Cryptowalvis Verliest $38M bij Multisig-Exploit

Een cryptowalvis heeft vandaag ongeveer $38 miljoen verloren nadat een aanvaller de controle over een multisig-wallet overnam en stilletjes het saldo leeghaalde.

De zaak trekt veel aandacht omdat de aanvaller niet alleen activa via Tornado Cash verplaatste, maar ook de controle behield over een gehevelde DeFi-positie die aan de gecompromitteerde wallet verbonden was.

Multisig Leeggehaald Na Compromittering van Privésleutel

Blockchain-beveiligingsbedrijf PeckShield meldde op 18 december op X dat de wallet van een walvis werd geleegd nadat een privésleutel werd blootgesteld, wat op het eerste gezicht tot verliezen van ongeveer $27,3 miljoen leidde. Vervolgonderzoek op de blockchain toonde aan dat de totale schade dichter bij $38 miljoen kwam zodra gerelateerde wallets en posities werden meegeteld.

Volgens PeckShield heeft de aanvaller al 4.100 ETH ter waarde van ongeveer $12,6 miljoen via Tornado Cash verzonden in een kennelijke poging om het spoor te verdoezelen. Ongeveer $2 miljoen blijft in liquide activa. Nog zorgwekkender is dat de aanvaller nog steeds het adres van het slachtoffer controleert, dat een gehevelde longpositie op Aave aanhoudt, waarbij on-chain data ongeveer $25 miljoen aan ETH als onderpand toont tegenover meer dan $12 miljoen aan geleende DAI.

On-chain analist Specter deelde een gedetailleerde tijdlijn op X en merkte op dat het slachtoffer een 1-of-1 multisig-wallet creëerde, wat betekent dat er slechts één handtekening van één ondertekenaar nodig was om transacties goed te keuren. Deze opstelling ging echter voorbij aan het primaire doel van een multisig, namelijk meerdere onafhankelijke goedkeuringen vereisen.

Minder dan 40 minuten na het overmaken van middelen naar de wallet, zag de wallet een massale uitstroom die alle tokens leeghaalde. Rond dezelfde tijd werd de ondertekenaar gewisseld naar een door de aanvaller gecontroleerd adres.

Specter zei dat de meest waarschijnlijke verklaring is dat de privésleutel tijdens de installatie werd gelekt of dat het slachtoffer vertrouwde op een kwaadwillende derde partij voor hulp bij het aanmaken van de wallet. Een later bericht, verwijzend naar onderzoeker tanuki42, suggereerde dat de aanvaller mogelijk zelf de multisig heeft aangemaakt, waardoor het slachtoffer zowel tijdens als na de installatie werd blootgesteld.

Een Bekend Patroon in Crypto-Beveiligingsfouten

Het incident past in een breder patroon van diefstal van privésleutels en social engineering dat de cryptosector blijft teisteren. In een rapport van 15 december waarschuwde cybersecuritygroep Security Alliance dat aan Noord-Korea gelinkte hackers dagelijks nepgesprekken via Zoom en Teams voeren om malware te installeren en privésleutels te stelen, een methode die is gekoppeld aan honderden miljoenen dollars aan verliezen.

Binance-oprichter Changpeng Zhao gaf in september een soortgelijke waarschuwing af en zei dat aanvallers steeds vaker menselijk vertrouwen targeten in plaats van gebreken in smart contracts, waarbij ze zich vaak voordoen als helpers, sollicitanten of meeting-organisatoren.

On-chain geschiedenis toont aan dat de walvis maanden actief was geweest voor de hack. Op 7 mei meldde Onchain Lens dat hetzelfde adres meer dan 2.500 ETH van OKX had opgenomen en middelen had gestaked via Kiln Finance, waarbij gestaag een grote ETH-positie werd opgebouwd.

Voorlopig voegt de voortdurende controle van de aanvaller over de Aave-positie een extra laag risico toe. Als markten scherp bewegen, kunnen gedwongen liquidaties de verliezen verdiepen en een reeds kostbare inbreuk omzetten in een nog hardere les over multisig-beveiliging en omgang met privésleutels.

Het bericht Crypto Whale Loses $38M in Multisig Exploit verscheen het eerst op CryptoPotato.