Wie heeft een online casino-overval Stake ter waarde van $ 41 miljoen gepleegd? Noord-Korea, zegt de FBI.
Indignatie redactie
5 min. lezen
De door de staat gesponsorde Noord-Koreaanse hackers hebben opnieuw een grote online diefstal gepleegd, terwijl Kim Jong-un naar verwachting de levering van wapens aan Rusland zal bespreken.
Hackers hebben deze week voor ongeveer $ 41 miljoen aan cryptocurrencies gestolen van Stake.com , een online casino en site voor sportweddenschappen. Woensdag schreef de FBI de hack toe aan Noord-Korea en zijn beruchte, door de staat gesponsorde Lazarus Group.
“De FBI heeft bevestigd dat deze diefstal plaatsvond op of rond 4 september 2023, en schrijft deze toe aan de Lazarus Group (ook bekend als APT38), die bestaat uit cyberactoren uit de DVK”, aldus het agentschap in een persbericht .
Mede-oprichter van Stake.com, Edward Craven, vertelde cryptonieuwscentrum DL News dat de aanval een “geavanceerde inbreuk” was waarbij misbruik werd gemaakt van een dienst die het casino gebruikt om cryptotransacties te autoriseren. Ongeacht het oogverblindende bedrag dat door de hackers van de overheid is gestolen – vooral omdat de cryptoprijzen in een ernstige daling blijven steken – zei Craven dat Stake.com zou blijven opereren.
De Noord-Koreaanse Lazarus Group is berucht en werd in 2019 toegevoegd aan de Amerikaanse sanctielijst. De groep, ook bekend als APT38, is verantwoordelijk voor talloze spraakmakende hacks die door de jaren heen hebben plaatsgevonden voor een bedrag van ruim een miljard dollar . Alleen al dit jaar, zo merkt de FBI op, heeft de Lazarus Group meer dan $200 miljoen aan crypto gestolen. De blockchain is inherent traceerbaar, en dus kennen de FBI de adressen waarnaar het geld is verplaatst. De FBI adviseert mensen om “waakzaam te zijn bij het voorkomen van transacties die rechtstreeks met of afgeleid zijn van deze adressen.”
Wat betreft wat Noord-Korea met al die crypto doet, speculeren experts dat het land de fondsen naar zijn kernwapenprogramma sluist. Kim Jong-un reist deze maand naar Rusland, waar hij naar verwachting zal praten over de levering van wapens als brandstof voor de voortdurende invasie van Vladimir Poetin in Oekraïne, waarvan Amerikaanse functionarissen hebben gewaarschuwd dat dit ertoe zal leiden dat het land ‘een prijs zal betalen’.
Mede-oprichter van Stake zegt dat portemonneesleutels ‘niet zijn aangetast’ bij de hack van cryptocasino ter waarde van $ 41 miljoen
- Mede-oprichter van Stake, Edward Craven, bevestigde de hack, maar zei dat de privésleutels van het platform niet in gevaar waren.
- De aanval omvatte ongeoorloofde opnames uit een drukbezochte hot wallet van het cryptocasino.
- Craven zei dat de aanval een ‘geavanceerde inbreuk’ was die gericht was op een dienst die het bedrijf gebruikt om transacties te autoriseren
Crypto’s grootste online casino- en sportweddenschapsplatform Stake werd maandag voor 41 miljoen dollar gehackt , maar mede-oprichter Edward Craven zegt dat de inbreuk niet te wijten was aan het feit dat hackers controle kregen over de privésleutels.
Blockchain-beveiligingsexperts hadden eerder gespeculeerd dat de privésleutels van Stake in gevaar waren gebracht.
Privésleutels zijn wachtwoordachtige codes die de toegang tot crypto-wallets controleren. Als een kwaadwillende actor de controle over deze sleutels verkrijgt, kan hij deze gebruiken om toegang te krijgen tot de portemonnee van een slachtoffer en geld over te hevelen.
“Privésleutels zijn niet gecompromitteerd, maar de aanvaller kon verschillende ongeautoriseerde transacties uitvoeren vanuit onze hot wallets”, vertelde Craven dinsdag aan DL News .
Craven zei dat de aanval een “geavanceerde inbreuk” was die gericht was op een dienst die het bedrijf gebruikt om transacties op de Ethereum-, Polygon- en BNB Chain-blockchains te autoriseren.
