Het open-source betaalplatform UPCX is flink getroffen door een hack. Een aanvaller wist voor zo’n $70 miljoen aan tokens buit te maken. Direct gevolg: transacties zijn stopgezet en de koers ging onderuit.

Wat is er precies gebeurd?

Beveiligingsbedrijf Cyvers sloeg op 1 april alarm nadat het verdachte activiteit zag op het netwerk van UPCX. Een kwaadwillende wist toegang te krijgen tot een belangrijk beheerderscontract — een soort digitale afstandsbediening voor het platform. Daarmee werd een functie geactiveerd die normaal gesproken alleen voor admins beschikbaar is: het opnemen van fondsen.

Binnen korte tijd werden miljoenen UPC-tokens vanuit drie beheerdersaccounts verstuurd. Opvallend is dat de tokens nog niet zijn ingewisseld voor andere crypto. Dat kan erop wijzen dat de hacker nog wacht op het juiste moment, of een volgende stap voorbereidt.

UPCX grijpt in, koers duikt omlaag

Na de ontdekking van de aanval heeft het team achter UPCX direct actie ondernomen. Stortingen en opnames zijn tijdelijk stopgezet, en er loopt een onderzoek. Volgens het team zijn gebruikersfondsen veilig gebleven, maar het vertrouwen kreeg wel een tik.

De markt reageerde snel: de prijs van de UPC-token daalde met zo’n 7%, van $4,06 naar $3,77.

Beveiligingsproblemen blijven terugkomen

Volgens Meir Dolev van Cyvers lijkt deze hack sterk op eerdere aanvallen die ze hebben onderzocht. In veel gevallen komen dit soort incidenten neer op gestolen logins of slecht afgeschermde toegang tot beheerdersfuncties.

Volgens Dolev is dit dé zwakke plek van veel Web3-projecten. In 2024 alleen al zouden dit soort fouten verantwoordelijk zijn geweest voor meer dan 80% van alle gestolen crypto’s.

Hij roept ontwikkelaars op om extra aandacht te besteden aan het goed instellen van walletrechten, multisignature-oplossingen (waarbij meerdere goedkeuringen nodig zijn voor transacties) en slimme controles op live transacties.

De schade loopt snel op

Met deze aanval komt het totaal aan gestolen crypto in april nu al boven de $70 miljoen uit. Ter vergelijking: in heel maart ging het nog om ‘slechts’ $33 miljoen. Het onderstreept opnieuw hoe belangrijk het is dat crypto-projecten hun beveiliging op orde hebben — voordat het te laat is.