3 redenen waarom crypto-uitwisselingen kwetsbaar zijn voor hacks en aanvallen
Cryptocurrency-uitwisselingen verwerken enorme hoeveelheden geld. Het probleem met al dat volume is dat het aantrekkelijk is voor alle verkeerde soorten mensen. Snode mensen. Mensen die dat geld voor zichzelf willen nemen.
Crypto-uitwisselingen hebben het tegen het ergste en er is veel interesse in het hacken en stelen van cryptocurrency. Helaas hebben crypto-uitwisselingen kwetsbaarheden die kunnen worden misbruikt. Hier zijn een paar redenen waarom crypto-uitwisselingen kwetsbaar blijven voor oplichting, fraude, hacks en aanvallen.
Reden 1: enorme cryptocurrency-holdings
De belangrijkste en meest voor de hand liggende reden is het eerder genoemde volume. Het is een beetje een uitweg om dit als een punt te gebruiken, omdat het alle andere redenen dekt. Dieven willen de tokens, en ze willen ze nu.
Maar neem even de tijd om na te denken over de omvang van wat een aanvaller probeert te bemachtigen.
Elke exchange heeft een hot wallet. De hot wallet (of online wallet) verwerkt transacties op de exchange, zonder de valuta heen en weer te hoeven verplaatsen tussen offline cold wallets. De hete portemonnee is echter een van de belangrijkste attracties voor een aanval. Op elk moment kan een exchange honderden miljoenen dollars aan cryptocurrencies in een hete portemonnee hebben zitten. In december 2017 was Bittrex voorbij $ 4 miljard zittend in een enkele portemonnee. Laat dat even bezinken.
Bittrex is niet de enige. Alle beurzen hebben hot wallets. En december 2017 was een bijzonder intensieve handelsperiode. Maar voor vier miljard dollar aan tokens die zijn beveiligd met een enkele privésleutel? Het is ongelooflijk riskant.
Er zijn ook prominente voorbeelden:
- Bithumb. De Zuid-Koreaanse beurs verloor in juni 2018 35 miljard Koreaanse won (ongeveer $ 31,5 miljoen) aan tokens.
- Muntrail. Een andere Zuid-Koreaanse uitwisseling, Coinrail verloor ongeveer 40 miljard Koreaanse won (ongeveer $ 35 miljoen) aan tokens, ook in juni 2018.
- Coincheck. De Japanse beurs Coincheck verloor in januari 2018 523 miljoen NEM-munten, op dat moment ongeveer $ 534 miljoen waard.
- Zaif. Een andere Japanse beurs, Zaif, verloor in september 2018 ongeveer $ 60 miljoen aan bitcoin, bitcoin cash en MonaCoin.
- Bitstamp. Het in Luxemburg gevestigde Bitstamp verloor in januari 2015 18.866 BTC, destijds een waarde van ongeveer $ 5,1 miljoen.
Dit zijn slechts vijf voorbeelden van een hot wallet-hack. Er zijn talloze andere voorbeelden van crypto-exchange-hacks.
Reden 2: menselijke fouten
Crypto-uitwisselingen zijn niet autonoom. Achter de schermen, en zoals bij elke grote website, is er een toegewijd team dat ervoor zorgt dat alles blijft draaien. Dat werkt voor het grootste deel goed. Mensen zijn echter feilbaar. Helaas worden fouten in de cryptowereld zwaar bestraft. Bovendien is het voor een aanvaller gemakkelijk om spam- of phishing-e-mails te versturen in de hoop een treffer te krijgen.
Neem de Bitstamp-hack uit de laatste sectie. Bitstamp hield zich aanvankelijk erg stil over de hack, maar een uitgelekt document licht werpen op gebeurtenissen. Hackers stuurden in de loop van enkele weken een reeks spear-phishing-e-mails naar zes Bitstamp-medewerkers. De aanvallers voerden achtergrondcontroles uit bij de werknemers, vroegen hen via Skype en slaagden er uiteindelijk in om een Bitstamp-systeembeheerder te overtuigen om een Word-document te downloaden.
Het Word-document bevatte een verborgen Visual Basic for Applications (VBA) -script dat een schadelijk bestand downloadde en de sys-admins-machine in gevaar bracht. Eenmaal gecompromitteerd, had de aanvaller toegang tot de belangrijkste Bitstamp hot wallet-servers, inclusief wachtzinnen.
“Op 4 januari heeft de aanvaller de Bitstamp-portemonnee leeggemaakt, zoals blijkt uit de blockchain. Hoewel de maximale inhoud van deze portemonnee op elk moment 5000 bitcoins was, kon de aanvaller de hele dag door meer dan 18.000 bitcoins stelen naarmate klanten meer stortingen deden. “
Het is geen verrassing dat in de afgelopen acht jaar ongeveer 31 crypto-exchanges zijn gehackt, met een verlies van meer dan $ 1,3 miljard..
Reden 3: gebreken in infrastructuur
Menselijke fouten kunnen ook andere kwetsbaarheden veroorzaken. Als de aanvaller zich niet richt op werknemers, kunt u er zeker van zijn dat ze zich richten op kwetsbaarheden in de website-infrastructuur.
De ICO Rating Exchange-beveiligingsrapport identificeert vier gebieden waar cryptocurrency-uitwisselingen kwetsbaar zijn:
- Console fouten
- Beveiliging van gebruikersaccounts
- Registerhouder en domeinbeveiliging
- Webprotocollen Beveiliging
Console-fouten
Fouten in de onderliggende uitwisselingscode zijn niet automatisch kritiek, maar hangen wel af van de ernst van de fout. De enorme DAO-hack was bijvoorbeeld bijna volledig te wijten aan een kwetsbaarheid in de code. Hackers hebben voor meer dan $ 50 miljoen aan Ethereum gestolen.
