17 Miljard Dollar Gestolen Uit Crypto in Een Decennium — Dit Is Waar Al Dat Geld Eigenlijk Heengegaan Is

Zeventien miljard dollar is een verbijsterend bedrag dat hackers in tien jaar tijd uit de cryptocurrency-industrie hebben gestolen, zo blijkt uit de rapportage van DefiLlama over het gestolen bedrag in de cryptocurrency-industrie sinds 2010. Elke keer als ik deze statistiek lees, neem ik even de tijd om het te laten bezinken voordat ik het in perspectief plaats. Zeventien miljard dollar is een enorm bedrag. Het bedrag dat "verloren" is gegaan via alle verschillende manieren om cryptocurrencies te stelen, zoals exploit hacks, bridge aanvallen, drain protocollen en exchange hacks (sommige veel complexer dan andere), bevestigt dat deze industrie een beveiligingsprobleem heeft. Wat is veranderd, is dat deze incidenten exponentieel zijn toegenomen.

Hoe het Cijfer Uiteenvalt

Een dienst genaamd DefiLlama verzamelt hacks uit vele aspecten van de cryptocurrency-wereld als een hulpmiddel om bewustzijn te creëren over dit relevante industriële onderwerp. Gebaseerd op gegevens geanalyseerd door DefiLlama, is in de afgelopen tien jaar $17 miljard gehackt in verschillende aspecten van cryptocurrency. Deze dollarbedragen zijn echter niet gelijkmatig verdeeld over die 10 jaar; er waren aanzienlijke hacking-incidenten die plaatsvonden in de periode van drie jaar van 2021 tot en met 2023, toen de totale waarde vergrendeld in gedecentraliseerde financiering (DeFi) omhoogschoot, en net zo snel namen hackpogingen toe toen aanvallers erkenden dat er veel geld in DeFi werd geplaatst met slechts een paar maanden beveiligingsaudits en -tests.

Het patroon van aanvallen is vergelijkbaar. Nieuwe sectoren van crypto trekken snel grote kapitaalstromen aan – sneller dan geld kan worden beveiligd door formele code-beveiligingsaudits, sneller dan veilige technologie kan worden geproduceerd en getest, en sneller dan iemand volledige stresstests kan uitvoeren om te zien wat er gebeurt wanneer $100 miljoen aan activa van een individu wordt opgeslagen in een contract dat nog maar drie weken oud is. Aanvallers observeren deze snelle instroom van geld en beginnen kansen te vinden om uit te zoeken hoe ze dat geld kunnen stelen.

Cross-chain bridges staan bekend als een focuspunt voor grootschalige aanvallen. In 2022 resulteerde de Ronin bridge exploit in een verlies van $625 miljoen. De Wormhole exploit resulteerde in $320 miljoen aan verliezen en Nomad leed $190 miljoen aan verliezen. Een van de belangrijkste redenen dat cross-chain bridges zo'n aantrekkelijk doelwit zijn voor potentiële aanvallers, is dat ze meerdere grote pools van activa opslaan aan beide zijden van de twee gehoste chains – cross-chain bridges kunnen dus worden opgevat als een kluis die zich op het kruispunt van twee systemen bevindt; het beveiligen van dat kruispunt is daardoor erg moeilijk.

De Anatomie van een Crypto Hack

Er zijn veel verschillende manieren waarop hackers cryptocurrency kunnen stelen, en ze allemaal op één hoop gooien maakt het moeilijker om te begrijpen wat er werkelijk gebeurt.

Sommige van deze hacks vinden plaats op smart contract-niveau. Bij dit soort hacks maakt een aanvaller gebruik van een gebrek in de code van een smart contract en gebruikt dat gebrek om een financiële transactie uit te voeren die het smart contract zou toestaan. Een flash loan aanval is een voorbeeld van dit type hack. In dit geval kan een aanvaller een grote hoeveelheid geld lenen en vervolgens, binnen dezelfde transactie, een prijsorakel of een liquiditeitspool manipuleren, waarde uit de transactie halen en de geleende fondsen terugbetalen. Dit alles gebeurt binnen enkele seconden – zonder dat er een gestolen wachtwoord of ongeoorloofd gebruik van een server is; het enige dat gebeurde was dat wiskunde tegen zichzelf werd gebruikt.

