De top 5 grootste cryptocurrency-diefstallen ooit

Honderden miljoenen dollars gestolen: de vijf grootste diefstallen van cryptocurrency in de geschiedenis.

Honderden miljoenen dollars gestolen: de vijf grootste diefstallen van cryptocurrency in de geschiedenis.

Cryptocurrency is een ideaal doelwit voor cybercriminelen: er zijn veel manieren om het te stelen, en het is heel moeilijk voor de slachtoffers om het ooit terug te krijgen. En sommige hackers verdienen er enorm veel geld mee: aanvallen op cryptobeurzen kunnen soms wel honderden miljoenen dollars opleveren. Deze post bekijkt de top 5 van grootste diefstallen ooit in de relatief korte geschiedenis van cryptocurrencies. En er is een bonus aan het einde: een verbazingwekkend verhaal van een cryptocurrency-diefstal die het eigenlijk verdient om een Netflix-serie te worden…

5. Skeleton Key

Slachtoffer: KuCoin -cryptobeurs

Wanneer: 26 september 2020

Verlies: ongeveer 285 miljoen dollar

In de nacht van 25 op 26 september 2020 ontdekten beveiligingsmedewerkers van het in Singapore gevestigde bedrijf KuCoin een reeks abnormale transacties van verschillende hot wallets. Om de verdachte transacties te stoppen brachten ze alle overgebleven activa van de gecompromitteerde hot wallets over naar een koude opslagplaats. Het hele incident duurde ongeveer twee uur vanaf de ontdekking tot de voltooiing. Gedurende deze tijd slaagden de aanvallers erin om ongeveer 285 miljoen dollar in verschillende cryptocurrencies op te nemen.

Uit het onderzoek bleek dat de cybercriminelen toegang hadden gekregen tot de privésleutels van de hot wallets. Een van de hoofdverdachten is Lazarus Group, een Noord-Koreaanse APT-cybergroep Dit komt doordat de aanvallers een meerfasen-algoritme gebruikten om de buit wit te wassen, vergelijkbaar met de trucs die bij eerdere hacks door de Lazarus-groep werden gebruikt. Eerst haalden ze gelijke hoeveelheden crypto door een tumbler (een hulpmiddel om cryptocurrency-fondsen te mengen met andere om sporen te wissen), waarna ze de cryptocurrency overmaakten via gedecentraliseerde platforms.

Ondanks de omvang ervan betekende deze aanval niet het einde van de cryptobeurs. De dag na de diefstal beloofde Johnny Lyu, de CEO van KuCoin, tijdens een livestream de gestolen fondsen terug te betalen. Lyu kwam zijn belofte na, en in november 2020 tweette hij dat 84% van de getroffen activa waren teruggegeven aan hun eigenaars. De resterende 16% werd gedekt door het verzekeringsfonds van KuCoin.

4. Geld uit het niets

Slachtoffer: Wormhole cross-chain bridge

Wanneer: 2 februari 2022

Verlies: 334 miljoen dollar

De volgende in onze top 5 is een aanval die gebruik maakte van een kwetsbaarheid in Wormhole, het cross-chain bridging-protocol. De cybercriminelen werden geholpen door het feit dat de ontwikkelaars van het platform hun programmacode openbaar hadden gemaakt. Maar eerst dit…

Wormhole is een tool die bij cryptocurrency-transacties bemiddelt. Om preciezer te zijn: deze tool maakt het mogelijk voor gebruikers om tokens verplaatsen tussen de Ethereum- en Solana-netwerken. Technisch werkt de uitwisseling als volgt: tokens worden bevroren in de ene keten, terwijl er zogenaamde “wrapped tokens” van dezelfde waarde worden uitgegeven in de andere keten.

Wormhole is een open-source project met een eigen repository op GitHub. Kort voor de aanval plaatsten de ontwikkelaars daar code om een kwetsbaarheid in het protocol te verhelpen. Maar de aanvallers slaagden erin de kwetsbaarheid uit te buiten voordat de wijzigingen van kracht werden.

Door de bug konden zij de transactieverificatie de kant van Solana omzeilen en 120.000 “wrapped ETH” (met een waarde van ongeveer 334 miljoen dollar ten tijde van de aanval) uitgeven zonder het equivalente onderpand in de Ethereum-blockchain te bevriezen. De cybercriminelen maakten twee derde van het totale bedrag over naar een Ethereum-wallet, en gebruikten de rest om andere tokens te kopen.

Wormhole deed een openbare oproep aan de aanvallers om het gestolen geld terug te geven en de exploit te detailleren tegen een beloning van 10 miljoen dollar. De cybercriminelen negeerden het genereuze aanbod.

De dag na de diefstal twitterde Wormhole dat alle fondsen waren hersteld en de bridge weer werkte als voorheen. Het financiële gat werd gedicht door Jump Trading, het bedrijf dat zes maanden voor het incident de ontwikkelaar van Wormhole had gekocht. Afgaande op open-source informatie, zijn de dieven nog altijd niet bekend.