Het ICO Rating-rapport schat dat 68% van de onderzochte uitwisselingen helemaal geen fouten bevat. Dus, hoe zit het met de andere 32%? Nou, dat hangt af van het type code-kwetsbaarheid. Bovendien, of kwaadwillende partijen op de hoogte zijn van de kwetsbaarheid en of het winstgevend is om te exploiteren.
Beveiliging van gebruikersaccounts
U denkt waarschijnlijk dat de beveiliging van individuele eindgebruikersaccounts geen groot probleem is. Tot op zekere hoogte heb je gelijk. Beveiliging van eindgebruikersaccounts is belangrijk, maar niet cruciaal voor de beveiliging van uitwisselingen.
Het uitwisselen van werknemersaccounts is een andere zaak. De beveiliging van gebruikersaccounts voor medewerkers van crypto-uitwisselingen moet zowel sterk als consistent zijn. Ik wil denken dat alle crypto-uitwisselingen medewerkers begeleiden op het gebied van accountbeveiliging (sterk wachtwoord voor eenmalig gebruik, meer dan acht tekens, een combinatie van tekens en symbolen, enzovoort).
Registerhouder en domeinbeveiliging
De studie onderzocht uitwisselingskwetsbaarheden die verband houden met de siteregistrar en het domein. Het identificeerde vijf verschillende potentiële kwetsbaarheden:
- Registervergrendeling. Registervergrendeling is een speciale vlag in het register die voorkomt dat iemand wijzigingen in uw domein aanbrengt.
- Registrar Lock. Anders dan “registry lock”, voorkomt registrar lock het kapen van domeinen door beveiliging en authenticatie te vergroten voordat wijzigingen in het register worden toegestaan.
- Rolaccounts. Een rolaccount voorkomt het lekken van persoonlijke informatie die via een register wordt gevonden. Theoretisch maakt het het vinden van personen die aan het domeinregister zijn gekoppeld, moeilijk te vinden en dus moeilijker voor aanvallers om zich te richten.
- Vervaldatum. Het verlopen van een domein komt verrassend vaak voor (weet je nog dat Google per ongeluk zijn domein liet verlopen en iemand erop sprong?).
- DNSSEC. DNSSEC (Domain Name System Security Extensions) is een pakket hulpprogramma’s ter bescherming tegen DNS-aanvallen. DNSSEC verifieert alle DNS-query’s met een cryptografische handtekening, waarbij ongeautoriseerde DNS-invoer en antwoorden worden geweigerd.
Beveiliging van webprotocollen
De laatste aanvalsvector is webprotocolbeveiliging. Aanvallers zijn bedreven in het misbruiken van webgebaseerde kwetsbaarheden. Enkele van de grootste aanvallen zijn inderdaad het gevolg van de meest voorkomende kwetsbaarheden. Het rapport testte de beveiliging van het uitwisselingsprotocol met behulp van https://www.htbridge.com/websec/, beoordelen of de volgende vijf beveiligingsheaders aanwezig zijn:
- Strikte transportbeveiliging. De HTTP-Strict-Transport-Security (HSTS) -header dwingt browsersessies om HTTPS te gebruiken.
- X-XSS-bescherming. De header van X-XSS-Protection definieert hoe de site beschermt tegen cross-site scripting en de kwetsbaarheden die ermee gepaard gaan.
- Content-Security-Policy. De Content-Security-Policy (CSP) -header maakt de definitie van toegestane bronnen van specifieke soorten inhoud mogelijk, wat helpt bij de verdediging tegen XSS en andere code-injectie-aanvallen. Bovendien definieert CSP een aantal browserbeveiligingsgedragingen, zoals het gebruik van een sandbox-omgeving voor de sessie.
- X-Frame-opties. De header X-Frame-Options definieert of de site zichzelf laat framen. Door framing te blokkeren, worden aanvallen zoals clickjacking en kwaadwillende advertenties gestopt.
- X-Content-Type-Options. De X-Content-Type-Options-header beschermt ook tegen XSS- en code-injectie-aanvallen door het snuiven van inhoud uit te schakelen, terwijl ervoor wordt gezorgd dat de inhoud wordt gedefinieerd en beheerd door de header.
Het ICO Rating-rapport geeft aan dat 29 procent van de onderzochte crypto-uitwisselingen geen van de bovenstaande beveiligingsheaders had.
Beveiligingsuitdagingen voor Cryptocurrency Exchange
Het is duidelijk dat cryptocurrency-uitwisselingen tal van gebreken vertonen. Ook zie je de omvang van de problemen waarmee de beurzen worden geconfronteerd. Een groeiend gebruikersbestand vergroot de beursposities, waardoor de beurs op zijn beurt een aantrekkelijker doelwit wordt. Overwegingen moeten ook uitgaan naar sites die een snelle groei doormaken en dienovereenkomstig opschalen van beveiligingspraktijken.
Crypto-uitwisselingen zijn niet speciaal. Het zijn geen unieke websites met gespecialiseerde protocollen. Een crypto-exchange gebruikt dezelfde beveiligingsprotocollen als de rest van internet. En net als de rest van internet is de uitwisseling zo sterk als de beveiligingsimplementatie. Als de site-ontwerper niet op de hoogte is, zullen de uitwisseling en zijn gebruikers gegarandeerd een slechte tijd hebben.
De beste methode is om uw cryptocurrency te verwijderen van een mogelijk kwetsbare exchange en deze op te slaan in een veilige offline cold wallet.