Maart viel mee voor de cryptowereld. Waar februari nog rampzalig was met een verlies van $1,5 miljard, bleef de teller in maart steken op $28,8 miljoen. Dat blijkt uit cijfers van blockchainbeveiliger CertiK. Toch was het geen rustige maand – hackers en oplichters blijven actief, en de zwakke plekken in protocollen zijn nog lang niet verdwenen.

Slimme truc met slim contract

De grootste klapper kwam van een aanval op Abracadabra.money, een platform waar gebruikers crypto kunnen lenen. Op 25 maart wist een hacker daar $13 miljoen weg te sluizen door handig gebruik te maken van een fout in het systeem. Door een fout in het afhandelingsproces werd oude data niet overschreven, waardoor de hacker keer op keer kon blijven lenen zonder terug te betalen.

Het team achter Abracadabra bood daarop 20% van het gestolen bedrag aan als ‘bug bounty’ – het dubbele van wat normaal is – in ruil voor teruggave van de fondsen. Tot nu toe is er nog geen publiek bericht of de hacker is ingegaan op dat aanbod.

Zoth en 1inch: twee kanten van de medaille

Een andere grote hack vond plaats bij Zoth, een zogenoemd “restaking protocol”. Daar werd de wallet van de ontwikkelaar zelf gehackt. Resultaat: $8,4 miljoen aan crypto weg.

Aan de andere kant wist 1inch, een populaire tool om de beste prijzen op verschillende exchanges te vinden, juist geld terug te halen. Op 5 maart werd het platform getroffen door een aanval waarbij $5 miljoen werd buitgemaakt. Maar na onderhandelingen met de hacker – in ruil voor een bug bounty – kreeg 1inch het grootste deel van dat bedrag terug.

In totaal werd er in maart zo’n $33 miljoen gestolen, maar dankzij het terughalen van een deel van de fondsen kwam het nettoverlies dus lager uit.

Phishing blijft hardnekkig probleem

Niet alle schade komt direct uit hacks. Volgens blockchainonderzoeker ZachXBT verloor een Coinbase-gebruiker maar liefst 400 Bitcoin – ongeveer $34 miljoen – door een vermoedelijke phishingaanval. En dat is waarschijnlijk slechts het topje van de ijsberg: ZachXBT schat dat er in maart alleen al voor meer dan $46 miljoen aan crypto verloren ging door nepwebsites die zich voordeden als bekende exchanges.

Ook de Australische federale politie sloeg alarm. Ze waarschuwden op 21 maart zeker 130 mensen voor nepberichten die verstuurd werden met een afzender-ID van een echte crypto-exchange. Op sociale media doken meerdere voorbeelden op van phishingpogingen waarbij gebruikers werden gevraagd een wallet aan te maken met vooraf ingevulde herstelzinnen – waarmee oplichters volledige controle over iemands crypto krijgen.