Zelfbeheer van crypto leidt tot $8,5 miljard aan diefstal: hoe kan het veilig?

Zelf je cryptovaluta beheren zonder tussenkomst van banken of overheden – zelfbeheer – wordt vaak gezien als de grootste innovatie van blockchaintechnologie. Gebruikers hebben volledige controle over hun digitale activa, zonder afhankelijk te zijn van derden. Toch is deze vrijheid ook de grootste oorzaak van diefstal in de sector.

Volgens gegevens van DefiLlama zijn er sinds 2014 voor maar liefst $8,5 miljard aan cryptovaluta gestolen door misbruik van privésleutels. Deze sleutels fungeren als digitale handtekeningen en geven toegang tot crypto-wallets. Het betreft bijna de helft van alle hacks in de afgelopen tien jaar. De cijfers roepen vragen op over de haalbaarheid van zelfbeheer en de toekomst van een sector die inmiddels $2,7 biljoen waard is.

Veilig zelfbeheer is mogelijk, maar vereist de juiste aanpak

David Schwed, operationeel directeur bij SVRN en cybersecurity-expert die eerder werkte aan digitale activa voor BNY Mellon, benadrukt dat veilig zelfbeheer wel degelijk haalbaar is. Het probleem ligt volgens hem niet in de technologie zelf, maar in de manier waarop veel crypto-projecten worden opgezet.

Schwed legt uit dat de meeste projecten opereren met beperkte budgetten en onder druk staan om snel producten op de markt te brengen. Beveiliging wordt vaak als een rem gezien, in plaats van een prioriteit. Om zelfbeheer veilig te maken, moeten projecten investeren in ervaren beveiligingsteams en de juiste infrastructuur.

“Als je dat doet, kun je absoluut veilig zelfbeheer realiseren.” – David Schwed, COO bij SVRN

Dit betekent onder meer het aanstellen van een hoofd Informatiebeveiliging (CISO) en het opbouwen van een team van experts. Toch is dit voor veel startups een grote uitdaging, zowel financieel als cultureel.

Recente hacks tonen kwetsbaarheden in de sector

De crypto-industrie werd recent opgeschrikt door twee grote hacks waarbij Noord-Koreaanse hackers in totaal $579 miljoen stalen uit de gedecentraliseerde financiële projecten Drift en Kelp DAO. Deze aanvallen leidden tot een crisis van vertrouwen in DeFi (gedecentraliseerde financiën).

In tegenstelling tot eerdere hacks, waarbij vaak technische fouten in de code werden misbruikt, maakten deze hackers gebruik van zwakke plekken in de beveiliging van de projecten zelf of de systemen waarop ze vertrouwden.

• Drift: Hackers wisten toegang te krijgen tot het interne systeem door bijdragers malware te laten downloaden na een maandenlange social engineering-campagne.
• Kelp DAO: Aanvallers compromitteerden infrastructuurproviders in het LayerZero-netwerk, dat het project gebruikte om te bepalen aan wie fondsen moesten worden uitgekeerd.

Waarom beveiliging vaak ondergeschikt is aan snelheid

Volgens Schwed zijn er meerdere redenen waarom beveiliging niet altijd bovenaan de agenda staat bij crypto-projecten. Investeerders in vroege fase-projecten zetten ontwikkelaars vaak onder druk om snel een product op de markt te brengen en marktaandeel te veroveren. In de competitieve crypto-wereld kunnen projecten die als eerste op de markt komen, een voorsprong behalen.

Voorbeelden hiervan zijn Aave, oorspronkelijk gelanceerd in 2017 als ETHLend, en Uniswap, een van de eerste gedecentraliseerde exchanges die in 2018 live ging. Beide projecten zijn nu marktleiders in hun segment.

Daarnaast zijn de kosten van een adequaat beveiligingsteam hoog. Een CISO en een team van drie tot vijf experts vragen een flinke investering, zelfs voor goed gefinancierde projecten. Bovendien speelt de cultuur binnen startups een rol: een ervaren beveiligingsexpert zal vaak zoveel controles en barrières willen implementeren dat ontwikkelaars zich geremd voelen in hun werk.