5 月 13 日中午,我的 MetaMask 加密钱包里有价值 45,000 美元的代币。

一个小时后,一切都消失了。

我坐在尼日利亚拉各斯家中的书桌前,茫然地盯着电脑屏幕,努力感受所发生的事情的影响。

在我的计算机上打开的多个浏览器选项卡上,我可以看到从我的钱包到陌生地址的几笔加密交易。

我很困惑。

我查看了几笔交易上显示的时间戳,我知道我不可能发起这些交易。

那是因为我已经在另一台电脑上忙活了三个小时。

当我意识到自己不知怎么被黑客入侵后,我的震惊很快就被沮丧取代了。但是是怎么被入侵的呢?

痛苦和内疚

我担任加密货币记者已有七年,在此期间我报道过许多代币持有者因黑客入侵而损失资金的案例。

现在,同样的事情又发生在我身上。

当我记起这些钱大部分不是属于我而是属于我的家人时,我感到一阵痛苦和内疚。

在 2020 年新冠疫情封锁引发经济波动后,他们开始积累这些加密代币——以太币、Tether 的 USDT 稳定币和山寨币 Jasmy。

作为家里的常驻专家,我有责任照管他们的资产,保证他们的安全。我是他们的加密货币保管人,我的记录毫无瑕疵。

到目前为止。

虽然被盗事件让我很痛苦,但当我告诉家人发生的事情时,我感到的痛苦根本不算什么。

我看到他们脸上的悲伤,让我想起了 2017 年我已故的父亲去世。我的经历让我从不同的角度看待公共区块链的透明度。

只需几步电脑操作,我就能看到我被盗的加密货币在别人的钱包里,但我却无法恢复我的资产。这令人毛骨悚然,让我想起了我的磨难。

事实是,许多加密用户,无论是专业人士还是新手,都遭遇了类似的命运。

“如果你犯了错误,很容易丢失你的加密货币。就我而言,一切都始于一场游戏。”

亿万富翁马克·库班 (Mark Cuban) 去年被黑客攻击损失了 87 万美元,原因是他称自己下载了一个 MetaMask 钱包,“里面有一些东西”。

区块链取证公司 Chainalysis 称,2023 年,加密货币投资者被盗贼损失了 17 亿美元。

如果您犯了错误,例如下载了泄露钱包详细信息的受污染软件,则很容易丢失您的加密货币。

有时,如果警惕的黑客通过创建与受害者的钱包非常匹配的假钱包来毒害您的钱包地址,您可能会损失资金。

就我而言,一切都是从一场比赛开始的。

键盘记录器

我曾答应帮助我的一个年轻亲戚下载一款名为“司机戴夫”的游戏。

他不耐烦了,想自己动手。问题是他用的电脑里有我家的加密资产的浏览器钱包。

他下载了一个嵌入恶意软件的游戏版本,该恶意软件立即感染了我的笔记本电脑。

该恶意软件可能安装了键盘记录器(一种记录击键的程序),并暴露了我的 MetaMask 钱包详细信息,这使得黑客可以窃取加密货币。

包括 MetaMask 在内的许多在线钱包都没有使用经过验证的安全措施来防止盗窃,例如欺诈警报和双因素身份验证。

如果这是我的银行账户,那么一旦发起第一笔交易我就会收到欺诈警报。

银行会暂停交易并给我足够的时间来确认我是否确实发起了资金转账。

加密钱包实际上不存在这样的预防功能。

质押资金安全

确实,我收到了一个来自中心化交易所的警告,我持有一些代币。黑客显然试图访问我的资产,交易所要求他们提供双因素身份验证代码。

那次尝试没有成功,我设法保住了那些资产,但数额很小。不过,在这种情况下,双重身份验证 (2FA) 还是很有效的。

黑客还试图从我使用的其他存有加密货币的钱包中窃取资金,但没有成功。

“除非黑客忘记了,否则我会与小偷竞赛,把这些质押的资产安全地存放在新的钱包里。”

这是因为像 Cosmos 这样的区块链通常要求用户在取消质押后等待 14 到 21 天才能提取质押资产。

黑客启动了解除质押的过程,但无法将代币转移到他们的钱包。此后,我重新质押了这些加密代币,但这几乎不能解决问题。

(质押是允许你的代币用于验证区块链网络上的交易的过程。)

除非黑客忘记了我的资产,否则当这些质押资产可供提取时,我将与小偷展开竞争,以确保它们安全地存放在新的钱包中,但这是另一回事了。

至于直接的后果,我很庆幸我的家人没有因为曝光他们的资产而责怪我或我的年轻亲戚。

回顾我所写的类似案例的故事,我意识到我并没有过多考虑那些因黑客而丢失加密货币资金的人的家人。

我的重点是解释黑客攻击是如何发生的、资金去了哪里以及可能的恢复措施。

我可以看到资产

尤其令人沮丧的是,犯罪发生三周后,我仍然可以看到被盗的资产。

被盗加密货币的大部分都存放在黑客的两个地址中。您可以在此处和此处查看。

无论如何,我联系了一家区块链安全公司,试图阻止黑客通过集中交易所将被盗的加密货币兑换成现金。

他们告诉我,尝试阻止黑客的钱包地址需要花费 2,000 美元。

恢复被盗的加密货币通常是一个漫长的过程,涉及执法行动和加密货币交易所的合作。

我的家人决定最好承受这个损失。

当恢复的可能性微乎其微时,他们不太愿意花更多的钱去追捕黑客。

需要更好的保障措施

我有时间反思所发生的事情,并从我的经历中吸取教训。

首先,请将装有贵重加密钱包的计算机远离小孩!

更严重的是,加密钱包需要更好的保护措施。

如果目标是广泛采用加密货币,那么安全存储这些数字资产就需要变得更简单,特别是对于那些喜欢自我保管的人来说。

自我保管的前提是用户有责任保证其资产的安全。

但用户需要更多帮助——也许是实时警报和双因素身份验证。

有智能合约解决方案,例如 Safe 的多重签名钱包,其中需要多个签名者才能完成交易。

虽然多重签名钱包有助于提高安全性,但个人签名者必须保护他们的密钥——同样,在自我保管的情况下,用户有责任确保钱包的安全。

多重签名能拯救你吗?

假设我与被盗钱包建立了多重签名协议,黑客仍然能够窃取资金。他们会使用每个被盗地址来签署转移资金所需的交易。

这个过程可能会比较慢,但他们已经拿走了我家的钱。

然而,设置由一个实体控制的多重签名是不好的做法。

理想情况下,每个签名者应该是不同的家庭成员,他们的钱包位于不同的设备上。

这也正是我们所做的。

有些人可能会指出,将资金存放在容易遭受黑客攻击的在线钱包中是错误的。或者说,代币应该安全地存放在离线钱包中,比如硬件钱包制造商提供的那种。

尽管我行动缓慢,但计划就是这样的。

现在我却因为我的懒惰而被判了45,000美元的罚款。

Osato Avan-Nomayo 是我们驻尼日利亚的 DeFi 通讯员。他负责报道 DeFi 和科技。如需分享技巧或故事信息,请通过 osato@dlnews.com 与他联系。