Een ander voorbeeld van een aanval is wanneer iemand toegang krijgt tot een privésleutel die hen in staat stelt de schatkist van een protocol te beheren of een brug te ondertekenen. Een treffend voorbeeld hiervan is de Ronin hack, waarbij door de Noord-Koreaanse staat gesponsorde hackers individuele medewerkers van Sky Mavis (de maker van Axie Infinity) viseerden om voldoende toegang tot sleutels te verkrijgen om de brug van fondsen leeg te halen zonder dat dit zes dagen lang werd opgemerkt.

Dit detail moet worden overwogen: het duurde een volle week voordat de grootste afzonderlijke hack in de geschiedenis van cryptocurrency werd gedetecteerd.

Dan zijn er nog de hacks van gecentraliseerde beurzen, zoals die welke het geld van klanten bewaren. De FTX-ineenstorting was geen hack in de traditionele zin, maar de $400 miljoen die uren na het faillissementsaanvraag uit de wallets werd opgenomen, was vrijwel zeker het gevolg van een hack. Mt. Gox verloor in de loop van verschillende jaren 850.000 Bitcoin, en Mt. Gox kon nooit identificeren wat er aan de hand was terwijl de hack bezig was.

Wie Steelt Er

Veel van de meest significante hacks zijn geen willekeurig opportunisme. De Lazarus Group uit Noord-Korea wordt verantwoordelijk gehouden voor miljarden dollars aan gestolen cryptocurrency uit verschillende operaties. De Amerikaanse regering heeft verschillende aan hen gekoppelde walletadressen gesanctioneerd, en een aantal blockchain-analysebedrijven heeft de beweging van de activa gevolgd binnen een reeks steeds ingewikkelder wordende witwassystemen (mixers, chain hops en via makelaars gevestigd in slecht gereguleerde jurisdicties).

Cryptocurrency diefstal op dit niveau is een inkomstenbron geworden voor een officieel gesanctioneerde natiestaat. Dat is vreemd om te zeggen, maar er is veel bewijs dat dit ondersteunt, afkomstig van tal van onafhankelijke onderzoeksorganisaties.

De andere hacks worden meestal gepleegd door minder geavanceerde hackers (bijv. ontwikkelaars die een niet-geauditeerd protocol vonden, teams die elkaar proberen te overtreffen, mensen die individuele gebruikers phishen).

Wat de Industrie Wel en Niet Heeft Opgelost

In de huidige wereld worden beveiligingsaudits nu standaard uitgevoerd bij elke serieuze protocollancering. Bug bounty-programma's zijn een manier voor onderzoekers om een legitieme uitbetaling te krijgen voor het ontdekken van kwetsbaarheden voordat de hackers dat doen. Veel bridges maken nu gebruik van meer gedecentraliseerde validator-opstellingen om het risico van één enkel faalpunt te beperken.

Ondanks deze inspanningen, blijven hacks met een ongekende frequentie plaatsvinden. Hoewel er enige inspanning is geleverd om de frequentie van werkelijk desastreuze afzonderlijke incidenten te vertragen, blijven de totale cumulatieve verliezen groeien.

De realiteit is dat veel van de crypto-infrastructuur begon als haastig gebouwde producten van kleine teams, gemaakt in competitieve haast om geld in omloop te brengen zonder de tijd te nemen om volledig na te denken over 'wat als'-scenario's vanuit het perspectief van de aanvaller die onbeperkte tijd heeft om aan te vallen, evenals oneindige financiële middelen tot zijn beschikking.

Deze omgeving heeft de industrie de afgelopen tien jaar meer dan $17 miljard gekost. De uitkomst van het volgende decennium hangt af van de vraag of de industrie succesvol heeft geleerd van die fouten, of dat ze simpelweg beter is geworden in het registreren van hun post-mortems.