Voorstanders van cryptovaluta wijzen regelmatig op de voordelen van cryptovaluta ten opzichte van bijvoorbeeld fysieke banken. Als we willen dat Web3 mainstream wordt ingevoerd en dat cryptocurrency wordt gebruikt in de detailhandel of als waardeopslag, moet de veiligheid van het geld gegarandeerd zijn.
De hoeveelheid geld die verloren ging door hacks en scams bereikte $685 miljoen in het derde kwartaal van 2023, wat de verliezen tot nu toe dit jaar op $1,4 miljard brengt.
Het kwartaalrapport dat is samengesteld door Web3 bug bounty platform Immunefi laat zien dat maar weinig gebieden van crypto immuun zijn voor aanvallen. Hoewel de veiligheid van de persoonlijke wallet één ding is – is het op platformniveau waar de meeste aanvallen plaatsvinden.
Het grootste deel van de som van Q3 werd verloren door twee specifieke projecten: Mixin Network, een transactienetwerk voor digitale activa, en Multichain, een cross-chain routerprotocol.
Bij deze twee incidenten werd respectievelijk $200 miljoen en $126 miljoen verloren. Dat is goed voor 47,5% van alle verliezen in het derde kwartaal.
De verliezen in het derde kwartaal vertegenwoordigen een stijging van 59,9% ten opzichte van de 428,7 miljoen dollar die in het tweede kwartaal verloren ging.
En het aantal gerapporteerde incidenten is ook gestegen van 30 naar 76 in het derde kwartaal van vorig jaar. Dat komt neer op een stijging van 153% op jaarbasis.
Tussen Decentrale Financiën (DeFi) en Centrale Financiën (CeFi) was DeFi nog steeds het belangrijkste doelwit van de meest succesvolle exploits met 72,9% in vergelijking met CeFi met 27,1% van de totale verliezen.
Immunefi merkte ook op dat door de staat gesteunde actoren een cruciale rol speelden omdat zij dit kwartaal achter verschillende gevallen zouden zitten. Hun bijzondere focus op KeFiK leidde tot een sterke stijging van de verliezen in deze sector.
Gedurende het hele kwartaal zou de Lazarus Group, gefinancierd door de Noord-Koreaanse staat, spraakmakende aanvallen hebben georkestreerd op verschillende platforms, waaronder CoinEx, waar ze $70 miljoen buitmaakten, en Alphapo, waar $60 miljoen werd gestolen.
De groep zou ook Stake hebben aangevallen voor $41,3 miljoen en CoinsPaid voor $37,3 miljoen. In totaal wordt de groep beschuldigd van $208,6 miljoen, of 30% van de verliezen in Q3.
De impact van cryptohacks op Web3-adoptie
Ondanks het groeiende aantal cryptohacks en scams, zijn Web3 en crypto van nature zeer nuttige technologieën die erop gericht zijn gebruikers controle te geven over hun bezittingen en toegang tot onbeperkte en veilige transacties.
Deze visie is positief en heeft veel gebruikers en investeerders aangetrokken. De snelheid waarmee het publiek Web3 adopteert is echter beperkt en wordt sterk beïnvloed door de rapporten en de gegronde vrees voor crypto hacks.
Enkele van deze kwetsbaarheden zijn fouten in de code van smart contracts, gecompromitteerde gedecentraliseerde opslagsystemen en gerichte aanvallen op individuele gebruikers en mensen met bevoorrechte toegang via onder andere phishing en social engineering.
In de meeste gevallen wordt de beveiliging van de bezittingen van een gebruiker behandeld vanuit het oogpunt van de eigenaar en wat hij zou moeten doen om zijn bezittingen te beveiligen. De meeste aanvallen vinden echter plaats op het platform dat fondsen beheert voor veel gebruikers en komen minder vaak voor op individueel niveau.
Daarom moet beveiliging prioriteit krijgen en vanaf het begin op platformniveau worden aangepakt, voordat een eigenaar extra inspanningen doet om zijn bezittingen te beveiligen.
Wat kunnen cryptoprojecten beter doen?
Platformen kunnen verschillende stappen nemen om de activa van hun gebruikers beter te beveiligen. Dit zal op zijn beurt het vertrouwen van gebruikers en investeerders winnen en de adoptie van crypto en web3 bevorderen.
Audits
De basis van audits is meestal het smart contract of een code die de infrastructuur van het platform bouwt. Deze code is gevoelig voor fouten en achterpoortjes die kunnen worden misbruikt om toegang te krijgen tot de fondsen van gebruikers.
