Wat is een crypto-drainer?

Een crypto-drainer, of cryptowallet-drainer, is een type malware dat ruim één jaar geleden voor het eerst verscheen en het richt zich op crypto-eigenaren. Een crypto-drainer is ontworpen om cryptowallets automatisch (snel) te legen door alle of alleen de meest waardevolle activa die op de wallet staan over te hevelen en deze in de wallets van de personen achter de drainer te plaatsen.

Laten we als voorbeeld van dit soort diefstal eens kijken naar de diefstal van 14 Bored Ape NFT’s met een totale waarde van meer dan $ 1 miljoen, die plaatsvond op 17 december 2022. De scammers zetten een nepwebsite op voor de echte filmstudio Forte Pictures in Los Angeles en namen namens het bedrijf contact op met een bepaalde NFT-verzamelaar. Ze vertelden de verzamelaar dat ze een film maakten over NFT. Vervolgens vroegen ze de verzamelaar of ze de intellectuele eigendomsrechten (IP) op een van hun Bored Ape-NFT’s wilden licentiëren, zodat deze in de film kon worden gebruikt.

Volgens de scammers moest hiervoor een contract op ‘Unemployd’ worden ondertekend, ogenschijnlijk een blockchain-platform voor het licentiëren van NFT-gerelateerd intellectueel eigendom. Nadat het slachtoffer de transactie had goedgekeurd, bleek echter dat alle 14 Bored Ape-NFT’s die van hen waren, naar de kwaadwillende waren gestuurd voor een schamele 0,00000001 ETH (destijds ongeveer ¢ 0,001).

Hoe het verzoek om het ‘contract’ te ondertekenen eruit zag (links) en wat er werkelijk gebeurde nadat de transactie was goedgekeurd (rechts). Bron

Het plan was voor een groot deel gebaseerd op social engineering: de scammers probeerden het slachtoffer ruim een maand in te palmen met e-mailberichten, telefoontjes, valse juridische documenten, enzovoort. De kern van deze diefstal was echter de transactie waardoor de scammers de cryptoactiva in handen kregen, die zij op een geschikt moment uitvoerden. Drainers vertrouwen op een dergelijke transactie.

Hoe werken crypto-drainers?

De drainers kunnen vandaag de dag het meeste werk van het legen van de crypto wallets van slachtoffers automatiseren. Ten eerste kunnen ze helpen de geschatte waarde van cryptoactiva in een wallet te achterhalen en de meest waardevolle te identificeren. Ten tweede kunnen ze transacties en smart contracts creëren om activa snel en efficiënt over te hevelen. Ten slotte verdoezelen ze frauduleuze transacties, door ze zo vaag mogelijk te maken, zodat het moeilijk te begrijpen is wat er precies gebeurt zodra de transactie is geautoriseerd.

Kwaadwillenden maken valse webpagina’s, voorzien van een drainer, die worden gepresenteerd als websites voor een of ander cryptovalutaproject. Ze registreren vaak gelijkaardige domeinnamen, waarbij ze profiteren van het feit dat bij deze projecten meestal gebruik wordt gemaakt van momenteel populaire domeinextensies die op elkaar lijken.

Vervolgens gebruiken de scammers een techniek om het slachtoffer naar deze sites te lokken. Vaak voorkomende voorwendsels zijn airdrops of NFT-minting: deze strategieën voor het belonen van gebruikersactiviteit zijn populair in de cryptowereld, en scammers aarzelen niet om daarvan te profiteren.

Deze X-advertenties (Twitter) maakten reclame voor NFT-airdrops en introducties van nieuwe tokens op sites die de drainer bevatten. Bron

Enkele totaal onwaarschijnlijke plannen zijn ook gebruikelijk: om gebruikers naar een nepwebsite te lokken, hebben kwaadwillenden onlangs een gehackt Twitter-account gebruikt dat toebehoorde aan een… blockchain-beveiligingsbedrijf!

X-advertenties (Twitter) voor een zogenaamde limited edition NFT-collectie op scamwebsites. Bron

Scammers staan er ook om bekend dat ze advertenties op sociale media en in zoekmachines plaatsen om slachtoffers naar hun vervalste websites te lokken. In het laatste geval helpt het hen klanten van echte cryptoprojecten te onderscheppen wanneer ze zoeken naar een link naar een website waarin ze geïnteresseerd zijn. Zonder goed te kijken, klikken gebruikers op de ‘gesponsorde’ frauduleuze link, die altijd boven de organische zoekresultaten wordt weergegeven, en komen ze op de nepwebsite terecht.

