Hackers hebben dit jaar $ 1.4 miljard gestolen met behulp van cryptobruggen

Crypto-investeerders zijn dit jaar hard getroffen door hacks en oplichting. Een van de redenen is dat cybercriminelen een bijzonder nuttige manier hebben gevonden om hen te bereiken: bruggen.

Blockchain-bruggen, die netwerken nauw met elkaar verbinden om de snelle swaps van tokens mogelijk te maken, winnen aan populariteit als een manier voor crypto-gebruikers om transacties uit te voeren. Maar door ze te gebruiken, omzeilen crypto-enthousiastelingen een gecentraliseerde uitwisseling en gebruiken ze een systeem dat grotendeels onbeschermd is.

Volgens cijfers van blockchain-analysebedrijf Chainalysis is sinds het begin van het jaar in totaal ongeveer $ 1.4 miljard verloren gegaan door inbreuken op deze cross-chain-bruggen. Het grootste evenement was de record van $ 615 miljoen vangst weggerukt van Ronin, een brug die het populaire niet-vervangbare tokenspel Axie Infinity ondersteunt, waarmee gebruikers geld kunnen verdienen terwijl ze spelen.

Er was ook de $ 320 miljoen gestolen uit Wormhole, een cryptobrug die wordt ondersteund door de hoogfrequente handelsonderneming Jump Trading van Wall Street. In juni werd Harmony's Horizon-brug getroffen door een aanval van $ 100 miljoen. En vorige week, bijna $ 200 miljoen werd in beslag genomen door hackers in een inbreuk gericht op Nomad.

"Blockchain-bruggen zijn het laaghangende fruit geworden voor cybercriminelen, met miljarden dollars aan crypto-activa erin opgesloten", zei Tom Robinson, mede-oprichter en hoofdwetenschapper bij blockchain-analysebedrijf Elliptic, in een interview. "Deze bruggen zijn op verschillende manieren door hackers geschonden, wat suggereert dat hun beveiligingsniveau geen gelijke tred heeft gehouden met de waarde van de activa die ze bezitten."

De bridge-exploits vinden opvallend snel plaats, aangezien het zo'n nieuw fenomeen is. Volgens Chainalysis-gegevens is het gestolen bedrag bij brugovervallen goed voor 69% van het geld dat tot nu toe is gestolen in crypto-gerelateerde hacks in 2022.

Een bridge is een stukje software waarmee iemand tokens uit één blockchain-netwerk kan verzenden en deze in een afzonderlijke keten kan ontvangen. Blockchains zijn de gedistribueerde grootboeksystemen die ten grondslag liggen aan verschillende cryptocurrencies.

Bij het omwisselen van een token van de ene ketting naar de andere - zoals bij het verzenden van een ether van ethereum tot het solana-netwerk - een belegger deponeert de tokens in een slim contract, een stukje code op de blockchain waarmee overeenkomsten automatisch kunnen worden uitgevoerd zonder menselijke tussenkomst.

Die crypto wordt dan ‘geslagen’ op een nieuwe blockchain in de vorm van een zogenaamd ‘wrapped token’, wat een claim op de originele ethermunten vertegenwoordigt. Het token kan vervolgens worden verhandeld op een nieuw netwerk. Dat kan handig zijn voor beleggers die ethereum gebruiken, dat berucht is geworden vanwege plotselinge pieken in vergoedingen en langere wachttijden wanneer het netwerk druk is.

"Ze hebben meestal enorme hoeveelheden geld", zegt Adrian Hetman, tech lead bij crypto-beveiligingsbedrijf Immunefi. "Die hoeveelheden geld, en hoeveel verkeer er door bruggen gaat, zijn een zeer aanlokkelijk aanvalspunt."

De kwetsbaarheid van bruggen is deels te herleiden tot slordige engineering.

