Sinds het ontstaan van cryptocurrency bestaan er crypto platformen waar men crypto kan kopen en verkopen. Deze platformen vormen pools van gigantisch veel munten; iets wat de aandacht trekt van de georganiseerde misdaad. Meestal stoppen de beveiligingssystemen de cyberaanvallen maar meer dan eigenlijk zou mogen, lukt het hackers om binnen te dringen.
Ondanks de lijst van exchanges die gehacked, of vertrokken zijn met het geld van hun gebruikers, ontzettend lang is, gaan we in deze blog de belangrijkste hacks van naderbij bekijken.
Bekijk Snel
Overzicht
Door de jaren heen gebeurden er verschillende aanvallen op Bitcoin reserves van grote exchanges. Hackers vanuit de hele wereld, hebben het gemunt op de grote sommen geld die de exchanges bezitten.
Er wordt geschat dat de kosten van alle hacks en fraude oploopt tot ongeveer 15 à 20 miljard dollar. De technieken die hackers gebruiken lopen uiteen van phishing, identiteitsfraude tot het uitbuiten van bugs in de code.
Het gigantisch hoge bedrag wordt gevormd, doordat de meeste gestolen fondsen bestonden uit Bitcoin en andere cryptocurrency. Sinds de exponentiële groei van deze cryptocurrencies is dus ook de waarde van de bedragen van deze hacks serieus verhoogd.
Het totaal aantal crypto beurzen dat gehackt werd komt volgens schattingen neer op ongeveer 200 exchanges. Deze lijst blijft maar groeien, zeker met de komst van DeFi, waar iedereen nu de open-source code van een gedecentraliseerde exchange kan kopiëren.
Welke bekende gecentraliseerde exchanges werden gehackt?
Wanneer we kijken naar de top 15 grootste exchanges op basis van volume merken we dat 8 van de 15 slachtoffer zijn geworden van hacks. Naast het verliezen van serieus veel geld hebben deze exchanges het vertrouwen van hun klanten verloren.
Sommige zijn dit verlies bovenop gekomen, anderen hebben minder geluk gehad. We kijken vandaag naar exchanges die nog steeds een plek hebben in de top 15 van crypto exchanges.
Top 15 exchanges (Volume)
- Binance
- Coinbase
- Huobi
- Kraken
- KuCoin
- Bitfinex
- Binance.US
- Bithumb
- Gate.io
- Bitstamp
- Gemini
- Coinone
- bitFlyer
- Poloniex
- Bittrex
Binance
De grootste en populairste exchange Binance werd in het jaar 2019 bestolen voor bijna 7.000 Bitcoins, die toen een waarde hadden van 60,5 miljoen dollar.
Hackers stalen de cryptocurrencies door in te loggen via API sleutels, 2FA codes en andere gebruiksinformatie van verschillende gebruikers die ze verzameld hadden. Binance, dat de naam droeg van een reputabele exchange, betaalde het verlies van de gebruikers terug en verscherpte zijn veiligheidsmaatregelen.
KuCoin
KuCoin, dat gevestigd is in Singapore en de vijfde plaats inneemt van meest gebruikte exchanges, werd op september 2020 slachtoffer van een cyberaanval.
De cybercriminelen slaagde erin om via privésleutels toegang te krijgen tot de hot-wallets van KuCoin. Hierin werden de coins, die werden verhandeld op het platform, opgeslagen. De hackers gingen aan de loop met verschillende tokens die een totale waarde hadden van 270 miljoen dollar.
Alle gedupeerden van de hack werden door het verzekeringsfonds van KuCoin terugbetaald. Kucoin was samen met Tether (USDT) in staat om een deel van de gestolen fondsen te bevriezen. Later kwam het bericht dat 204 miljoen dollar werd teruggevonden en enkele verdachten van de hack werden opgepakt.
Bitfinex
Bitfinex, de exchange gevestigd in Hongkong werd in augustus 2016 bestolen door hackers voor bijna 120.000 Bitcoin, die in die tijd een waarde hadden van 72 miljoen dollar.
