Deze week publiceerde Taylor Monahan een analyse waarin ze diefstallen uit tal van cryptocurrency wallets op 11 verschillende blockchains vaststelde, zonder de oorzaak te kunnen duiden. Wat weten we over deze merkwaardige hacks
Meerdere diefstallen treffen cryptocurrency wallets
Deze week publiceerde MyCrypto oprichter en CEO Taylor Monahan haar on-chain analyse waaruit blijkt dat sinds afgelopen december het equivalent van 5.000 ETH is afgetapt uit een veelheid van wallets op 11 verschillende blockchains.
Interessant is dat het uit de analyse moeilijk lijkt om overeenkomsten vast te stellen tussen de slachtoffers, maar er zijn veel overeenkomsten ontdekt in de modus operandi.
De getroffen portefeuilles werden aangemaakt tussen 2014 en afgelopen december:
Als u dit leest, bent u het type dat hierdoor wordt leeggezogen.
Dit is GEEN low-brow phishing site of een willekeurige oplichter. Het heeft GEEN enkele noob gerekt. Het rekt ALLEEN OG’s.
Als u al uw spullen onder een enkele Geheime Herstelzin / Privé sleutel heeft, migreer dan veilig. pic.twitter.com/o50pcBaUWT
– Tay (@tayvano_) April 18, 2023
De uitgebuite fout is nog niet ontdekt, maar een worst-case scenario waarbij de fout verband houdt met de versleuteling van privésleutels is uitgesloten. Als een hacker erin zou slagen een dergelijke exploit uit te voeren, zou de schade namelijk veel groter zijn.
Volgens de analyses vinden de meeste van deze diefstallen plaats tussen 10 en 16 uur UTC voor de belangrijkste activa, terwijl de kleinere bedragen meestal tussen 16 en 22 uur UTC worden weggenomen. Bovendien zou een groot deel van deze diefstallen plaatsvinden in het weekend.
Tenslotte schijnen veel diefstallen in het weekend plaats te vinden Ik heb natuurlijk niet elke transactie, maar het is vreemd. Ik weet het niet. Het is gewoon raar.
18 december = zondag
25 december = zondag
29 jan = zondag
17-19 feb = vrijdag-zondag
15 apr = zaterdag pic.twitter.com/b4TEAMjmdO– Tay (@tayvano_) April 18, 2023
Het is ook interessant op te merken dat soms tegoeden van het ene naar het andere adres van het slachtoffer worden gestuurd om de buit te consolideren. Bijvoorbeeld, van slachtoffer A gestolen middelen worden naar slachtoffer B gestuurd, wiens middelen en die van A naar een slachtoffer C worden gestuurd.
Bovendien zou de aanvaller de zaken eenvoudig houden, en vaak NFT’s of open posities in eventuele gedecentraliseerde financiële (DeFi) protocollen achterwege laten. Er zijn echter gevallen bekend waarin de aanvaller teruggaat naar een eerder bezocht adres.
Hoe beschermt u zich tegen een dergelijke aanval?
In theorie heeft dit type diefstal vooral betrekking op hot wallets zoals MetaMask, xDeFi of Rabby, maar het is belangrijk op te merken dat geen van hen specifiek gericht lijkt te zijn.
In werkelijkheid is het de manier waarop de privésleutel van de portemonnee wordt opgeslagen die doorslaggevend zal zijn. Aangezien hot wallets de privé-sleutel opslaan in een bestand dat op de computer van de gebruiker wordt gehost, zijn ze een gemakkelijker doelwit. Als de seed phrase van een hardware wallet echter wordt opgeslagen in een tekstbestand op de computer van de gebruiker, is deze niet minder kwetsbaar.
In het algemeen is het daarom verstandig om de locaties van de fondsen te diversifiëren, zodat de adressen waar ze zich bevinden niet afhankelijk zijn van één enkele seed phrase. Bovendien kan het verstandig zijn om regelmatig activa te verplaatsen naar adressen die op basis van nieuwe seed phrases zijn gecreëerd, voor het geval de laatste gecompromitteerd is.
Hoewel het gebruik van hardwares wallets het verstandigst is, mogen seed phrases nooit worden opgeslagen op een machine met internettoegang.
Terwijl we wachten op meer informatie over deze golf van account siphoning, is het raadzaam om de hoeveelheid fondsen opgeslagen in hot wallets zo veel mogelijk te beperken, terwijl ze regelmatig worden vernieuwd.