Crypto projecten en platforms moeten ervoor zorgen dat hun code vanaf het begin vrij is van fouten en kwetsbaarheden. Dit kan worden gegarandeerd door audits die elke regel code, de functie ervan en mogelijke manieren om ze te omzeilen kunnen onderzoeken en zo kwetsbaarheden kunnen identificeren.
Zodra een grondige audit is uitgevoerd, is het belangrijk dat de transparante resultaten openbaar worden gemaakt zodat gebruikers, de gemeenschap en investeerders ze kunnen beoordelen. Deze resultaten moeten ook de gevonden kwetsbaarheden bevatten en wat er is gedaan om ze te verhelpen. Dit vergroot het vertrouwen tussen de industrie en haar gebruikers.
Zoals aangetoond door de verschillende DeFi-platforms die gecontroleerd en vervolgens gecompromitteerd zijn, is een enkele beveiligingsaudit echter onvoldoende. Daarom moeten er bij elke wijziging van de code nieuwe audits worden uitgevoerd.
Dit helpt ervoor te zorgen dat er geen nieuwe problemen ontstaan. Als teams smart contracts maken en implementeren, is een meer beveiligingsgerichte aanpak cruciaal omdat zelfs een kleine wijziging in de code onverwachte gevolgen kan hebben.
Bug bounty programma’s
Bug bounty programma’s en verantwoordelijke openbaarmaking zijn cruciaal voor het beveiligen van de Web3-ruimte, waarbij ethische hackers worden aangemoedigd om kwetsbaarheden te vinden, zodat ontwikkelaars deze proactief kunnen verhelpen.
In het verleden hebben cryptoplatforms echter kansen afgewezen om bug bounty’s uit te betalen en hebben ze later verliezen geleden door misbruik van kwetsbaarheden die ethische hackers hadden ontdekt.
Samenwerken met white hat hackers door middel van bug bounty programma’s is een strategische zet die eventuele kwetsbaarheden onthult en de toewijding van het project toont om de bezittingen van zijn gebruikers kosten wat het kost te beveiligen.
Operationeel toezicht
Zelfs met frequente en regelmatige audits moeten projecten een continu veiligheids- en operationeel bewustzijn behouden om verdachte activiteiten tijdig op te merken. Dergelijke activiteiten kunnen een plotselinge piek in het gebruik van een bepaalde account zijn, de interactie van het systeem met adressen die op de zwarte lijst staan, maar ook bestuursvoorstellen die worden ingediend met behulp van flitsleningen.
Door geprivilegieerde accounts en de relatie tussen de systemen van het platform en de blockchain in de gaten te houden, zal het project de eerste tekenen van een aanval kunnen identificeren. Denk hierbij bijvoorbeeld aan ongewoon grote transacties of veel transacties naar een bepaald adres.
Het project zal ook in staat zijn om de verliezen die geleden kunnen worden te beperken door de resterende activa te redden in het geval van een aanval.
Onderwijs
Een deel van het vergroten van het vertrouwen dat de crypto gemeenschap en investeerders hebben in cryptoplatforms en hun vermogen om hun activa veilig te houden, is door hen te verzekeren dat de personen met geprivilegieerde toegang tot hun fondsen weten hoe ze hun activa moeten beveiligen.
Hiervoor is het nodig dat de personen leren hoe ze potentiële oplichtingstechnieken zoals phishing en social engineering kunnen herkennen om ervoor te zorgen dat ze niet ten prooi vallen aan dergelijke valstrikken. Cryptoplatforms moeten er ook voor zorgen dat hun werknemers op de hoogte zijn van de nieuwste hacktechnieken, zodat ook zij hun waakzaamheid verhogen.
Conclusie
Als we willen dat Web3 mainstream wordt ingevoerd en cryptocurrency wordt gebruikt in de detailhandel of als waardeopslag, moeten de fondsen gegarandeerd veilig zijn.
Voorstanders van cryptocurrency wijzen regelmatig op de voordelen van cryptocurrency ten opzichte van bijvoorbeeld fysieke banken, en het is een overtuigend verhaal waar veel waarheid in zit.
Maar totdat wallets, exchanges en defi-platforms hetzelfde niveau van veiligheid en vertrouwen bieden als we zouden verwachten van een bankrekening, kunnen we niet verwachten dat mensen op straat zich haasten naar deze nieuwe vormen van geld. Het overtuigende argument voor adoptie zal komen wanneer deze kwartaalrapporten over hacks minder belangrijk worden.
Tot die tijd zullen hacks de krantenkoppen blijven halen.
Referenties
- Crypto Losses in Q3 2023 – (Immunify)