De gegevens tot de multisig-wallet vielen in verkeerde handen, waardoor indringers toegang hadden tot de hot-wallet van Bitfinex. Uit onderzoek bleek dat er nergens interne links waren met de verdwijning van de Bitcoins. Dit roept op tot vragen, aangezien Bitfinex nooit duidelijk is geweest hoe de Bitcoins werden verplaatst.
Om het financieel verlies boven op te komen, besloot Bitfinex het verlies te verdelen over zijn gebruikers. Elke gebruiker kreeg per afgenomen dollar een BFX token in ruil. Dit token kon op een later tijdstip worden ingeruild voor dollars.
Er volgde ontzettend veel kritiek op de manier waarop het verlies werd gedekt en de reactie van Bitfinex. Uiteindelijk slaagde Bitfinex erin om zijn gebruikers uit te betalen en de verliezen te compenseren.
Bithumb
De Zuid-Koreaanse exchange Bithumb werd drie keer getroffen door cyberaanvallen. De ene hack was heel wat groter dan de andere. De grootste diefstal was er één van ongeveer 31,5 miljoen dollar, waarbij criminelen de hot-wallets van Bithumb plunderden.
Ook was Bithumb slachtoffer van een hack, waarbij de gegevens van 30.000 gebruikers werden gestolen, door een hacker die toegang kreeg tot een computer van een medewerker van Bithumb. Kort hierna werden de accounts leeggehaald. De gestolen fondsen hadden gezamenlijk een waarde van ongeveer 12 miljoen dollar.
De laatste keer werd Bithumb niet van buitenaf aangevallen, maar van binnenin. Een medewerker van Bithumb zou zich tegen het bedrijf hebben gekeerd en voor 18,7 miljoen dollar aan Ripple (XRP) en Eos (EOS) tokens hebben gestolen. In alle gevallen werden de gebruikers terugbetaald door Bithumb.
Gate.51
De Chinese exchange Gate.io werd in 2019 het slachtoffer van een 51%-aanval op het Ethereum Classic (ETC) netwerk. Criminelen slaagden erin om ongeveer 40.000 ETC te stelen, wat overeenkwam met 271.500 dollar. Om de aanval te stoppen werden alle transacties op het Ethereum Classic netwerk ongeldig verklaard. De verliezen van de gebruikers werden terugbetaald door Gate.io. In onderstaande video wordt meer uitleg gegeven over de 51%-aanval van Ethereum Classic.
Bitstamp
Verschillende medewerkers van de crypto exchange Bitstamp, dat gevestigd is in Luxemburg, werden in 2015 slachtoffer van gecoördineerde phishing aanvallen. Hierbij werden ze overhaald om bestanden te openen die malware verspreidden en men zo aan gevoelige bestanden geraakte.
Door de hack verloor Bitstamp ongeveer 18.866 Bitcoins uit zijn hot-wallet, die destijds een waarde hadden van ongeveer 5 miljoen dollar. Om de hack geen tweede keer mee te maken besloot Bitstamp zijn platform tijdelijk stil te leggen en zijn systeem volledig te vervangen door een nieuw platform uit te bouwen.
Kraken
De Amerikaanse exchange werd op mei 2017 bestookt door DDoS-aanvallen. Op dat moment konden de gebruikers van Kraken niet meer handelen en bereikte de prijs van Ethereum (ETH) een dieptepunt van 29 dollar.
Deze flash-crash leidde tot liquidaties van vele leverage-handelaars. Vijf hiervan spanden een rechtszaak tegen Kraken aan, waarin ze een vergoeding van 5 miljoen dollar vroegen ter compensatie. Volgens Kraken bleek dat de timing van de DDoS- aanval en de grote verkooporder eerder toevallig waren en dat er van marktmanipulatie geen sprake was.
