Alleen dit jaar is er al voor 1,1 miljard dollar aan crypto's gestolen. En dan heb ik het dus over diefstal van je digitale muntjes uit je wallet of bij exchanges. Je virtuele geld is dus niet veilig en het stelen blijkt een eitje te zijn. Hoe het zover kan komen zocht ik weer voor je uit!
De meeste gevallen beginnen met malware. Dit is een stukje software wat zich in je computer of smartphone nestelt (zonder dat jij dat in de gaten hebt) en waarmee de dief zich toegang verschaft tot jouw digitale portemonnee. Vroeger werden dit ook wel Trojan Horses genoemd. Maar hoe je ze ook noemt, meestal kom je er pas achter dat je er last van hebt als het te laat is. Dus als jij inlogt in je wallet en ziet dat je saldo op 0 staat...
Deze malware is op het darkweb gemakkelijk te verkrijgen, tenminste volgens Carbon Black Security. Er zijn zo'n 34.000 varianten in omloop en het kost gemiddeld $224 om aan te schaffen. Peanuts dus, als je ziet wat ermee bereikt kan worden. Sommigen worden verkocht voor een bedrag van iets meer dan een dollar, en de prijzen lopen op tot zo'n $1000. Je kunt er zelfs een klantenservice bij krijgen, die je tips geeft over het gebruik. Je kunt terecht op 12.000 zwarte marktplaatsen. De markt van malware is dus net zo booming als de cryptomarkt! In 2017 werd er voor totaal 1,2 miljard dollar gestolen, nu in 2018 zitten we halverwege het jaar al op eenzelfde bedrag.
Hoewel je zou verwachten dat het vooral bendes en criminelen zijn die achter zo'n diefstal zitten, is het volgens Carbon Black niet ondenkbaar dat 'normale' individuen een poging wagen. Mensen die geld nodig hebben kunnen ooit rare sprongen maken, en dit lijkt een anonieme en relatief makkelijke en onschuldige manier om wat extra's te 'verdienen'.
Informatie over alternatieve coins: altcoins
In de meeste gevallen gaat het bij deze diefstallen om een paar honderd of duizend euro/dollars. Tenminste, het lijkt mij dat de gemiddelde crypto enthousiasteling geen tonnen of miljoenen in een wallet heeft staan. Ik wil het niet bagetalliseren, als je slachtoffer bent van een diefstal, fysiek of virtueel, al gaat het om een paar tientjes, dan is dat natuurlijk gewoon ronduit ellendig.
Als je 's ochtends opstaat en je wallet blijkt leeg te zijn, dan zullen er echt wel wat vloekwoorden vallen. En dat de kans is dat de waarde van je wallet in een nacht tijd halveert (of erger) is ook vervelend, maar dat is een ingecalculeerd risico. Dat je geld gestolen wordt lijkt toch altijd een ver-van-je-bed-show. En toch kan het ook jou en mij overkomen!
Afgelopen januari werd op de Japanse cryptobeurs Coincheck 523 miljoen NEM gestolen. De munten waren op dat moment zo'n 500 miljoen dollar waard en de diefstal dupeerde zo'n 260.000 mensen. Hoe de diefstal exact heeft kunnen plaatsvinden is niet bekend gemaakt, maar het lijkt erop dat het ook hier malware betreft. Deze is naar alle waarschijnlijkheid op de computer van een medewerker van Coincheck terecht gekomen en heeft de deur opengezet om de wallets van gebruikers leeg te trekken. De munten werden bewaard in hot wallets, dus altijd verbonden met het netwerk, en op het moment van inbreken was er nog geen multifactor authentication of dergelijke mogelijk voor de gebruikers.
Coincheck maakte vrijwel meteen bekend dat zij de getroffen gebruikers zouden compenseren en is hier in maart mee gestart. De waarde van de NEM lag toen fors lager, en Coincheck keerde een dikke 420 miljoen dollar uit, waardoor de gebruikers er meer aan over hielden dan dat de munten waard waren op dat moment. De totale waarde van het portfolio van de gedupeerden zou halverwege maart nog maar zo'n 150 miljoen geweest zijn.