De hack op de Horizon-brug van Harmony was bijvoorbeeld mogelijk vanwege het beperkte aantal validators dat nodig was voor het goedkeuren van transacties. Hackers hoefden slechts twee van de in totaal vijf accounts te compromitteren om de wachtwoorden te verkrijgen die nodig zijn om geld op te nemen.

Een soortgelijke situatie deed zich voor met Ronin. Hackers hoefden slechts vijf van de negen validators op het netwerk te overtuigen om hun privésleutels te overhandigen om toegang te krijgen tot crypto die in het systeem is vergrendeld.

In het geval van Nomad was de brug veel eenvoudiger te manipuleren door hackers. Aanvallers konden elke waarde in het systeem invoeren en vervolgens geld opnemen, zelfs als er niet genoeg activa op de brug waren gestort. Ze hadden geen programmeervaardigheden nodig en hun exploits leidden ertoe dat copycats zich opstapelden, wat volgens Elliptic leidde tot de achtste grootste cryptodiefstal aller tijden.

Nomade is hackers aanbieden een premie van maximaal 10% om gebruikersgelden op te halen en zegt dat het zich zal onthouden van juridische stappen tegen hackers die 90% van de activa teruggeven die ze hebben genomen.

Nomad vertelde CNBC dat het "zich inzet om zijn gemeenschap op de hoogte te houden naarmate het meer leert" en "al diegenen waardeert die snel hebben gehandeld om fondsen te beschermen."

Bruggen zijn een essentieel hulpmiddel in de gedecentraliseerde financiële (DeFi) -industrie, het alternatief van crypto voor het banksysteem.

Met DeFi, in plaats van gecentraliseerde spelers die de dienst uitmaken, wordt de uitwisseling van geld beheerd door een programmeerbaar stukje code dat een slim contract wordt genoemd. Dit contract is geschreven op een openbare blockchain, zoals: ethereum or Solana, en het wordt uitgevoerd wanneer aan bepaalde voorwaarden is voldaan, waardoor de noodzaak van een centrale tussenpersoon teniet wordt gedaan. 

"We kunnen die activa niet zomaar verplaatsen", zei Hetman. "Daarom hebben we blockchain-bruggen nodig."

Naarmate de DeFi-ruimte blijft evolueren, zullen ontwikkelaars blockchains interoperabel moeten maken om ervoor te zorgen dat activa en gegevens soepel tussen netwerken kunnen stromen.

"Zonder hen zijn activa vergrendeld op native chains", zegt Auston Bunsen, mede-oprichter van QuikNode, dat blockchain-infrastructuur biedt aan ontwikkelaars en bedrijven.

Maar ze zijn riskant.

"Ze zijn in feite niet bestuurd", zegt David Carlisle, hoofd Regulatory Affairs bij Elliptic. Ze zijn "zeer kwetsbaar voor hacks of voor gebruik bij misdaden zoals het witwassen van geld."

Criminelen hebben sinds 540 voor ten minste $ 2020 miljoen aan onrechtmatig verkregen winsten overgedragen via een brug genaamd RenBridge, volgens nieuw onderzoek die Elliptic aan CNBC heeft verstrekt.

"Een belangrijke vraag is of bruggen onderworpen zullen worden aan regelgeving, aangezien ze veel op crypto-uitwisselingen lijken, die al gereguleerd zijn", zei Carlisle.

Deze week heeft het Office of Foreign Assets Control van het Amerikaanse ministerie van Financiën, of OFAC, aangekondigde sancties tegen Tornado Cash, een populaire cryptocurrency-mixer, die Amerikanen verbiedt om de service te gebruiken. Mixers zijn tools die de tokens van een gebruiker combineren met een pool van andere fondsen om de identiteit van betrokken personen en entiteiten te verbergen.

Carlisle zei dat het duidelijk wordt dat "Amerikaanse regelgevers bereid zijn om achter DeFi-diensten aan te gaan die illegale activiteiten mogelijk maken."

KIJK MAAR: Adrian Hetman van Immunefi legt uit hoe hackers 200 miljoen dollar hebben gestolen