Oplichters die zich voordoen als IT-specialisten hebben afgelopen week voor ongeveer 1 miljoen dollar aan crypto buitgemaakt. Ze wisten verschillende Web3-projecten te infiltreren door zich voor te doen als freelance developers. Een slimme truc, met grote gevolgen.

Van teamlid naar hacker

Via remote werk kwamen de nep-IT’ers in contact met projecten als Favrr, Replicandy en ChainSaw. Ze deden zich voor als normale developers, kregen toegang tot het team, en misbruikten daarna het mintproces van NFT’s. Door grote hoeveelheden tokens aan te maken en meteen te verkopen, stortte de vloerprijs van de projecten volledig in.

Zodra de winst binnen was, werden de gestolen fondsen razendsnel verspreid via wallets, exchanges en zogeheten nested services. In sommige gevallen ligt het geld nu stil, in andere gevallen is het spoor al moeilijk te volgen.

Web3 is kwetsbaar van binnenuit

Wat deze hacks zo gevaarlijk maakt, is dat ze niet komen door een fout in de code maar door vertrouwen in de verkeerde mensen. In de Web3-wereld, waar veel op afstand wordt gewerkt, is het extra lastig om nieuwe teamleden goed te controleren. En dat maakt het aantrekkelijk terrein voor slimme aanvallers.

Ook grote namen liggen onder vuur

Het zijn niet alleen kleine NFT-projecten die de dupe zijn. Ook Coinbase werd eerder dit jaar slachtoffer van een aanval van binnenuit. Klantenservicemedewerkers werden omgekocht om gebruikersgegevens door te spelen, waarna er een poging tot afpersing volgde. Bijna 70.000 klanten kregen te maken met een datalek.

Vertrouwen is kwetsbaar

Voor crypto-investeerders is dit een wake-up call. Kijk verder dan alleen het product of de whitepaper van een project. Vraag je af wie erachter zitten, hoe het team is opgebouwd, en hoe serieus ze beveiliging nemen. Want in Web3 kan één verkeerde klik van een teamlid genoeg zijn om een heel project onderuit te halen.

En voor ontwikkelaars geldt: beveiliging begint niet bij je code, maar bij wie je binnenlaat in je Slack.