WazirX- en BingX-hacks leiden Q3, goed voor 69,5% van de verliezen

Slechts twee hacks waren in het derde kwartaal van 2024 goed voor ruim 69% van het verlies aan fondsen door cybercriminelen, waarbij WazirX en BingX de koplopers waren.

Het blockchainbeveiligingsbedrijf Immunefi publiceerde op 26 september zijn cryptoverliesrapport over het derde kwartaal van 2024. Hieruit bleek dat de verliezen door hacks en oplichting met 40% daalden ten opzichte van het voorgaande jaar.

Vorig jaar wisten hackers en fraudeurs cryptovaluta ter waarde van ruim 685 miljoen dollar in handen te krijgen.

Hoewel dit op het eerste gezicht een positieve ontwikkeling lijkt, blijft de ernst van individuele hacks op gecentraliseerde beurzen een punt van zorg.

Het beveiligingsbedrijf meldde in totaal 34 geslaagde en semi-geslaagde incidenten, waarbij het zowel om hacks als om fraude ging.

Hacks bleven de grootste oorzaak van verliezen, goed voor 99,25% van de verliezen, terwijl fraude-incidenten slechts 0,75% bedroegen.

Gecentraliseerde platforms bleven het favoriete doelwit voor kwaadwillenden, met 74,8% van de verloren fondsen dit kwartaal afkomstig van deze entiteiten. Dit markeerde ook een stijging van 66,4% ten opzichte van het voorgaande jaar.

Het aantal aanvallen op decentrale platforms daalde echter met ongeveer 80%, ondanks dat ze verantwoordelijk waren voor 31 van de 34 incidenten.

Beheer van privésleutels is een probleem voor gecentraliseerde beurzen

Het grootste slachtoffer van het derde kwartaal was de Indiase cryptobeurs WazirX, die ongeveer 235 miljoen dollar verloor.

Op 18 juli hebben onbekende hackers de hot wallets van de beurs gehackt en er is meer dan 100 miljoen dollar aan Shiba Inu (SHIB) en 52 miljoen dollar aan Ether gestolen.

De gecompromitteerde wallet bevatte 45% van de totale klanttegoeden van de beurs. De aanval had dan ook ernstige gevolgen voor het vermogen van de beurs om een 1:1-dekking van activa te handhaven.

Deskundigen vermoeden dat de aanval waarschijnlijk plaatsvond doordat een privésleutel was gecompromitteerd. Hiermee kon de aanvaller een smart contract manipuleren en de controle over de hot wallet overdragen.

Op vergelijkbare wijze verloor het in Singapore gevestigde BingX op 20 september ongeveer 52 miljoen dollar op zijn hot wallet.

De beurs wist 10 miljoen dollar van de gestolen fondsen te bevriezen en de schade enigszins te beperken, maar de hacker wist met de rest te ontsnappen.

Deze twee incidenten waren samen goed voor 69,5% van de verliezen in het derde kwartaal, met een gezamenlijk verlies van ongeveer 287 miljoen dollar.

Van de drie incidenten waarbij CEX's waren gericht, werd het Indonesische Indodax het minst getroffen. Het bedrijf verloor 22 miljoen dollar van zijn hot wallet.

Mitchell Amadour, oprichter van Immunefi, waarschuwde dat het beheer van privésleutels een belangrijk 'infrastructuurprobleem' blijft. Hij voegde eraan toe dat gecentraliseerde platforms er vaak niet in slagen om de juiste beveiligingsaudits en noodplannen voor het beheer van privésleutels te implementeren, die essentieel zijn voor het behoud van het eigen beheer van crypto-activa.

Verliezen per keten

Ethereum was het blockchainnetwerk dat het vaakst werd aangevallen, met 15 gemelde incidenten, gevolgd door de door Binance ondersteunde BNB Chain met acht incidenten.

Samen waren de twee netwerken verantwoordelijk voor meer dan 50% van alle aanvallen, voornamelijk vanwege hun omvang en populariteit.

Interessant genoeg had Solana, op de derde plaats wat betreft de totale vergrendelde waarde, slechts één gemeld incident, terwijl de kleinere Base-keten, ontwikkeld door Coinbase, er twee zag.