Deze transacties omvatten $16 miljoen in Ether, evenals stablecoins zoals USDT, USDC en DAI. Dit werd gevolgd door nog eens $25 miljoen aan opnames van MATIC- en BNB-tokens.
Craven vertelde DL News dat Stake “weer precies zo werkt als vóór de aanval”.
“Het verlies aan geld is zeker geen triviaal bedrag, maar deze aanval heeft de activiteiten van Stake niet materieel beïnvloed.”
Stake bevestigde de hack eerder maandag via een bericht op X, voorheen Twitter, maar zei dat het gebruikersgeld ondanks het incident veilig was.
“We doen een onderzoek en zullen de portemonnees bovenhalen zodra ze volledig opnieuw beveiligd zijn”, aldus Stake .
Stake stopte tijdelijk de stortingen en opnames na het incident, maar herstelde beide functies kort daarna.
Sommige waarnemers zeggen dat het gestolen geld voor het bedrijf een druppel op een gloeiende plaat is. De omzet van Stake bedroeg vorig jaar $2,6 miljard , meer dan het dubbele van de winst die in 2021 werd gerapporteerd.
Hot wallet-inbreuk
Bij de hack van maandag richtten de aanvallers zich op hot wallets die door Stake worden gebruikt bij zijn dagelijkse activiteiten.
Hot wallets zijn met het internet verbonden crypto-wallets die gebruiksgemak bieden voor transacties. Maar deze flexibiliteit kan kosten met zich meebrengen: de gevoeligheid voor kwaadaardige indringers vanwege hun blootstelling aan internet.
Als zodanig zijn ze niet zo veilig als cold wallets, die wel en niet met internet zijn verbonden. Cold wallets zijn echter niet optimaal voor gebruikssituaties waarbij frequente transacties nodig zijn.
De Stake-portemonnee waarop de hack van maandag doelde, verwerkt veel transacties: 50.000 per dag, volgens Craven.
“Dit was een populaire portemonnee die werd gebruikt voor stortingen en opnames van klanten”, zei Craven.
Lekkage van privésleutels of niet
Blockchain-beveiligingsexperts waren er vrij zeker van dat het Stake-incident een hack was, zelfs voordat er enige officiële bevestiging was.
De verklaring van Craven dat privésleutels niet zijn aangetast, staat echter op gespannen voet met de analyse van verschillende blockchain-beveiligingsexperts.
“Het is een lek van privésleutels”, vertelde Deddy Lavid, CEO van blockchain-beveiligingsbedrijf Cyvers, aan DL News kort nadat zijn bedrijf de hack maandag had ontdekt. Het kan gaan om het trekken van een tapijt of een schending van de toegangscontrole, zei hij.
Naast het lekken van privésleutels kunnen hackers ook controle krijgen over portemonnees met behulp van aanvalsvectoren zoals phishing, waarbij het slachtoffer wordt misleid om kwaadaardige software op zijn computer te downloaden.
DeFi durfinvesteerder en beveiligingsonderzoeker Arhat Bhagwatka vertelde DL News dat gecompromitteerde privésleutels de “meest plausibele verklaring” waren voor de ongeoorloofde opnames uit de hot wallet van Stake.
Was Stake's Private Key Compromised??
Looks like @Stake has been exploited for ~$40M+.
Upon reviewing the contract code from the tx hash with the $DAI transfer, there seems to be "uint wad = allowed ? uint(-1) : 0;" in the contract.
This line allows setting allowance to… pic.twitter.com/wfLZyuN8ki— Arhat (@0xArhat) September 4, 2023
“Privésleutels kunnen ook door andere maatregelen zijn gelekt, zoals ongeautoriseerde handtekeningen, maar dit is de enige verklaring die zinvol is.”
Geen MEV-activiteit
Sommige beveiligingsonderzoekers wezen ook op het ontbreken van andere geavanceerde on-chain-activiteiten tijdens het incident als bewijs dat dit te wijten was aan gecompromitteerde privésleutels en niet aan een kwaadwillige slimme contract-exploit.
“Een exploit van deze omvang gebeurt meestal met frontrunning- of sandwich-aanvallen of kwaadaardige contracten – die voor mij allemaal niet zichtbaar waren in alles waar ik naar keek”, zei Bhagwatka.
De transacties van hackers worden vaak voorafgegaan door MEV-bots vanwege de grote hoeveelheden tokens die tijdens hacks worden overgedragen. Dit ontbrak bij het Stake-incident.
