Zoth leeggeroofd: miljoenen verdwenen door lek in beheerdersrechten

Het restaking-platform Zoth is voor ruim $8,4 miljoen aan crypto kwijtgeraakt door een gerichte aanval. De dader kreeg toegang tot een beheerderssleutel en kon daarmee razendsnel het hele systeem omzeilen.

Wat ging er mis?

Op 21 maart sloeg blockchainbeveiliger Cyvers alarm na het opmerken van een verdachte transactie bij Zoth. Binnen een paar minuten was het duidelijk: een kwaadwillende had toegang gekregen tot de deployer wallet van het protocol — de wallet die normaal gesproken alleen voor systeembeheer wordt gebruikt.

Met die toegang wist de aanvaller meer dan $8,4 miljoen weg te sluizen. Het geld werd vrijwel direct omgezet naar de stablecoin DAI en doorgestuurd naar een ander adres. Later zijn de fondsen volgens PeckShield ook omgezet naar Ether (ETH), waarschijnlijk om de sporen nog verder te wissen.

Zoth in onderhoud, onderzoek loopt

Zoth heeft de aanval inmiddels bevestigd en heeft het platform tijdelijk offline gehaald. Het team werkt achter de schermen aan een oplossing en zegt samen te werken met partners om de schade te beperken. Er komt later een uitgebreid rapport over het incident, zo laat het bedrijf weten.

De zwakke plek: beheerstoegang

Volgens Cyvers is de aanval niet het gevolg van een bug in de code, maar van een upgrade naar een kwaadaardig smart contract. Die upgrade vond zo’n 30 minuten voor de hack plaats via een verdacht adres. Daarmee kreeg de aanvaller in één klap volledige controle over de fondsen van gebruikers.

Beveiligingsexpert Hakan Unal noemt dit een typisch voorbeeld van wat er mis kan gaan als beheerdersrechten niet goed zijn afgeschermd.

“Zonder gedecentraliseerd systeem voor upgrades, blijven dit soort aanvallen mogelijk,” zegt hij.

Hoe had dit voorkomen kunnen worden?

Volgens Unal zijn er meerdere manieren om dit soort risico’s te verkleinen:

• Multisig-beheer: waarbij meerdere partijen akkoord moeten geven voor aanpassingen.
• Tijdsloten op upgrades: zodat verdachte wijzigingen op tijd opvallen.
• Real-time waarschuwingen: zodra er iets verandert in beheerdersrollen.
• Strakker sleutelbeheer: om ongewenste toegang te voorkomen.

Hoewel dit incident te voorkomen was geweest, verwacht Unal dat dit soort aanvallen voorlopig niet zullen verdwijnen uit de wereld van DeFi. Zolang protocollen centraal te beheren zijn, blijven hackers jagen op de zwakke plekken.