In de vroege uren van 20 september bevestigde de Singaporese cryptocurrency-uitwisseling BingX dat er een beveiligingsinbreuk was geweest. Het incident resulteerde in "kleine vermogensverliezen", volgens bedrijfsofficials. Maar experts hebben al gezegd dat het had kunnen leiden tot de diefstal van miljoenen dollars. Dat is niet de eerste grote crypto-uitwisselingshack in jaren.
Terwijl de markt in waarde toenam, namen ook de risico's toe. Hackers richten zich op gecentraliseerde crypto-uitwisselingen omdat zij de toegangspoort zijn tot de wereld van digitale activa. Deze platforms houden miljarden aan gebruikersfondsen, wat ze net zo aantrekkelijk maakt als traditionele banken in vroegere tijden voor cybercriminelen. Cryptocurrencies zijn gedecentraliseerd, en verschillende uitwisselingen hebben verschillende niveaus van beveiliging. Dit heeft geleid tot enkele van de grootste diefstallen in de geschiedenis van geld.
De toename van uitwisselingshacks toont een belangrijke waarheid over cryptocurrencies: blockchain-technologie wordt geprezen om haar veiligheid, maar de plaatsen waar gebruikers hun activa opslaan en verhandelen, blijven open voor aanvallen. Veel van deze hacks hebben gebruikgemaakt van zwakke plekken in beveiligingsprotocollen, fouten in de code, of zelfs nalatigheid van werknemers. Miljoenen dollars zijn gestolen, wat het vertrouwen van het publiek heeft geschaad en de vraag heeft opgeroepen of crypto ooit op grote schaal zal worden gebruikt zonder betere infrastructuur.
Terwijl het BingX-schandaal zich ontvouwt, laten we kijken naar de 10 grootste crypto-uitwisselingshacks van de afgelopen jaren en praten over de technische gebreken, financiële gevolgen, en geleerde lessen.
1. Mt. Gox (2014) – De Val van de Reus
De Japanse Mt. Gox-uitwisseling domineerde Bitcoin-handel in de vroege jaren 2010. Het was het toneel van wat waarschijnlijk de beroemdste hack in de geschiedenis van cryptocurrencies is.
De uitwisseling verwerkte meer dan 70% van alle Bitcoin-transacties wereldwijd op zijn drukst. Veel mensen werden bang toen Mt. Gox plotseling stopte met handelen in februari 2014. Kort daarna ging de uitwisseling failliet en verklaarde dat 850.000 BTC, destijds ter waarde van $450 miljoen, waren gestolen. In geld van vandaag zou dat bedrag miljarden zijn. Zelfs 10 jaar later klinkt het verhaal nog steeds angstaanjagend.
De aanval ontwikkelde zich over verschillende jaren. Hackers haalden langzaam Bitcoin uit Mt. Gox-portemonnees door gebruik te maken van zwakke plekken in het hot wallet-systeem van het bedrijf en slechte beveiligingspraktijken binnen het bedrijf. Het belangrijkste probleem was een zwakte in het systeem van de uitwisseling voor het verifiëren van transacties. Deze zwakte, "transactiemalleabiliteit" genoemd, liet dieven toe om transactie-ID's te wijzigen en geld zonder betrapt te worden te nemen.
Mark Karpeles, de CEO van Mt. Gox, werd later aangehouden en beschuldigd van diefstal. De hack blijft herinnerd als een les in de crypto-wereld omdat het toonde hoe gevaarlijk het kan zijn wanneer management slecht is en beveiliging niet sterk genoeg is. Sommige van de gestolen Bitcoin zijn teruggevonden.
2. Coincheck (2018) – De $500 Miljoen NEM Roof
Meer dan $500 miljoen aan NEM (XEM)-tokens werden gestolen van de in Japan gevestigde uitwisseling Coincheck in januari 2018.
NEM-transacties zijn ingewikkelder dan Bitcoin-transacties omdat ze door meer dan één persoon moeten worden goedgekeurd. Maar dat hielp niet. Hoe komt dat? Helaas bewaarde Coincheck het merendeel van zijn NEM in "hot wallets". De portemonnees die online zijn en relatief gemakkelijk kunnen worden gehackt.
