục tiền điện tử bị đánh cắp thường là một quá trình lâu dài liên quan đến hành động thực thi pháp luật và sự hợp tác của các sàn giao dịch tiền điện tử.

Các thành viên trong gia đình tôi quyết định tốt hơn hết là nên chấp nhận sự mất mát.

Họ không hào hứng với viễn cảnh phải chi nhiều tiền hơn để truy đuổi hacker khi cơ hội phục hồi là rất nhỏ.

Cần có biện pháp bảo vệ tốt hơn

Tôi đã có thời gian để suy ngẫm về những gì đã xảy ra và có những bài học rút ra từ kinh nghiệm của mình.

Trước tiên, hãy để máy tính chứa ví tiền điện tử có giá trị tránh xa tầm tay trẻ nhỏ!

Một lưu ý nghiêm trọng hơn, ví tiền điện tử cần được bảo vệ tốt hơn.

Nếu mục tiêu là áp dụng tiền điện tử trên diện rộng thì việc lưu trữ an toàn những tài sản kỹ thuật số này cần phải trở nên đơn giản hơn, đặc biệt đối với những người thích tự quản lý.

Quyền tự quản lý đi kèm với kỳ vọng rằng người dùng có trách nhiệm giữ an toàn cho tài sản của mình.

Nhưng người dùng cần thêm trợ giúp ― có lẽ dưới dạng cảnh báo theo thời gian thực và xác thực hai yếu tố.

Có các giải pháp hợp đồng thông minh như ví đa chữ ký của Safe, trong đó cần có nhiều hơn một người ký để hoàn tất giao dịch.

Mặc dù ví nhiều chữ ký giúp cải thiện tính bảo mật nhưng từng người ký phải bảo vệ khóa của họ - một lần nữa, với quyền tự lưu giữ, trách nhiệm của người dùng là đảm bảo tính bảo mật của ví.

Multi-sig để giải cứu?

Giả sử tôi đã thiết lập một thỏa thuận đa chữ ký với các ví bị xâm nhập thì hacker vẫn có thể lấy cắp tiền. Họ có thể đã sử dụng từng địa chỉ bị xâm phạm để ký các giao dịch cần thiết để chuyển tiền.

Quá trình đó sẽ chậm hơn, nhưng họ sẽ lấy đi tiền của gia đình tôi.

Tuy nhiên, việc thiết lập một cơ chế đa chữ ký do một thực thể kiểm soát là một thực tế không tốt.

Lý tưởng nhất là mỗi người ký tên sẽ là một thành viên khác nhau trong gia đình có ví trên các thiết bị riêng biệt.

Và đó là những gì chúng tôi đã làm.

Một số người có thể chỉ ra sai lầm khi giữ tiền trong ví trực tuyến dễ bị hack. Hoặc giả sử các mã thông báo đáng lẽ phải được bảo mật an toàn trong ví ngoại tuyến, chẳng hạn như loại được cung cấp bởi các nhà sản xuất ví phần cứng.

Kế hoạch là vậy, mặc dù tôi thực hiện khá chậm.

Và bây giờ tôi phải nhận một bài học trị giá 45.000 đô la cho sự thờ ơ của mình.

Osato Avan-Nomayo là phóng viên DeFi có trụ sở tại Nigeria của chúng tôi. Anh ấy đề cập đến DeFi và công nghệ. Để chia sẻ mẹo hoặc thông tin về các câu chuyện, vui lòng liên hệ với anh ấy theo địa chỉ osato@dlnews.com.