3. Diefstal van 3 jaar

Slachtoffer: Mt.Gox cryptoexchange

Wanneer: Februari 2014

Verlies: 480 miljoen dollar

De geschiedenis van Mt.Gox begon lang geleden al, in 2007, toen het een platform was voor het ruilen van kaarten van het spel Magic: The Gathering. Drie jaar later, te midden van de groeiende populariteit van crypto, besloot de eigenaar van de site, de Amerikaanse programmeur Jed McCaleb, er een cryptobeurs van te maken, maar hij verkocht de dienst vervolgens in 2011 aan de Franse ontwikkelaar Mark Karpelès. Slechts twee jaar later verhandelde Mt.Gox ongeveer 70% van alle bitcoin ter wereld.

De snelle stijging werd gevolgd door een verlammende crash. Op 7 februari 2014 blokkeerde de beurs plotseling alle opnames van bitcoin. Het bedrijf weet dit aan technische problemen. Woedende klanten verzamelden zich bij het hoofdkantoor van Mt.Gox in Tokio en eisten hun geld terug. Dat protest was echter aan dovemansoren gericht.

Het opmerkelijke aan dit verhaal is dat de aanval op Mt.Gox al in 2011 begonnen was. Toen kregen onbekende hackers de privésleutels van een hot wallet op de beurs in handen en begonnen geleidelijk bitcoin over te hevelen. In 2013 hadden de cybercriminelen 630.000 BTC op hun rekeningen gestort.

Mt.Gox beëindigde uiteindelijk de handel op 28 februari 2014, toen Karpelès het failliet verklaarde en zich verontschuldigde voor de “zwakke plekken in het systeem” die ongeveer 750.000 BTC van klanten en 100.000 BTC van zichzelf hadden weggevaagd. Het bedrag van de gestolen fondsen wordt normaal gesproken geschat op ongeveer 480 miljoen dollar, want dit is de waarde van het totale aantal gestolen tokens tegen de wisselkoers op de dag voordat de beurs het faillissement aanvroeg, namelijk 27 februari.

Merk daarbij wel op dat in de tijd nadat Mt.Gox zijn handel staakte en voordat het faillissement werd uitgesproken, de bitcoinprijs sterk daalde. Berekend tegen de wisselkoers van 6 februari (de dag voordat de beurs daadwerkelijk werd gesloten) zou het verlies ongeveer 660 miljoen dollar bedragen. Beide cijfers zijn echter voorlopig: ze houden geen rekening met de drie jaar die de overval duurde en waarin de wisselkoers sterk fluctueerde. Het is daarom moeilijk om de exacte hoogte van het bedrag te bepalen.

Bitcoin-wisselkoers in februari 2014 tijdens de val van Mt.Gox

Bitcoin-wisselkoers in februari 2014. Bron

Hoe kon deze aanval überhaupt plaatsvinden? Volgens voormalige werknemers was het management van het bedrijf nogal nalatig als het om allerlei belangrijke zaken ging. Zo had Mt.Gox bijvoorbeeld ernstige problemen met de financiële verslaglegging. Bovendien heeft er nooit een behoorlijke kwaliteits- en veiligheidsaudit van de code plaatsgevonden: er was bijvoorbeeld geen versiebeheersysteem.

Aanklagers hebben de eigenaar van Mt.Gox, Karpelès, beschuldigd van verduistering van ongeveer 3 miljoen dollar aan fondsen van klanten. Ze slaagden er echter niet in dit voor de rechtbank te bewijzen. Uiteindelijk kreeg Karpelès slechts een voorwaardelijke straf van twee jaar en zes maanden voor gegevensmanipulatie en werd hij vrijgesproken van andere aanklachten.

2. Bijna een half miljard

Slachtoffer: Cryptobeurs Coincheck

Wanneer: 26 januari 2018

Verlies: 496 miljoen dollar

Coincheck is een van de grootste cryptobeurzen van Japan. In 2018 slaagden cybercriminelen erin om meer dan 500 miljoen NEM-tokens te stelen met een waarde van ongeveer hetzelfde bedrag in dollars.

Het bedrijf beweerde dat hun beveiligingssysteem robuust was en meldde niet hoe de indringers de aanval precies hadden uitgevoerd. Sommige deskundigen geloven echter dat de cybercriminelen mogelijk toegang kregen tot de privésleutels van de hot wallets van Coincheck met behulp van malware op een computer in het kantoor van het bedrijf zelf.

De aanvallers maakten ook hun eigen site die NEM-tokens verkocht voor bitcoin en andere cryptocurrencies met een korting van 15%. Als gevolg daarvan daalde de koers van NEM sterk en verloor Coincheck ongeveer 500 miljoen dollar. Toch zorgde dit er niet voor dat de cryptobeurs moest sluiten. De criminelen konden ook niet achterhaald worden. De beurs moest haar activiteiten enige tijd opschorten en beloofde haar klanten met eigen middelen te compenseren.