Poloniex
Samen met Kraken werd de Amerikaanse exchange Poloniex ook slachtoffer van een DDoS-aanval. Dit is de tweede DdoS-aanval dat Poloniex meemaakte. Poloniex toonde aan dat het de verhoogde vraag van gebruikers op dat moment niet aankon en dat zijn systemen veel te oud waren. Ondertussen heeft Poloniex zijn servers versterkt tegen mogelijke nieuwe DdoS-aanvallen. In onderstaande video zie je op een geanimeerde manier wat een DdoS-aanval inhoudt.
Coinone
Zuid-Koreaanse crypto exchange Coinone werd in 2018 veroordeeld tot het betalen van een vergoeding aan een gebruiker die werd gehacked. De gebruiker die slachtoffer werd van een SIM-swap aanval verloor de toegang tot zijn account. De scammer, die via een Nederlands VPN adres het account leeghaalde, ging er vandoor met 50.000 dollar.
De bestolen belegger klaagde Coinone aan op het feit dat de hacker meer kon opnemen dan zijn dagelijkse limiet en er geen enkele beveiliging was voor het blokkeren van buitenlandse VPN-IP adressen. Coinone betaalde een compensatie voor het bedrag dat werd afgenomen, maar boven de limiet zat.
Eervolle vermeldingen
Andere exchanges die minder sterk stonden gingen failliet of namen af in populariteit. Zij zullen voor eeuwig in de crypto geschiedenisboeken staan. We zetten even de opvallendste hacks op een rijtje.
CoinCheck
De CoinCheck hack in 2018, werd de grootste crypto exchange hack in de geschiedenis van cryptocurrency. De Japanse exchange werd door zijn grote beveiligingsgebreken gehacked voor 500 miljoen dollar aan Nem (XEM) tokens.
Coincheck besloot alle gebruikers terug te betalen en werkte samen met de Nem-ontwikkelaars om de fondsen op te sporen. Maar dit draaide uit op een doffer, waardoor het onderzoek kort hierna werd gestaakt.
Coincheck kwam het verlies te boven en wordt nog steeds gebruikt als crypto exchange. Toch is het vertrouwen in de exchange serieus afgenomen en kozen crypto handelaren andere platformen om hun coins te verhandelen.
Mt. Gox
De Mt. Gox hack, die van 2011 tot 2014 de grootste crypto exchange van de wereld was en voor meer dan 70% van het totale volume uitmaakte, werd één van de meest beruchte hacks in de geschiedenis van crypto.
Hackers gebruikten gestolen inloggegevens om het grootste aantal Bitcoins, in een cryptohack, te stelen. De totale hoeveelheid bedroeg zo 850.000 Bitcoins, waarvan 740.000 van de gebruikers van Mt. Gox. De gestolen Bitcoins hadden op dat moment een waarde van 460 miljoen dollar.
Deze hack leidde tot een 36% crash van de prijs van Bitcoin. Mt Gox ging failliet en de Ceo Mark Karpelis kreeg straf met uitstel, omdat hij schuldig werd bevonden aan het manipuleren van informatie. Ook werd er in 2017 de Rus Alexander Vinnik opgepakt, omdat hij een belangrijke rol zou gespeeld hebben bij het witwassen van de gestolen Bitcoins. Het duurde jaren voordat Bitcoin en cryptocurrency herstelden van deze zware klap.
Bitconnect
Bitconnect was eigenlijk geen exchange, maar een pyramid-scheme of piramidespel. Het platform wilde goedgelovige leden van de crypto gemeenschap overtuigen om geld te investeren. Wanneer in 2018 Bitconnect in elkaar zakte, viel de prijs van het Bitconnect-token (BCC) van 400 dollar naar enkele centen. Duizenden gebruikers verloren hun geld. Het piramidespel van 2.4 miljard dollar zakte volledig in elkaar.
