Foto: Ebru-Omer/Shutterstock
Vorige week was op Crypto Insiders te lezen hoe een hacker de marktwaarde van een decentralized finance (DeFi) protocol wist te kelderen door gebruik te maken van een fout in de software. Dat had hem 1 miljoen Amerikaanse dollar op kunnen leveren. Er lijkt dus groot geld hierin te verdienen, en een nieuwe hack laat dat wederom zien. Deze was zelfs tien keer zo groot.
10 miljoen USD gestolen in ether
Dit keer gaat om het Saddle Finance, een DeFi-protocol met een vastgelegde waarde (total value locked) op het moment van schrijven van ongeveer $215 miljoen USD. Saddle is een zogeheten automated market maker op Ethereum (ETH) voor ‘getokinseerde’ crypto als bitcoin (BTC). Op Twitter schrijft blockchain-beveiligingsbedrijf PeckShield dat het protocol is gehackt en in eerste instantie een waarde van meer dan 10 miljoen Amerikaanse dollar is verloren.
1/ @saddlefinance was exploited in a flurry of txs (https://t.co/jnFnZHMaO7 and https://t.co/RbpyXg7Sxw),
resulting in the protocol loss of >$10M.— PeckShield Inc. (@peckshield) April 30, 2022
Om precies te zijn ging het om maar liefst 3932,26 ETH. Daarvan is ongeveer 900 ETH naar de Tornado Cash mixer gestuurd. Op het moment van schrijven zit er nog ongeveer 2.500 ether in de wallet. DeFi-beveiligingsbedrijf BlockSec heeft geholpen met het terugvinden van de tokens. Dat heeft 3,8 miljoen dollar aan ETH opgeleverd.
Fout in een klein hoekje
Op Twitter legt PeckShield kort uit hoe de hack tot stand is gekomen. Het ziet ernaar uit dat de aanvaller een licht verouderde eigenschap van het protocol heeft gebruikt om waarde te onttrekken van het protocol.
Deze ‘exploits’ in jargon zijn een veelgebruikte manier om tokens te stelen van DeFi-platformen. Software zit over het algemeen vol met fouten, het is slechts een kwestie van tijd voordat hackers een kwetsbaarheid vinden. Fouten zie je namelijk niet zo snel, zeker niet als je zelf de maker bent van het platform. Gelukkig is niet elke hacker slecht. Zo heb je ‘white hat hackers’, die in tegenstelling tot ‘black hat hackers’ door bedrijven worden ingehuurd om platformen expres te kraken. Zo kunnen bedrijven hun producten beter beveiligen.
Enkele dagen geleden werd ook al een DeFi-protcol gehackt, toen ging het zelfs om $13,4 miljoen. Cryptocurrency investeerders die zich wagen aan DeFi moeten hier dus uiterst voorzichtig mee zijn en wellicht hun risico goed spreiden. Zo kun je voorkomen dat in één keer een groot deel van je portfolio wordt buitgemaakt. Kleine protocollen met een beperkt ontwikkelingsbudget zullen het makkelijkste doelwit vormen, maar zolang de crypto-industrie blijft groeien, zal het risico van aanvallen op DeFi alleen maar toenemen.