NEM-wisselkoers na het Coincheck-incident

NEM-wisselkoers na het Coincheck-incident. Bron

1. Jobaanbieding met een verrassing

Slachtoffer: Blockchain-platform Ronin Network

Wanneer: 23 maart 2022

Verlies: 540 miljoen dollar

Ronin Network is speciaal gemaakt door Sky Mavis voor het spel Axie Infinity, waarmee spelers de in-game valuta Smooth Love Potion (SLP) kunnen kopen. Eind maart 2022 stalen onbekende aanvallers een recordbedrag van 540 miljoen dollar aan cryptocurrency van Ronin. Ze werden geholpen door spyware en de magie van social engineering.

De gerichte aanval was gericht op werknemers van Sky Mavis, waar één iemand toebeet (waarschijnlijk op LinkedIn). Nadat deze persoon een “selectieprocedure” had doorlopen, ontving een van de senior ingenieurs een “jobaanbod” in de vorm van een pdf-bestand met spyware erin. Hierdoor konden de dieven de controle over vier van de private validatorsleutels van het netwerk overnemen.

Om toegang te krijgen tot de activa van het bedrijf, moesten ze ten minste vijf van de negen validators compromitteren. Zoals zojuist vermeld, hielp de spyware hen vier sleutels te bemachtigen. De vijfde kregen ze in handen door een vergissing van het bedrijf zelf, dat Axie DAO (gedecentraliseerde autonome organisatie) toestemming had gegeven om transacties te ondertekenen om Ronin Network te helpen het gebruikersvolume te beperken, en vervolgens vergat die toestemming weer in te trekken.

Sky Mavis herstelde zich echter snel van het incident. In juni 2022 werd het blockchainplatform opnieuw gelanceerd en begon het met het compenseren van getroffen spelers.

NFT-karakter uit blockchain-gebaseerd spel Axie Infinity

NFT-karakter uit blockchain-gebaseerd spel Axie Infinity. Replica

Bonus. Een hack met terugbetaling

Doelwit: Cross-chain protocol Poly Network

Wanneer: 10 augustus 2021

Verlies (later teruggekregen): 610 miljoen dollar

Laten we als bonusverhaal eindigen met een andere grote crypto-diefstal, die eindigde met de teruggave van elke cent van de buit. Dit is wat er gebeurde…

Poly Network is weer een ander protocol voor het implementeren van blockchain-interoperabiliteit. In de zomer van 2021 was het getuige van een van de grootste diefstallen in de geschiedenis van cryptocurrency. Een onbekende hacker maakte misbruik van een kwetsbaarheid in Poly Network en stal meer dan 600 miljoen dollar in verschillende cryptocurrencies.

Poly Network riep de dader op Twitter op om de gestolen tokens terug te geven. Tot ieders verbazing nam de hacker contact op en stemde toe. Ze gingen beetje bij beetje over tot de overdracht van de gestolen tokens, en verdeelden ze in verschillende ongelijke delen.

De online uitwisseling tussen de hacker en Poly Network duurde geruime tijd. Daarbij verklaarde de aanvaller dat hij niet geïnteresseerd was in geld en de overval alleen om “ideologische redenen” had uitgevoerd. Als teken van dankbaarheid liet Poly Network zijn aanklachten tegen hem vallen, garandeerde zijn anonimiteit, bood een beloning van 500.000 dollar aan en nodigde hem zelfs uit om zijn hoofdbeveiligingsadviseur te worden. Het bedrijf lanceerde ook een bug-bounty programma ter waarde van 500.000 dollar.

Niet echt een moraal van het verhaal, maar…

We hebben de top 5 crypto-diefstallen hier op een rijtje gezet, die allemaal op grote organisaties gericht waren. Maar gewone gebruikers krijgen natuurlijk voortdurend te maken met veel kleine incidenten. Daarom moet elke belegger stappen ondernemen om hun vermogen te beveiligen. Hier volgen enkele nuttige tips:

  • Kies uw platforms voor handel en andere activiteiten zorgvuldig uit: lees feedback en beoordelingen, en raadpleeg indien mogelijk ervaren gebruikers die u vertrouwt.
  • Geef niemand de inloggegevens voor uw account op de beurs of de gegevens van uw wallet. Houd niet alleen uw wachtwoorden en privésleutels geheim, maar ook uw seed phrase.
  • Bewaar uw belangrijkste cryptocurrency-spaargeld in cold wallet. In tegenstelling tot hot wallets hoeven die niet permanent online te zijn en zijn ze dus over het algemeen veiliger.
  • Als u een hot wallet gebruikt, zorg er dan voor dat u tweestapsverificatie inschakelt.
  • Pas op voor phishing. Om te leren hoe u cryptocurrency-dieven kunt spotten, leest u deze
  • Gebruik een betrouwbare beveiligingsoplossing die financiële transacties beschermt, voorkomt dat malware het wachtwoord of de privésleutel van uw wallet steelt en u waarschuwt voor scamsites.
Tips