De grootste hack uit de geschiedenis🤯

Beste lezer,

Het was een week die de cryptowereld niet snel zal vergeten. Op vrijdag, vlak voor het weekend, kwam er nieuws over een hack naar buiten. Wat bleek?

Bybit werd het slachtoffer van de grootste hack uit de crypto-geschiedenis. Sterker nog, dit is de grootste diefstal in de menselijke geschiedenis. Meer dan 1.4 miljard dollar (!) aan staked Ethereum en ERC-20 tokens werd gestolen. Dit staat gelijk aan 16% van alle eerdere crypto-hacks bij elkaar opgeteld.

Wat deze hack zo bijzonder maakt? 

Er werd géén smart contract code gebroken. Nee, de aanval was geen kwestie van code kraken, maar van mensen manipuleren.

Want Bybit maakt gebruik van multisig-wallets. Hierbij moeten meerdere mensen een transactie goedkeuren. De hackers slaagden erin om iedere ondertekenaar te misleiden via een valse interface, waardoor ze onbewust het beheer van hun eigen cold wallet uit handen gaven. Een pijnlijk moment voor Bybit.

Tweet van de week

Op vrijdag, rond het einde van de middag, kwam dit bericht op X naar buiten.

Er was in eerste instantie twijfel over FUD. Maar niet veel later werd het bevestigd door de CEO van Bybit:

Al snel werd bekend dat het om de grootste hack ooit ging. Deze hack is meer dan twee keer zo groot als de vorige grootste hack.

 Wie zit er achter de hack?

Achter deze gigantische aanval zit Lazarus, een Noord-Koreaanse hackergroep bekend van eerdere grote hacks, zoals Axie Infinity ($625 miljoen) en Harmony Bridge ($100 miljoen).

Deze groep werkt voor de staat en met hun hacks financieren ze de militaire en nucleaire programma's van Noord-Korea.

Ze worden gelinkt aan meerdere hacks wereldwijd, waarbij ze al meer dan $3 miljard hebben buitgemaakt.

Hun werkwijze is geraffineerd: Ze gebruiken geavanceerde social-engineering technieken en misleidende software om nietsvermoedende medewerkers transacties te laten tekenen die anders zijn dan wat ze denken te zien.

Dus het was geen simpele inbraak op een beveiligd systeem, geen brute force-aanval op een wachtwoord, en zelfs geen hack van de smart contract-code. In plaats daarvan gingen de aanvallers te werk via een uiterst geraffineerde vorm van sociale manipulatie waarmee ze erin slaagden de menselijke factor volledig te misleiden.

Wat is er precies gebeurd?

De hackers gingen uiterst zorgvuldig te werk door malware te plaatsen op de apparaten van elke individuele multisig-signer bij Bybit. Multisig-wallets vereisen normaal gesproken meerdere onafhankelijke ondertekeningen om transacties goed te keuren, juist om dit soort aanvallen onmogelijk te maken.

Dus hoe konden ze hieromheen werken?

De aanvallers maakten gebruik van een nagemaakte interface van Safe Wallet – precies hetzelfde ontwerp, dezelfde URL, en ogenschijnlijk dezelfde functionaliteit. De signers zagen een vertrouwde omgeving, compleet met correcte transactiegegevens. Alles leek volledig legitiem.

Echter, wat ze niet zagen, was dat de transactie die ze goedkeurden, achter de schermen de smart contract-logica van Bybit’s Ethereum cold wallet veranderde. Met één simpele goedkeuring droegen ze zonder het te beseffen de volledige controle over aan de hackers.

Dit toont aan hoe ingenieus en subtiel de hack in elkaar zat:

1. Hackers identificeerden elke multisig-signer en installeerden onzichtbare malware.

2. De vertrouwde gebruikersinterface werd perfect nagebootst om argwaan te voorkomen.

3. Transactiegegevens werden correct weergegeven, waardoor geen enkele signer argwaan kreeg.

4. Na goedkeuring was het te laat; de wallet werd volledig overgenomen.

Wat betekent dit voor jou?