Google-zoekadvertenties met links naar scamwebsites die crypto-drainers bevatten. Bron

Vervolgens krijgen de nietsvermoedende crypto-eigenaren een door de crypto-drainer gegenereerde transactie om te ondertekenen. Dit kan resulteren in een directe geldoverschrijving naar de wallet van de scammer, of in meer geavanceerde scenario’s zoals het overdragen van de rechten om activa in de wallet van het slachtoffer te beheren naar een smart contract. Op de een of andere manier worden, zodra de schadelijke transactie is goedgekeurd, alle waardevolle activa zo snel mogelijk overgeheveld naar de wallet van de scammers.

Hoe gevaarlijk zijn crypto-drainers?

De populariteit van drainers onder cryptoscammers groeit snel. Volgens een recent onderzoek naar oplichting met crypto-drainers werden in 2023 meer dan 320.000 gebruikers getroffen, met een totale schade van iets minder dan $ 300 miljoen. Onder de frauduleuze transacties die de onderzoekers registreerden, was er ongeveer een dozijn transacties die elk meer dan een miljoen dollar waard waren. De grootste waarde die in één transactie werd buitgemaakt, bedroeg iets meer dan $ 24 miljoen!

Vreemd genoeg worden ervaren cryptovalutagebruikers net als nieuwelingen het slachtoffer van dit soort oplichting. Zo werd de oprichter van de start-up achter Nest Wallet onlangs beroofd van $ 125.000 aan stETH door scammers die een nepwebsite gebruikten die een airdrop beloofde.

Jezelf beschermen tegen crypto-drainers

• Je moet niet op één paard wedden: bewaar slechts een deel van je geld dat je nodig hebt voor het dagelijkse beheer van je projecten in populaire crypto wallets en bewaar het grootste deel van je cryptoactiva in cold wallets.
• Voor de zekerheid kun je meerdere hot wallets gebruiken: gebruik er één voor je Web3-activiteiten, zoals drop hunting, gebruik een andere om bedrijfsgeld voor deze activiteiten te behouden en maak je winst over naar cold wallets. Je moet extra commissie betalen voor overboekingen tussen de wallets, maar kwaadwillenden zouden nauwelijks iets kunnen stelen uit de lege wallet die voor airdrops wordt gebruikt.
• Blijf de websites die je bezoekt keer op keer controleren. Elk verdacht detail is een reden om te stoppen en alles opnieuw te controleren.
• Klik niet op gesponsorde links in de zoekresultaten: gebruik alleen links in organische zoekresultaten, dat wil zeggen de links die niet als ‘gesponsord’ zijn gemarkeerd.
• Controleer elk transactiedetail zorgvuldig.
• Gebruik bijbehorende browserextensies om transacties te verifiëren. Deze helpen bij het identificeren van frauduleuze transacties en benadrukken wat er precies zal gebeuren als gevolg van de transactie.
• Zorg er ten slotte voor dat je betrouwbare beveiliging installeert op alle apparaten die je gebruikt om cryptoactiva te beheren.

Zo werkt bescherming tegen cryptobedreigingen in Kaspersky-oplossingen

Kaspersky-oplossingen bieden overigens meerlaagse bescherming tegen cryptobedreigingen. Zorg ervoor dat je uitgebreide beveiliging gebruikt op al je apparaten: telefoons, tablets en computers. Kaspersky Premium is een goede platformonafhankelijke oplossing. Controleer of alle basis- en geavanceerde beveiligingsfuncties zijn ingeschakeld en lees onze gedetailleerde instructies over het beschermen van zowel hot als cold crypto wallets.

De meest evenwichtige objectieve bron is onafhankelijk deskundig onderzoek door gespecialiseerde testlabs en media. Onafhankelijk betekent dat de testers geen connecties mogen hebben met de leverancier wiens producten ze beoordelen.

We hebben altijd veel aandacht besteed aan het onafhankelijk testen van onze producten en diensten. Voor een snelle en eenvoudige evaluatie van testresultaten heeft onze website een speciale Top 3-sectie. Deze sectie laat zien hoeveel tests er gedurende het jaar hebben plaatsgevonden en voor hoeveel tests we een plek op het podium hebben verdiend.

2023 was voor ons een recordjaar. Van de honderd tests waarin onze oplossingen werden beoordeeld, zijn we 93 keer eerste geworden en 94 keer in de top drie geëindigd. En sinds 2013 zijn onze producten in totaal 927 keer getest door onafhankelijke onderzoekers, waarbij we 680 keer de eerste plaats hebben behaald (en 779 keer in de top drie zijn beland). Dit is een absoluut record onder alle leveranciers van beveiligingsoplossingen, zowel wat betreft het aantal tests als het aantal overwinningen.