De promotie gebeurde via sociale media influencers, die de goedgelovigen konden overhalen om in Bitconnect te investeren. Eerder dit jaar werd het nieuws bekend gemaakt dat deze influencers verwacht worden in de rechtbank om zich te verantwoorden voor de promotie van Bitconnect. Onderaan vind je de ondertussen meme-video van Bitconnect. Iets wat op het eerste zicht grappig lijkt, maar wat uiteindelijk ontzettend veel mensen financieel ruïneerde.
DeFi hacks
De ontwikkeling van gedecentraliseerde exchanges (DEX) heeft ervoor gezorgd dat cryptocurrencies niet meer op één locatie worden bewaard. Dit beschermt de gedecentraliseerde exchanges tot zekere mate. Toch zijn er verschillende voorvallen waar protocollen, die ook het geld van de crypto gebruikers vastzetten, zullen worden misbruikt door hackers en fraudeurs.
Omdat een gedecentraliseerde exchange enkel op codes werkt, slagen hackers erin om bugs uit te buiten en zo platformen te bestelen. In DeFi is er meer risico omdat de space veel minder gereguleerd is dan de centrale kant van crypto. De laatste maanden lijken hacks op protocollen eerder regel dan uitzondering. De volgende hacks zijn de grootste in de geschiedenis van DeFi.
Meerkat Finance
Meerkat Finance, wat een fork was van het Yearn.Finance (YFI) protocol, werd gelanceerd op de Binance Smart Chain (BSC). Eén dag later werd het protocol beroofd van 13 miljoen Binance dollar (BUSD) en 73.000 Binance Coins (BNB). Dit zorgde voor een totaal van 32 miljoen dollar dat werd buitgemaakt door de frauduleuze ontwikkelaars.
De ontwikkelaars van Meerkat Finance hadden de code zo ontwikkeld dat ze, via een zogezegde upgrade, de coins naar hun eigen adres konden versturen. Na de hack werden alle sociale media accounts verwijderd en was er geen enkel spoor meer van Meerkat Finance.
Bunnyswap
Bunnyswap was het platform dat het hardst werd getroffen in de laatste Binance Smart Chain exploitaties. Acht flash loans werden gebruikt om de prijs van verschillende PancakeSwap pools te manipuleren. Dit resulteerde in een verlies van 6.9 miljoen Bunny tokens, die een waarde hadden van 45 miljoen dollar. Door deze aanvallen crashte de prijs van 150 dollar naar 6 dollar. Het Bunny protocol probeert zijn verliezen nog steeds te boven te komen.
EasyFi
EasyFi, een fork van Compound Finance (COMP), was één van de grootste leenplatformen op het Ethereum netwerk. Het protocol werd gehackt voor 2.98 miljoen EASY tokens, die een waarde hadden van ongeveer 75 miljoen dollar. De hacker kreeg toegang tot de admin-sleutels van de ontwikkelaar en haalde de liquiditeitspools van het protocol volledig leeg. De EasyFi hack is met 75 miljoen dollar de grootste DeFi hack die ooit plaatsvond.
Conclusie
Cryptocurrencies zijn relatief veilig, maar het zijn de exchanges die het risico lopen om gehacked te worden. Het is belangrijk om de juiste exchange te kiezen die van veiligheid hun grootste prioriteit maken. Toch is het niet ongewoon dat verschillende top-exchanges het slachtoffer werden van hacks of fraude. Wat opvallend is, is de reactie van deze exchanges. De meesten betaalden zijn gebruikers altijd volledig terug voor het verliezen van hun fondsen en versterkten hun beveiligingsystemen.
Hackers zullen nooit stoppen met het aanvallen van crypto exchanges of het vinden van nieuwe manieren om protocollen uit te buiten. Het is dus belangrijk om een goede exchange te kiezen, maar ook zelf maatregelen te treffen met betrekking tot jouw online beveiliging.
Heb je vragen over veilig online crypto’s verhandelen? Of ben je zelf al eens slachtoffer geweest van een hack of scam? Laat het ons weten zodat we via onze AllesOverCrypto facebookgroep. Daar zijn leden van het AOC' die je graag verder helpen.
Foto header: ozrimoz/Shutterstock