Cryptohacks en cryptozwendel in 2023: belangrijke trends en hoe je ze afweert

Een blik op de populairste misleidingstechnieken in cryptoland en de manieren om ze te vermijden.

Nu de cryptomarkt ontwaakt, zie je ook criminele spelers opduiken. Een goed moment voor een veiligheidscheck.

Over het algemeen lijken de jaarlijkse cryptoverliezen als gevolg van illegale activiteiten aanzienlijk te zijn afgenomen. Vergeleken met de bijna 4 miljard USD die vorig jaar verloren ging aan hacks en scams, is er in de eerste 10 maanden van 2023 slechts 1,4 miljard dollar verloren gegaan (bron: Immunefi).

Een dergelijke daling zou kunnen worden toegeschreven aan de lange dalende markt, maar zelfs de recente koersbewegingen hebben zich (nog?) niet vertaald in een toename van het aantal hacks. Echter, hoewel Q3 2023 het kwartaal was dat de meeste cryptoverliezen liet optekenen sinds het begin van het jaar, waren er in de maand oktober maar heel weinig.

Dat gezegd zijnde, heeft crypto zo zijn eigen illegale actoren, en het is essentieel om ze te leren herkennen en zich ertegen te beschermen. De populairste misleidingstechnieken zijn seed phrase theft, DeFi exploits, scams en phishingaanvallen.

Portemonnees

Gebruikerservaring is een belangrijk obstakel voor de invoering van crypto. Voor velen is het beheren van een seed phrase van 12 woorden te omslachtig, waardoor gebruikers diensten van derden gaan gebruiken.

Deze diensten omvatten niet alleen crypto-native maar ook all-purpose software, zoals de populaire wachtwoordmanager LastPass.

De dienst wordt er nu van beschuldigd aan de basis te liggen van een lange reeks cryptodiefstallen die begonnen nadat het bedrijf afgelopen december gehackt werd. De hacker gebruikte seed phrases die bij LastPass waren opgeslagen om de bijbehorende portemonnees leeg te halen. In eerste instantie onbekend, werd het verband tussen de diefstallen en de LastPass hack duidelijk na verschillende on-chain onderzoeken later in het jaar. Echter, door de misleidende communicatie van het bedrijf (het beweerde eerst dat gebruikerssleutels niet toegankelijk waren door de inbraak) en het uitstelgedrag van gebruikers, slaagde de hacker erin om zo'n 39 miljoen USD buit te maken, en het aantal stijgt nog steeds. De laatste hack van 4,4 miljoen  USD werd vorige week gemeld.

Elke tussenpersoon is een potentiële bedreiging, en het is verontrustend dat zoveel crypto-gebruikers nog steeds dezelfde fout begaan. De gouden regel is "zijn het niet jouw sleutels, dan is het niet jouw cryptogeld".

DeFi

Telegram bots zijn een ander eerbetoon aan het gemak in de cryptowereld. Het zal je niet verbazen dat ook deze vatbaar zijn voor mislukking.

Gisteren onthulde de populaire Telegram-handeltool Unibot een "token approval exploit" - een kwetsbaarheid van de toestemmingverlening bij slimme contracten waardoor ongeautoriseerde tokenbewegingen mogelijk zijn. Het Unibot-team beloofde om alle 640.000 USD die verloren was gegaan door de bug te compenseren.

Over het algemeen zijn DeFi-protocollen die handel, ruil of overbrugging mogelijk maken de favoriete slachtoffers van hackers. Volgens Immunefi zijn DeFi hacks doorgaans goed voor 70-80 % van de totale verliezen door exploits.

Meestal zijn dergelijke hacks gericht op nieuwe en relatief onbekende protocollen (de hack van Curve Finance deze zomer was een beruchte uitzondering, maar ook hier werd het grootste deel van het gestolen geld terugbetaald). Om te voorkomen dat je geld verliest, is de vuistregel hier om gevestigde platforms te gebruiken.

Oplichting

Sommige van de populairste zwendelpraktijken in crypto worden "rug pulls" genoemd, een situatie waarin het oprichtersteam van een project verdwijnt met het geld van hun klanten. Dit jaar was de belangrijkste "rug pull" Fintoch, dat 31 miljoen USD aan verliezen veroorzaakte.

Het kan moeilijk zijn om een rug pull te herkennen, vooral als de auteurs bedreven zijn in het manipuleren van sociale media. De veiligste aanpak is om niet te beleggen in of gebruik te maken van protocollen zonder een significante staat van dienst.

Phishing

Phishing betekent zich voordoen als een persoon of dienst om gebruikers naar een frauduleuze website te leiden en/of hen een frauduleuze transactie te laten goedkeuren.

Om dat te doen, klonen scammers een gerenommeerde website, waarbij ze een naam kiezen die onoplettende gebruikers kan misleiden. Vorige week nog kopieerden scammers de websites van cryptomedia Blockworks en Ethereum blockchain-scanner Etherscan om lezers te verleiden hun portemonnee aan te sluiten op een crypto-afluisteraar. Er moet echter iets fout zijn gegaan: na verificatie bleek het smart contract van de drainer verkeerd ingesteld te zijn, waardoor de gebruikers geen verliezen leden.

Om phishing-aanvallen af te weren, is aandacht voor details, zoals website- of e-maildomeinen, cruciaal. Bij het goedkeuren van een transactie, of het klikken op een link, is het beter om het domein van verschillende bronnen te controleren (geverifieerde sociale media accounts, andere websites...).

Het beveiligen van de crypto-ervaring van gebruikers is een heilige graal in de sector, en er verschijnen regelmatig nieuwe initiatieven. MetaMask, één van de populairste cryptowallets, heeft bijvoorbeeld onlangs een DApp-scanningoplossing onthuld. Deze werd gelanceerd in samenwerking met Blockaid, een startup voor cryptobeveiliging die in oktober een financieringsrondje van 33 miljoen USD afsloot, en zou offline transacties simuleren en nagaan of ze kwaadaardig zijn.