Bybit hack: $1,4 miljard gestolen door kwetsbaarheid smart contracts

Vrijdag werd de exchange Bybit gehackt. Zo'n $1,4 miljard aan ether (ETH) is gestolen, als gevolg van besmette software in combinatie met het feit dat smart contracts moeilijk zijn te controleren met een hardware wallet. Vermoedelijk zit de Noord-Koreaanse Lazarus group achter de hack.

Kort na de hack lichtte Ben Zhou, de CEO van Bybit, de situatie toe via social media. Hij beschreef dat de hack plaatsvond tijdens het verplaatsen van fondsen uit de cold wallet van naar de hot wallet cold wallet van naar de hot wallet Een cold wallet is een wallet voor langetermijn opslag die vanwege veiligheidsredenen is afgeschermd van het internet. Een hot wallet is een wallet die daarentegen wel is verbonden met het internet en bedoeld om betalingen mee te doen. Wanneer de hot wallet leegraakt, wordt deze periodiek bijgevuld vanuit de cold wallet. van de exchange. Toen medewerkers dachten de transactie te ondertekenen, droegen ze nietsvermoedend de controle over de cold wallet over aan de hackers.

Vermoedelijk maakten de hackers misbruik van de complexiteit van Ethereum smart contracts in combinatie met besmette software. Verschillende medewerkers moesten de transactie controleren en ondertekenen, maar kregen door de software valse informatie voorgeschoteld. Achter de schermen hadden de hackers bovendien het onderliggende smart contract voor de transactie aangepast. Dat was op de hardware wallets echter niet terug te zien, waardoor medewerkers zonder iets door te hebben de transactie ondertekenden.

De hackers maakten op die manier zo'n 401,000 ether (ETH) buit, ter waarde van ongeveer $1,4 miljard. Dat is het hoogste bedrag dat ooit van een exchange is gehackt.

Boven: Elliptic

Volgens Zhou zou er geen reden voor paniek zijn en zijn alle overige fondsen van de exchange veilig. Bybit zou inmiddels leningen zijn aangegaan om de dekkingsgraad voor de gestolen fondsen te herstellen. Veel mensen namen desondanks uit voorzorg hun bitcoin en crypto op van de exchange.

Smart contracts

Lag de fout bij Bybit, de hardware wallet of bij Ethereum smart contracts? Daar is het laatste woord nog niet over gesproken. Wel is duidelijk dat deze hack waarschijnlijk niet was geslaagd als het bitcoin betrof.

Bij bitcoin is namelijk doelbewust en vanwege veiligheidsredenen gekozen voor eenvoud op de basislaag, omdat meer complexiteit inherent zorgt voor een groter aanvalsoppervlak. Deze hack lijkt daar een voorbeeld van.

Bitcointransacties zijn namelijk met een hardware wallet eenvoudig te controleren: als het ontvangstadres en het bedrag in de gebruikte software kloppen en overeenkomen met het adres en bedrag dat wordt getoond op de hardware wallet, dan kun je de transactie veilig ondertekenen.

Wanneer er smart contracts gebruikt worden zoals bij de Ethereumtransactie van Bybit, dan is de controle daarentegen een stuk ingewikkelder. Een smart contract kan namelijk allerlei functionaliteit bevatten. Wat die functionaliteit precies is, kun je op het kleine scherm van een hardware wallet echter niet aflezen. Dat toont meestal alleen een hash hash Een hash is een reeks alfabetische karakters die als een soort unieke digitale vingerafdruk is van bepaalde data. van het smart contract. Als besmette software dezelfde hash toont, dan lijkt het net alsof alles in orde is.

Deze kwetsbaarheid bleek in dit geval groot genoeg om meerdere medewerkers voor de gek te houden en te overtuigen de transactie te ondertekenen.

Lazarus group

Blockchain-analysebureau Chainalysis vermoedt dat de Noord-Koreaanse Lazarus group verantwoordelijk is voor de hack. Via on-chain analyse zijn de gestolen fondsen namelijk te volgen en is te zien dat een deel is verstuurd naar adressen die eerder al eens in verband zijn gebracht met deze hackersgroep. 

De Lazarus group wordt ervan verdacht een cybereenheid te zijn van de Noord-Koreaanse overheid. Deze zeer professionele hackersgroep maakte door de jaren heen miljarden buit en is onder andere bekend van de hack op Sony in 2014 en de beruchte Wannacry-ransomware uit 2017.

De laatste jaren richt de Lazarus group zich steeds vaker op cryptovaluta en volgens Chainalysis is de groep verantwoordelijk voor bijna de helft van alle cryptovaluta-gerelateerde hacks.

Not your keys, not your coins

Het is de zoveelste grote hack op een handelsplatform. Telkens weer blijkt dat er reële risico's kleven aan het bewaren van bitcoin of cryptovaluta bij handelsplatformen of andere dienstverleners. Als je jouw bitcoin of crypto uit handen geeft aan een derde partij, dan ben je afhankelijk van de dienstverlener en of zij verantwoordelijk met jouw geld omgaan.

Zulke dienstverleners zijn echter niet per definitie beter beveiligd tegen cyberaanvallen dan wanneer je zelf een eigen hardware wallet gebruikt. Sterker nog, handelsplatformen en dienstverleners zijn zelfs doorlopend doelwit van hackers, omdat ze wallets beheren met fondsen van duizenden gebruikers. Een succesvolle hack kan daardoor een enorme buit opleveren.

Individuele gebruikers met een eigen wallet zijn daarentegen economisch minder interessant voor hackers, vaak moeilijker in het vizier te krijgen en in principe net zo goed beschermd, mits een hardware wallet wordt gebruikt. Voor meer informatie over een eigen bitcoinwallet en het gebruik van een hardware wallet zie ook onze beknopte startersgids Beginnen met bitcoin.