V stredu k nám prišiel na mail zaujímavý text od čitateľa, ktorý sa rozhodol popísať svoju smutnú skúsenosť s investovaním do kryptomien na burze Kraken. V dôsledku jeho pohodlnosti v kombinácii s nečinnosťou samotnej burzy prišiel prakticky o celé portfólio. Príbeh sa rozhodol publikovať, aby nim varoval ostatných, pretože niečo podobné sa môže stať každému, kto nedbá na dostatočnú bezpečnosť svojej investície.
Text nám zaslal Rudo Halmi a my ho zverejňujeme celý bez redaktorských úprav:
Ako som stratil svoje portfólio vďaka nečinnosti Kraken-u (a mojej pohodlnosti)
Do šialenstva menom krypto som vstúpil začiatkom decembra 2017 cez burzu Kraken. Poslal som 100€, nakúpil nejaké mince a sledoval to. Po týždni z mojich 100€ bolo 230. Super! Vybral som 100, hovoriac si: „skúsim, či peniaze tečú oboma smermi“. A skutočne o pár dní som ich mal na účte. Zaslepený úspechom som si na Kraken poslal ďalších 500€ a nakúpil čo mi prišlo pod ruku. XLM, XRP, LTC, ETC… Krypto o ktorých som si čo-to naštudoval a pozdávali sa mi. Niečo som popresúval aj na burzu HITBTC, ktorá mala mince o ktoré som mal záujem, avšak neboli na Krakene. Z následného krachu cien (v januári a nasledujúcich mesiacoch) som si veľa nerobil, veď raz sa hádam trh pozviecha.
Ja viem, „nenechajte mince na burze, keď s nimi neobchodujete“ je jedno zo základných pravidiel krypto sveta. Ale ruku na srdce – komu z vás sa chce kvôli ~70-100€ investícii zakladať offline peňaženku? 8 peňaženiek, keďže som podľa pravidla „nedržte všetky vajcia v jednom košíku“ nakúpil viac druhov mincí. Nastavil som teda 2 faktorovú autentifikáciu na výbery z Krakenu, aby prípadný útočník nemohol nič previesť k sebe a nechal mince v režime HODL – prídem za X rokov a budem milionár ako sa patrí.
Aké však bolo moje prekvapenie, keď mi pred pár dňami prišiel email z Kraken support – „We are contacting you because it appears that your Kraken account has been compromised, and some or all of your funds have been lost during the process.“. Dáva sa na známosť, že môj účet niekto hackol a zmizla mi časť alebo celé portfólio. Čožeeeee? A to je ako možné? Veď mám 2FA na výber, nikto mi nemôže len tak vziať mince…
Získanie prístupu na môj účet zabralo cca 3 dni, súčasťou čoho bolo posielanie rôznych zábavných fotiek do Krakenu, resetovanie hesiel a nastavovanie rôznych „security fičúr“, ktoré – keď som naposledy aktívne obchodoval – som v nastaveniach nevidel.
Prvé čo som si všimol, bola história – žiadne výbery, ako som čakal. Druhý krok bol rýchly pohľad na sumár účtu. A zostal som ako mechom udretý. Z môjho vyváženého portfólia nezostal kameň na kameni. Stal som sa aspoň majiteľom rôznych FIAT mien ako JPY, GBP USD, CAD. Takisto takmer z každej kryptomeny ktorá sa obchoduje na Krakene vlastním zlomok. Stále tak mám šancu stať sa milionárom, len bude treba dlhšie čakať 😀
Odpoveď na to, ako sa mohlo zredukovať moje portfólio je ukrytá v histórii transakcií. Za čias môjho „ručného“ obchodovania som od decembra do mája spravil možno 100 transakcií. V deň hacku (9.9.2018) bol vytvorený API kľúč pomocou ktorého sa vykonalo cez 2000 transakcií. Takže útočník sa na môj úkor neobohatil. Avšak keď zistil, že kvôli 2FA nič z účtu nevytiahne, rozhodol sa moje investície darovať Krakenu vo forme poplatkov za jednotlivé transakcie. Alebo sa možno môj účet stal „pomocníkom“ pri nejakej pump & dump schéme? Neviem.
Odpoveď na to ako sa podarilo zredukovať moju investíciu teda máme, ostáva však pár nezodpovedaných otázok:
– Kraken posiela pri každom logine z novej IP email, aby si overil či sa snaží prihlásiť majiteľ, alebo nie. V tomto prípade sa tak nestalo. Prečo?
– pri akejkoľvek zmene v účte takisto Kraken posiela email, prečo som žiadny nedostal pri založení API kľúča útočníkom?
– ako sa útočník dostal k mojim prihlasovacím údajom? Kraken popiera akýkoľvek hack a môj email je zabezpečený cez sms 2FA.
– celý hack bol uskutočnený 9.9.2018, ale Kraken mi dal vedieť až 28.10.2018. Ako je možné, že ich to napadlo až teraz?
Kraken samozrejme všetku zodpovednosť popiera, aj keď v konečnom dôsledku je jediný, kto na tomto hacku profitoval. Uznávam, že potom ako trhy padli a ja som sa rozhodol HODLovať, mohol som pridať 2FA aj na login. Dôvod prečo som ho mal na Krakene vypnutý bol cca 10 minútový timeout po ktorom ma odhlásilo z burzy a bez opätovného prihlásenia sa nedalo obchodovať. Teraz už je možné nastaviť ľubovoľný timeout, čo však predtým možné nebolo.
Poučenie z bájky teda je: vždy a všade si zapnite 2FA, radšej zmeškať obchod a predať lacnejšie (kúpiť drahšie) než kvôli pohodlnosti prísť o celé portfólio.
Ak sa vám páčia naše články zapnite si naše notifikácie (zvonček vpravo dole) a sledujte nás na Facebooku, Telegrame a Instagrame, aby ste nezmeškali žiadnu novú aktualitu zo sveta kryptomien. Ďakujeme.