Elke wolk heeft een zilveren randje. Zo kijkt cryptonieuwssite CoinTelegraph naar de zoveelste ‘geslaagde’ hack van een gedecentraliseerd financieel (DeFi) dienstplatform. Door hacks wordt namelijk meer ondernomen voor de cyberveiligheid van deze platforms. En uiteindelijk kan dat de cryptosector alleen maar ten goede komen. Hoe dan?
Onlangs vond de grootste DeFi-hack in de crypto-industrie plaats. Een hack van blockchainplatform Poly Network resulteerde in de diefstal van meer dan 600 miljoen dollar; Binance Chain, Ethereum en het Polygon Network zelf waren het slachtoffer. De som werd echter teruggegeven; de hacker wou het DeFi-platform enkel “een lesje leren”.
Gezien het innovatieve karakter van DeFi is de sector in constante ontwikkeling en blijft hij daardoor vatbaar voor een aantal kwetsbaarheden. Het is ergens ook logisch dat een van de grootste uitdagingen voor deze industrie momenteel het garanderen van veiligheid is. Zo vond onlangs de grootste DeFi-hack binnen de crypto-industrie plaats; die van Poly Network.
- Om deze hack verder in perspectief te plaatsen, onthulde crypto-data-analysefirma CipherTrace in hun laatste “Cryptocurrency Crime and Anti-Money Laundering”-rapport dat DeFi-hacks in juli 2021 in totaal 361 miljoen dollar bedroegen.
- Dat is goed voor driekwart van het totale hackvolume van de gehele crypto-industrie voor dit jaar.
- Dit vertegenwoordigt ook een 2,7-voudige stijging ten opzichte van 2020.
- Bovendien was DeFi-gerelateerde fraude goed voor 54 procent van het totale fraudevolume in de cryptosector op het moment dat het rapport van CipherTrace werd gepubliceerd.
- Dit is aanzienlijk hoger in vergelijking met het totaal van vorig jaar, dat slechts 3 procent bedroeg.
“Ken uw klant”
Hoewel het voor persoonlijk financieel leed kan zorgen, geloven sommigen uit de crypto-industrie dat criminaliteit DeFi eigenlijk vooruit zal helpen.
- Zo meent de chief financial analyst van CipherTrace, John Jefferies, dat de recente hacks en fraude DeFi op korte termijn zullen helpen: “Als een anonieme hacker miljoenen dollars kan stelen van niet nader te noemen slachtoffers, dan is het duidelijk dat deze sector effectievere beveiligingscontroles nodig heeft.”
- Concreet doelt Jefferies op Know Your Customer (KYC-)wetgeving.
- Know Your Customer vertaald letterlijk naar: ken uw klant. Het ‘ken uw klant’-principe wordt steeds belangrijker voor reguliere financiële instellingen. Tegenwoordig is het voor financiële bedrijven zelfs verplicht om de klant te onderzoeken (en dus te kennen) voordat zij zaken gaan doen. Dit gebeurt via een zogenoemde Know Your Customer (KYC)-check.
- DeFi-diensten zijn echter toegankelijk zonder dat gebruikers eerst een KYC-proces hoeven te doorlopen.
- Een recent rapport van Merkle Science – een andere crypto-analysefirma – gaat dieper in op de gevaren van geen KYC-proces: “iedereen die in eender welk land zit, kan toegang krijgen tot DeFi-protocollen zonder de noodzaak om de KYC te doorlopen – onbedoeld geeft dit slechte actoren toegang tot financiële diensten voor illegale activiteiten.”
- Concreet doelt Jefferies op Know Your Customer (KYC-)wetgeving.
Door de “gedecentraliseerde” aard van DeFi, zijn KYC en antiwitwas-regelgeving in principe niet mogelijk. In tegenstelling tot gecentraliseerde beurzen, streven DeFi-protocollen ernaar een alternatief te creëren voor traditionele financiële systemen door tussenpersonen te vervangen door smart contracts, of een zelfvoorzienende code in blockchain-netwerken. Eigenlijk bezitten gedecentraliseerde beurzen op geen enkel moment zelf de fondsen van hun gebruikers, waardoor de noodzaak voor KYC of anti-witwas-regels mogelijk wordt weggenomen … Of niet?
