Topman Ripple trekt lering uit hack van 292 miljoen dollar
Dankzij een grote hack bij Kelp DAO verdween ongeveer 292 miljoen dollar aan crypto, dat kwam door een aanval op een zogeheten bridge. Volgens David Schwartz, topman bij Ripple, laat deze hack een probleem zien dat hij al langer zag aankomen.
Veiligheid vaak bewust genegeerd
Schwartz onderzocht eerder verschillende DeFi-systemen voor gebruik bij RLUSD, een project van Ripple. Daarbij viel hem iets op. Veel aanbieders hadden goede beveiliging, maar raadden klanten toch aan om die niet volledig te gebruiken.
Volgens hem draaide het vaak om gemak. Sterke beveiliging maakt systemen ingewikkelder en minder snel. Daardoor kiezen veel projecten voor simpelere oplossingen, ook al zijn die minder veilig.
In zijn woorden komt het erop neer dat bedrijven zeggen dat hun beveiliging top is, maar dat je die beter niet kunt gebruiken als je snelheid en gebruiksgemak wilt.
Wat ging er mis bij Kelp DAO
De hack vond plaats op 19 april. Kelp DAO zag toen verdachte activiteit rond rsETH en legde meteen delen van het systeem stil. Toch was het al te laat. In totaal werd zo’n 116.500 rsETH buitgemaakt, goed voor ongeveer 292 miljoen dollar.
Onderzoek laat zien dat de aanval waarschijnlijk begon met het lekken van een private key. Daardoor kon een aanvaller toegang krijgen tot het systeem en transacties manipuleren via een bridge.
Bridge bleek zwakke schakel
De aanval had te maken met technologie van LayerZero, een platform dat blockchains met elkaar verbindt. Dit soort bridges zijn handig, maar staan ook bekend als risicovol.
Volgens onderzoekers gebruikte Kelp DAO mogelijk een simpele beveiligingsinstelling. Daarbij vertrouw je op één partij die transacties controleert. Dat maakt het systeem kwetsbaar, omdat er één zwakke plek ontstaat.
LayerZero biedt juist ook uitgebreidere beveiliging met meerdere controlepunten. Die optie is veiliger, maar ook lastiger in gebruik.
Bekend probleem in crypto
Volgens Schwartz is dit geen toeval. Hij vermoedt dat Kelp DAO bewust koos voor een makkelijkere setup, en daarmee belangrijke beveiliging oversloeg.
Dat is volgens hem precies het probleem dat hij vaker zag tijdens zijn onderzoek. Projecten kiezen voor snelheid en gemak, en nemen daarmee extra risico.
Voor beleggers is dit een belangrijke les. Hoge rendementen in DeFi gaan vaak samen met hogere risico’s. En soms zit dat risico in iets simpels als een instelling die net iets te makkelijk is gekozen.
