In het derde kwartaal van 2024 verloren verschillende cryptoprojecten samen maar liefst $440 miljoen door 28 hacks. Hoewel dit de kleinste verliezen zijn van de afgelopen drie jaar, is het herstelpercentage van de gestolen fondsen met slechts 5% opvallend laag. Dit blijkt uit een nieuw rapport van cybersecuritybedrijf Hacken, dat inzicht geeft in de kwetsbaarheden binnen Web3 en hoe deze exploits plaatsvonden.

Toegangssleutels: grootste oorzaak van schade De grootste schade werd veroorzaakt door aanvallen op toegangssleutels, waarbij hackers controle kregen over de sleutels die slimme contracten beheren. Deze aanvallen waren goed voor 70% van de totale verliezen, oftewel $316 miljoen. Zodra hackers toegang hebben, kunnen ze fondsen overmaken naar hun eigen wallets of de instellingen van het contract aanpassen om zichzelf meer toegang te geven.

Slimme contracten zijn ook vaak doelwit. Bij een reentrancy-aanval, die vaak voorkomt bij protocollen met liquiditeitspools, wordt een opnamemogelijkheid meerdere keren misbruikt voordat het contract de kans krijgt om zichzelf te updaten. Dit leidde bijvoorbeeld bij Minterest tot een verlies van $1,46 miljoen.

Centrale exchanges zwaar getroffen Centrale exchanges liepen de grootste klappen op, met als meest spraakmakende voorbeeld de hack van WazirX in India. Door een manipulatie van hun multisig wallet wist een hacker maar liefst $230 miljoen buit te maken. Ondanks onderzoeken door het platform zelf en een externe partij zijn de fondsen nog altijd niet teruggevonden, wat speculaties over een mogelijke inside job aanwakkert.

Andere gehackte doelwitten waren onder meer yield-aggregators en cross-chain bridges, maar het aantal brug-aanvallen bleef beperkt. Een positieve uitzondering was de Ronin Bridge, waar een white hat MEV-bot een aanval wist te voorkomen en de fondsen terughaalde.

Automatische beveiliging kan veel voorkomen Hacken benadrukt dat geautomatiseerde beveiligingssystemen zoals hun Automated Incident Response Strategy veel schade hadden kunnen beperken. Deze systemen kunnen bijvoorbeeld slimme contracten automatisch pauzeren bij verdachte activiteiten. In het geval van de hack op Nexera werden 47,2 miljoen NXRA-tokens gestolen, waarvan er 15 miljoen waren omgezet voordat het team het contract kon stoppen. Met automatische bescherming had deze schade mogelijk veel kleiner kunnen zijn.

Conclusie Hoewel de verliezen door crypto-aanvallen in het derde kwartaal van 2024 lager waren dan in voorgaande jaren, blijven de risico’s groot. Geautomatiseerde beveiliging en voortdurende monitoring kunnen helpen om de schade van toekomstige aanvallen te beperken. Cryptoprojecten doen er goed aan om hun beveiliging op tijd op orde te hebben om de volgende grote hack voor te zijn.