“Niet echt gedecentraliseerd”
Sommigen beweren echter dat DeFi-protocollen niet echt gedecentraliseerd zijn.
- Lior Lamesh – mede-oprichter en CEO van cyberbeveiligingsbedrijf GK8 – meent dat DeFi niet gedecentraliseerd is omdat de smart contract-eigenaar (de persoon die het DeFi-protocol naar de blockchain heeft geüpload) controle heeft over het netwerk.
- Volgens Lamesh zorgt dit voor nog grotere veiligheidsproblemen: “Door de private sleutel van de smart contract-eigenaar te compromitteren, kan de hele economie van het protocol meteen vernietigd worden. Het is erger dan het hacken van een enkele DeFi-gebruiker, want dit betekent het hacken van alle DeFi-gebruikers in een keer.”
- Ook Jefferies meent dat gedecentraliseerde exchanges enkel gedecentraliseerd zijn in naam. Hij gelooft dat hierdoor de sanering van dergelijke platformen met KYC en anti-witwasbeleid wordt bespoedigd.
- “Ik geloof dat toezichthouders DeFi (…) en de mogelijkheid om (…) het nieuwe programmeerbare geld met code te (…) creëren, steunen. Er zijn veel mensen in de Amerikaanse regering die DeFi zien als echte innovatie en ik hoop dat de industrie op een punt komt waar we de obstakels uit de weg hebben geruimd, zodat DeFi kan bloeien.”
Dit kan makkelijker gezegd dan gedaan blijken. Volgens DappRadar bedraagt de totale waarde die het afgelopen jaar in DeFi is gestoken meer dan 108 miljard dollar.
- Daarnaast merkt het laatste rapport van Merkle Science ook op dat de manier waarop DeFi-platformen gestructureerd zijn, het hoe dan ook onmogelijk maakt om tussenpersonen te identificeren als deel van anti-witwas-regels of KYC.
Wake-up call
Gezien de uitdagingen op lange termijn met betrekking tot het realiseren van regels voor DeFi, denken anderen binnen de industrie dat de opkomst van DeFi-hacks zal dienen als een onmiddellijke wake-up call voor betere beveiligingsprotocollen.
- Zo meent Mitchell Amador, CEO en oprichter van Immunefi – een bug bounty platform voor DeFi-protocollen – dat regelgeving geen impact zal hebben op de toekomst van DeFi.
- Integendeel, betere beveiligingsprocedures zullen nodig zijn om DeFi-gerelateerde criminaliteit terug te dringen. “Je zult nog steeds hacks zien, maar deze zullen veel moeilijker worden,” zei Amador.
- Volgens Amador, toont de Poly Network-hack aan dat DeFi nog steeds een nieuwe en experimentele technologie is, één die met grote risico’s komt bij het beheren van financiële activa.
- Het is daarom geen verrassing dat er nog bugs in de code van bepaalde smart contracts zitten, maar toch, deze kwetsbaarheden moeten worden voorkomen in de toekomst: “Een belangrijke les hier is dat bug bounties een must zijn, anders zullen hackers in deze systemen blijven inbreken.”
- Een bug bounty-programma is een deal die wordt aangeboden door veel websites, organisaties en softwareontwikkelaars waarmee individuen erkenning en compensatie kunnen ontvangen voor het melden van bugs, vooral die met betrekking tot kwetsbaarheden in de beveiliging.
- Verder: “We zagen dat de Poly Network-hacker het gestolen geld teruggaf, maar waarom wordt sowieso geen beloning uitgeloofd voor het spotten van bugs?”
- Amador stelt dus beloningen voor geslaagde hackoperaties in de crypto-industrie voor.
- “Het aantal mensen dat kwetsbaarheden in code vindt neemt toe en er ontstaan nieuwe beveiligingsprojecten. Dit is echt de zilveren rand hier. Ik ben optimistisch dat crypto en DeFi over 12 maanden veel veiliger zullen zijn.”
Hackers maken dus de punten van de technologie waaraan nog moet gesleuteld worden zichtbaar. Je zou hun werk als deel van de wetenschappelijke methode kunnen zien …
Lees ook:
- Meer dan 90 miljoen dollar aan cryptomunten gestolen bij nieuwe hack
- Crypto-regulering: “Er is geen bewijs dat Bitcoin een rol van betekenis speelt in het internationale witwascircuit”
(jvdh)