Deze aanval is een harde les: zelfs de meest geavanceerde beveiligingstechnieken, zoals multisig-wallets, zijn kwetsbaar als mensen misleid kunnen worden.

Beveiliging gaat verder dan alleen technische bescherming. Mensen zijn altijd de zwakste schakel, en aanvallers weten dat maar al te goed. Dit onderstreept nog eens de bekende regel in de Bitcoin-gemeenschap: "Not your keys, not your coins". 

Maar in het geval van deze hack wordt het verlies vergoed door de exchange. Oftewel: de klant merkt er niets van. 

Dus de afweging die een ieder individueel moet maken is: Kan ik mijn bitcoin beter beveiligen dan de partij bij wie ik ze laat staan? En welke risico’s zitten daar dan weer aan verbonden?

Wil je bitcoin in eigen beheer houden, gebruik dan een hardware wallet met schermverificatie om precies te zien wat je tekent.

Daarnaast zijn er manieren om je privé sleutels (toegang tot je bitcoin) te verspreiden over meerdere partijen. Deze zitten verspreid over meerdere locaties. Partij A en partij B hebben een sleutel en jijzelf hebt een sleutel. Vervolgens moeten er 2 van de 3 partijen een transactie ondertekenen voordat deze wordt uitgevoerd.

Het is erg belangrijk om goed na te denken over je beveiliging.

Beveilig je bitcoin alsof het al 10x meer waard is

De Bybit-hack bewijst opnieuw: je beveiliging is net zo sterk als de zwakste schakel. Vandaag lijken je Bitcoin misschien "veilig" op een exchange te staan, maar wat als je over een paar jaar terugkijkt en denkt: Had ik maar eerder actie ondernomen?

Goede beveiliging regel je niet pas als je Bitcoin een miljoen waard is—je regelt het nu, alsof dat al zo is.

• Weet jij precies hoe je je Bitcoin veilig opslaat?

• Ben je zeker van je zaak, ook als portfolio waarde 10x hoger is?

• Gebruik je een hardware wallet of multisig-oplossing?

Als je twijfelt of je beveiliging op orde is, laten we dan samen kijken naar een solide strategie. Boek een Bitcoin 1-op-1 sessie en voorkom dat je in de toekomst voor vervelende verrassingen komt te staan.

BitcoinGPT

Stel al je vragen aan de eerste Nederlandse BitcoinGPT.

Wat zijn de verschillen tussen Bitcoin en goud? Op welke manier levert Bitcoin mining een bijdrage aan de energietransitie? Kan Bitcoin gehackt worden? De antwoorden op deze en vele andere populaire vragen over Bitcoin vind je vanaf nu snel en volledig via BitcoinGPT.nl.

Met behulp van AI biedt BitcoinGPT directe antwoorden op al je Bitcoin-gerelateerde vragen. Daarnaast ondersteunt het platform beginners en ervaren beleggers met kennis, inspiratie en handige tools.

Naast de GPT biedt de website veel extra’s voor wie zich verder wil verdiepen in Bitcoin:

• Gratis whitepaper: Een ideale startgids voor beginners, met uitleg over basisbegrippen, inspirerende quotes en een verklarende woordenlijst. Inclusief praktische tips voor je eerste Bitcoin-investeringen.

• Podcast luisterlijst: Een zorgvuldig samengestelde Spotify-afspeellijst met de beste Bitcoin-podcasts voor elke startende Bitcoin investeerder.

• Vergelijk Bitcoin-aanbieders: Een overzicht van betrouwbare partijen, inclusief inzicht in tarieven en bewaarmethodes.

Keuzehulp voor slimme investeringen: Op basis van jouw doelen, investeringsbedrag en voorkeuren geeft de website een advies op maat over geschikte aanbieders.

De website is gericht op educatie en niet op geld verdienen.