Ook werd de handel direct stilgelegd. Inmiddels is Coincheck overgenomen door online handelsplatform Monex voor een bedrag van 3,6 miljard Yen (27 miljoen Euro) en kan er ook weer gehandeld worden op Coincheck.
In augustus 2016 werd de exchange Bitfinex voor een tweede keer slachtoffer van een hack. Ondanks dat er in mei 2015 al een keer voor 350k dollar gestolen werd, leek de deur toch wijd open te staan om dit keer met bijna 120.000 Bitcoin (destijds $66 miljoen waard) naar buiten te ‘lopen'. Ook hier werd waarschijnlijk gebruik gemaakt van malware, dit vermoeden bestaat vooral omdat er behalve hot wallets ook cold wallets zijn leeggeroofd.
De exchange maakte gebruik van 3 digitale handtekeningen voor het valideren van transacties, en ondanks dat heeft de diefstal alsnog plaats kunnen vinden. Hoewel het destijds om een relatief klein bedrag leek te gaan (66 miljoen is veel maar valt wel in het niet bij bijvoorbeeld de diefstal van NEM hierboven), zijn die Bitcoins nu veel en veel meer waard.
Hoewel bij elke diefstal tot nu toe slechts één crypto per keer worden gestolen, en vooral de Bitcoin en Ethereum alt-coins het slachtoffer lijken te zijn, is er geen pijl te trekken op welke crypto er gestolen wordt. Ook gaat het door de jaren heen om verschillende exchanges en wallets. Wat ze gemeen hebben is dat het gelukkig nog niet de grote bekende namen zijn die wij hier meestal gebruiken.
Maar dat wil niet zeggen dat dat niet alsnog gaat gebeuren. Bovenstaand zijn slechts een paar voorbeelden, maar je kunt je voorstellen als we het hebben over bedragen van 1 miljard per jaar (en inmiddels per half jaar) dat de kans steeds groter wordt dat ook anderen er last van gaan krijgen.
Want zodra er geld, veel geld, verdiend kan worden, kijkt de andere kant van onze maatschappij mee. En meestal hebben die weinig zin om het op legale manieren te spelen. En hoewel het witwassen van illegaal geld mogelijk is met crypto's, is het natuurlijk aantrekkelijk om nog 'even' wat extra's mee te pakken. De pakkans is namelijk klein, van de meeste diefstallen in de afgelopen jaren is nog steeds niet bekend wie erachter heeft gezeten.
Bovendien hebben exchanges de neiging om een diefstal in de doofpot te stoppen. Waarschijnlijk om hun reputatie niet te schaden, bang om klanten te verliezen. Ook crypto's zijn niet heel happig op het feit dat de hele wereld het moet weten, omdat de koers over het algemeen behoorlijk onderuit gaat nadat een diefstal wereldkundig is gemaakt. Toch is eerlijkheid en transparantie belangrijk, om zo ook maatregelen te kunnen nemen.
Je wordt op je werk waarschijnlijk regelmatig gewaarschuwd om bepaalde mailbijlagen niet te openen. Deze waarschuwing geldt eigenlijk nog meer voor je privémail. Want wat er op je hotmail, gmail etc binnenkomt kan net zo goed malware bevatten. Ook het bezoeken van onveilige websites brengt risico's met zich mee. Een goede virusscanner is dus een must.
Maar je kunt je wallet op verschillende manieren (extra) beveiligen zodat deze minder makkelijk te hacken is, ook al heb je te maken met malware. Zo kun je denken aan multifactor autentication. Maar een offline wallet (bijvoorbeeld een token of een paper wallet) zijn wat dat betreft het allerveiligst. Dan moet je er wel voor zorgen dat je ze niet kwijtraakt, uiteraard :-). Wil je hier meer over weten? We hebben hier al eens over geschreven: