Soms is het lastig om te geloven wat u leest wanneer het gaat om de blockchain en cryptovaluta. Zeker toen bekend gemaakt werd dat een ‘blockchainbandiet’ (eentje voor de Van Dale wellicht?) miljoenen verdiend heeft door de private keys van gebruikers te raden. Letterlijk te raden, want deze crimineel voerde een aantal enen in om te kijken of hij daarmee in de online wallet van de gebruikers kwam. En dat leverde hem tientallen miljoenen dollars op…
Veiligheidsconsultant kijkt naar Ethereum en ziet iets vreemds
Adrian Bednarek is de man die dit aan het licht gebracht heeft. Als veiligheidsconsultant rond blockchaintoepassingen werd hij direct aangetrokken door Ethereum (ETH), dat door de complexiteit ook kwetsbaarheden moest hebben. Maar in plaats van te kijken naar de zwaktes, bekeek de consultant eerst of het mogelijk was om een online wallet in te komen door de waarde op ‘1’ te zetten. Verrassend genoeg werkt dit – maar de cryptomunten waren al uit de wallet geroofd.
Vermoedelijk door een dief die dit trucje eerder bedacht had dan Bednarek. Ook andere eenvoudige sleutels met 1 repetitief getal gaven toegang tot meerdere wallets, maar ook deze waren exact op dezelfde manier geleegd. De consultants gingen op onderzoek uit en kwamen erachter dat één Ethereumwallet meer dan 45.000 ether binnen heeft gehaald op deze manier – met een waarde van een slordige $ 50.000.000,00.
Hoe is dit in hemelsnaam mogelijk?
Het verhaal lijkt onwaarschijnlijk, maar tegelijkertijd is het geen reden om direct uw online wallet te sluiten. Een private key heeft 78 random getallen. Volgens Bednarek is het raden van een random sleutel moeilijker dan het vinden van een korrel zand op het strand die door iemand is neergelegd. Maar dit gaat om de random sleutels. De sleutels die gekraakt werden – of eigenlijk gewoon geraden – waren private keys die door de gebruikers zelf opgezet werden.
Nogmaals: het belang van goede wachtwoorden
Mocht u ervoor kiezen om een online wallet te gebruiken in plaats van de aangeraden hardware wallets, dan is het belang van wachtwoorden enorm. Dit geldt voor alle accounts die u gebruikt om te handelen of waarde bewijzen op te slaan. Wanneer een hacker toegang krijgt tot een van uw accounts, dan is het vaak een domino-effect. Zorg daarom altijd voor verschillende wachtwoorden. Wilt u deze niet vergeten, kijkt u dan eens naar de LastPass-applicatie.
Wat heeft de blockchainbandiet met het geld gedaan?
Helemaal niets. Waarschijnlijk is het ook niet één bandiet die met een masker op een zolderkamer aan het werk is. De snelheid en omvang is zo groot dat het hier wel moet gaan om software waarbij vooraf ingestelde wallets getest worden. Overigens is de Ether nooit verplaatst, er zijn alleen transacties naar de wallet gedaan, de Ether is nooit van de wallet gehaald. Een schrale troost voor de mensen die beroofd zijn, want de blockchainbandieten zijn dankzij het koersverloop in ieder geval al 80% van hun opbrengsten kwijt.