Het in Londen gevestigde cryptocurrency-handelsplatform Wintermute zag cyberaanvallen deze week opstijgen met $ 160 miljoen, waarschijnlijk als gevolg van een beveiligingsprobleem in de code van een partner. Het incident toont diepe bezorgdheid over het implementeren van beveiliging voor deze financiรซle sector, zeggen onderzoekers.
De oprichter en CEO van Wintermute, Evgeny Gaevoy, zei op Twitter dat de overval gericht was op de gedecentraliseerde financiรซle (DeFi) arm van het bedrijf, en dat hoewel het incident sommige operaties "voor een paar dagen" zou kunnen verstoren, het bedrijf niet existentieel wordt beรฏnvloed.
"We zijn solvabel met twee keer meer dan dat bedrag aan eigen vermogen," hij tweeted. โAls u een [geldbeheer]-overeenkomst hebt met Wintermute, zijn uw fondsen veilig. Er zal vandaag een storing zijn in onze diensten en mogelijk de komende dagen en zal daarna weer normaal worden.โ
Hij zei ook dat ongeveer 90 activa werden getroffen en deed een beroep op de dader: "We staan โโ(nog) open om dit als een witte hoed [incident] te behandelen, dus als u de aanvaller bent - neem dan contact op."
Ondertussen legde hij uit: naar Forbes dat de "white hat"-opmerking betekent dat Wintermute een "bug bounty" van $ 16 miljoen aanbiedt, als de cyberaanvaller de resterende $ 144 miljoen teruggeeft.
Gevuld met godslastering
Hij vertelde de outlet ook dat de diefstal waarschijnlijk terug te voeren is op een bug in een service genaamd Profanity, waarmee gebruikers een handvat kunnen toewijzen aan hun cryptocurrency-accounts (normaal gesproken bestaan โโโโaccountnamen uit lange, wartaal van letters en cijfers). De kwetsbaarheid, onthuld vorige week, stelt aanvallers in staat om sleutels te ontdekken die worden gebruikt om Ethereum-portefeuilles die zijn gegenereerd met Profanity te versleutelen en open te wrikken.
Volgens Forbes gebruikte Wintermute 10 door Profanity gegenereerde accounts om snelle transacties te doen als onderdeel van zijn DeFi-activiteiten. DeFi-netwerken verbinden verschillende cryptocurrency-blockchains om een โโgedecentraliseerde infrastructuur te creรซren voor lenen, handelen en andere transacties. Toen het nieuws over de bug bekend werd, probeerde het cryptobedrijf de accounts offline te halen, maar door 'menselijke fouten' bleef een van de 10 accounts kwetsbaar en liet de aanvallers het systeem binnen, zei Gaevoy.
"Sommige van deze [DeFi]-technologieรซn omvatten ook integraties en verbindingen van derden waarbij het bedrijf mogelijk niet de mogelijkheid heeft om de broncode te controleren, wat leidt tot extra risico voor het bedrijf", vertelt Karl Steinkamp, โโโโdirecteur bij Coalfire, aan Dark Reading. "In dit geval werd een vanity-adresprovider voor digitale activa, Profanity, gebruikt bij de aanval ... Een dure en vermijdbare fout voor Wintermute."
DeFi-uitwisselingen zullen groeien als een doelwit
Analisten van Bishop Fox ontdekten eerder dit jaar dat: DeFi-platforms verloren $ 1.8 miljard alleen al in 2021 tegen cyberaanvallen. Met in totaal 65 waargenomen gebeurtenissen, was volgens het rapport 90% van de verliezen het gevolg van ongecompliceerde aanvallen, wat wijst op de moeilijkheid om de sector af te sluiten, die afhankelijk is van geautomatiseerde transacties.
En vorige maand gaf de FBI... een waarschuwing dat cybercriminelen in toenemende mate misbruik maken van kwetsbaarheden in DeFi-platforms om cryptocurrency te stelen, voor een bedrag van $ 1.3 miljard dat alleen al tussen januari en maart 2022 is gepakt.
Onderzoekers merken op dat een verbeterde acceptatie en prijsstijging van digitale activa de aandacht van kwaadwillende personen heeft en zal blijven trekken, evenals de lakse staat van veiligheid in het DeFi-gebied.
"Veel van deze bedrijven groeien in zo'n snel tempo, klantenwerving is hun primaire focus", zegt Mike Puterbaugh, CMO bij Pathlock. "Als interne beveiliging en toegangscontrole ondergeschikt zijn aan 'ten koste van alles groeien', zullen er hiaten in de applicatiebeveiliging zijn die zullen worden uitgebuit."
De obstakels bij het versterken van DeFi-beveiliging zijn talrijk; De chef van Wintermute merkte op dat het moeilijk is om geschikt gereedschap te vinden.
"Je moet transacties binnen enkele seconden on-the-fly ondertekenen", vertelde Gaevoy aan Forbes, eraan toevoegend dat Wintermute zijn eigen beveiligingsprotocollen moest maken omdat tools ontbreken. Hij gaf ook toe dat Profanity geen multifactor-authenticatie bood, maar het bedrijf besloot de dienst toch te gebruiken. โUiteindelijk is dat het risico dat we hebben genomen. Het is berekend", voegde hij eraan toe.
Steinkamp merkt op: โAfhankelijk van de architectuur van het DeFi-platform kunnen er meerdere uitdagingen zijn bij het beveiligen ervan. Deze kunnen variรซren van risico's van derden, tot crypto-bridge-bugs, menselijke fouten en het ontbreken van veilige softwareontwikkeling, om er maar een paar te noemen."
En Puterbaugh wijst erop dat zelfs met kant-en-klare besturingselementen en configuraties ingeschakeld, aanpassingen en integraties zwakke punten in de algehele beveiliging kunnen veroorzaken.
Best practices voor het versterken van DeFi-beveiliging
Ondanks de uitdagingen zijn er toch best-practice-benaderingen die DeFi-platforms zouden moeten implementeren.
Puterbaugh pleit bijvoorbeeld voor het implementeren van toegangscontroles bij elke nieuwe app-implementatie, samen met continue controles op toegangsconflicten of applicatiekwetsbaarheden, als sleutel, vooral als het gaat om gemakkelijk draagbare digitale valuta.
Ook moeten "bedrijven binnen de DeFi-ruimte routinematig hun platforms intern en extern testen om er voortdurend voor te zorgen dat ze bedreigingen proactief verminderen", aldus Steinkamp. Hij voegt eraan toe dat bedrijven ook aanvullende verbeterde beveiligingsmaatregelen moeten implementeren als onderdeel van transactiebeveiliging, waaronder multifactorauthenticatie en waarschuwingstriggers bij verdachte en/of kwaadwillende transacties.
Elke laag helpt, voegt hij eraan toe. โWaartoe zou je liever proberen toegang te krijgen: een huis met de deur open of een kasteel met een slotgracht en een ophaalbrug?โ hij zegt. "DeFi-bedrijven zullen het belangrijkste doelwit blijven van cyberdieven totdat ze adequate beveiligings- en procescontroles implementeren om aanvallen op hun platforms minder aantrekkelijk te maken."