Hackers infiltreerden Coincheck's servers en kregen toegang tot de hot wallet van de uitwisseling. Een grote beveiligingsfout van de uitwisseling was dat er geen multi-signature wallets werden gebruikt voor zo'n groot aantal activa. Toen ze eenmaal binnen waren, verplaatsten de hackers de NEM naar verschillende accounts. Hoewel de blockchain-technologie niet kan worden veranderd, kon Coincheck de transacties niet terugdraaien omdat NEM gedecentraliseerd is.
De openheid van de NEM-blockchain hielp de politie om een deel van het gestolen geld te vinden, maar veel is nog steeds vermist. Door de hack moest Coincheck de getroffen gebruikers uit eigen zak terugbetalen. Dit leidde tot strenger toezicht op uitwisselingen in Japan door de overheid.
3. Bitfinex (2016) – Het Multi-Sig Raadsel
Bitfinex was een van de grootste cryptocurrency-uitwisselingen in augustus 2016, toen een hack 120.000 BTC stal, of ongeveer $72 miljoen.
Een blockchain-beveiligingsbedrijf genaamd BitGo leverde Bitfinex een multi-signature wallet-systeem. Toch werden er door de hack kwetsbaarheden in deze opstelling gevonden.
De hackers drongen Bitfinex's beveiliging binnen en kregen toegang tot zijn hot wallets. Beveiligingsfouten in Bitfinex's sleutelbeheer en coderingsfouten in de multi-sig implementatie waren de redenen dat de hackers toegang konden krijgen, zoals later bleek.
Zowel de financiële impact als de daaropvolgende afhandeling van de Bitfinex-hack zijn opmerkelijk. Om de verloren fondsen te vertegenwoordigen, creëerde de uitwisseling een token (BFX) dat gebruikers konden verhandelen of vasthouden totdat de financiën van de uitwisseling verbeterden. Hoewel Bitfinex de getroffen klanten compenseerde, wierp de episode twijfel op over de veiligheid van gecentraliseerde uitwisselingen en het nut van multi-signature wallets.
4 ...
Het belangrijkste punt eerste: sla vertaling over voor markdown links.
Content: voor een tijdje voordat iemand het in de gaten had.
Om een deel van de verliezen goed te maken, verkocht Tech Bureau, het moederbedrijf van Zaif, een controlerend belang in de onderneming aan Fisco, een andere Japanse aanbieder van financiële diensten. Als gevolg van de hack moest Zaif zijn activiteiten tijdelijk stilleggen, en de Japanse regering begon harder op te treden tegen cryptocurrency-uitwisselingen.
10. Bitmart (2021) – De $150 miljoen Hot Wallet Inbreuk
In december 2021 vond er een enorme hack plaats bij Bitmart, een wereldwijd bekende bitcoinbeurs. Er werd voor bijna $150 miljoen aan gebruikersgeld gestolen in de aanval. Hot wallets voor Binance Smart Chain (BSC) en Ethereum (ETH) tokens op de beurs waren de zwakke plekken die de hack mogelijk maakten. De hackers konden alles doen wat ze wilden met de cryptocurrency die in de Bitmart-wallets was opgeslagen nadat ze de walletsleutels van de beurs in handen hadden gekregen.
Een van de meer complexe trucs van de aanvallers was dat ze automatische opnames instelden voor veel tokens, zoals Safemoon, Shiba Inu (SHIB), en anderen.
Het beveiligingsbedrijf PeckShield was de eerste die de vreemde transacties opmerkte en iedereen ervan op de hoogte stelde. Kort daarna bevestigde Bitmart-CEO Sheldon Xia de hack en stopte opnames en stortingen op de site totdat ze de schade konden beoordelen.
Bitmart vertelde snel aan zijn gebruikers dat zij hun verliezen uit eigen zak zouden vergoeden.
Net als bij andere hacks vestigde de Bitmart-hack de aandacht op de grote beveiligingsproblemen die gepaard gaan met het opslaan van hot wallets. Alles wat altijd met het internet verbonden is, is vatbaar voor aanval.
Er is echter meer aan de hand.
Aanvallen zoals deze laten mensen twijfelen aan de betrouwbaarheid van gecentraliseerde beurzen en hun vermogen om gebruikersfondsen veilig te houden.
Als gevolg van wat er is gebeurd, kwamen veel mensen tot de conclusie dat de beveiliging aangescherpt moet worden en dat koude wallet-opslag populairder moet worden om te voorkomen dat soortgelijke problemen in de toekomst optreden.