Nu wat meer details.

Vergelijkende grafiek met de resultaten van onafhankelijke beveiligingstests van populaire leveranciers. Kaspersky is de absolute leider: 680 eerste plaatsen uit 927 uitgevoerde tests. Bron

Belangrijkste prijzen

Er zijn te veel prestaties in het afgelopen jaar om op te noemen. Daarom lichten we de meest opmerkelijke uit:

• Kaspersky Standard werd uitgeroepen tot ‘Product van het jaar’ door AV-Comparatives. We hebben zelfs een aparte blogpost aan dit verhaal gewijd.
• Kaspersky Plus for Windows heeft de Endpoint Security: Home 2023 van SE Labs doorstaan en de hoogste totale nauwkeurigheidsbeoordeling van 100% behaald in alle vier de tests van het jaar.
• Kaspersky Safe Kids kreeg van AV-Comparatives de certificering voor ouderlijk toezicht voor het blokkeren van ten minste 98 procent van de pornografische websites zonder foutieve meldingen op kindvriendelijke websites.
• Kaspersky Plus for Mac heeft de eerste Best MacOS Security Award for Consumer Usersvan AV-Test gewonnen, met perfecte resultaten in de Mac-beveiligingstest gedurende een heel jaar.
• Kaspersky Standard, Kaspersky Endpoint Security for Business en Kaspersky Small Office Security wonnen de award Best Advanced Protection 2023 van AV-Test voor de uitzonderlijke bescherming tegen APT-aanvallen, waarbij ransomware en gegevensdieven worden ingezet. Deze producten ontvingen ook de onderscheiding ‘Best Usability 2023‘ dankzij het laagste aantal foutieve meldingen en de maximale score in alle categorieën, inclusief bescherming, prestaties en bruikbaarheid. Ook kregen ze de onderscheiding ‘Beste product’ op basis van de AV-TEST-resultaten voor antivirussoftware van Windows voor particuliere en zakelijke Windows-gebruikers.
• Kaspersky Endpoint Detection and Response kreeg erkenning als ‘Strategisch leider’ voor het behalen van een cumulatieve score van 100% voor actieve respons in de test Endpoint Prevention&Response (EPR) van AV-Comparatives. De oplossing werd ook bekroond met de AV-TEST Approved Advanced Endpoint Detection and Response-certificering voor het bieden van indrukwekkende dekking en waardevolle analyses in een onderzoek over een reeks red-team-aanvallen waarbij de werkwijzen van Hafnium en Lazarus werden gekopieerd. Bovendien werd de oplossing door SE Labs erkend in de Enterprise Advanced Security-test (EDR), waarbij de oplossing de hoogste AAA-beoordeling kreeg voor het detecteren van alle gerichte aanvallen zonder foutieve meldingen.
• Kaspersky Endpoint Security for Business en Kaspersky Small Office Security kregen een AAA-beoordeling in respectievelijk alle vergelijkende tests van SE Labs Endpoint Security: Enterprise 2023 en Endpoint Security: SMB 2023.

Wie heeft de tests uitgevoerd?

Voor degenen die niet bekend zijn met de wereld van cyberbeveiligingstests, volgt hier een overzicht van de belangrijkste deelnemers.

• AV-Comparatives is een onafhankelijke Oostenrijkse organisatie die al meer dan 24 jaar beveiligingsproducten test. Wat begon als een studentenproject aan de Universiteit van Innsbruck is in deze periode uitgegroeid tot een van de meest invloedrijke onderzoekscentra op het gebied van cyberbeveiliging.
• AV-Test GmbH is een onafhankelijk Duits onderzoeksinstituut voor gegevensbeveiliging. AV-Test GmbH adviseert al ruim vijftien jaar brancheverenigingen, bedrijven en overheidsinstanties op het gebied van cyberbeveiliging.
• SE Labs is een onafhankelijk Brits bedrijf dat producttests van de volgende generatie heeft ontwikkeld op basis van een alomvattende benadering van beveiligingsbeoordelingen.

Andere aanpak

Naast serieuze testlabs zijn er natuurlijk ook gespecialiseerde media en bloggers die beveiligingssoftware evalueren. Hun onderzoek is misschien iets minder nauwgezet, maar als het gaat om het trekken van aandacht, zijn YouTubers en technische woordkunstenaars niet te verslaan.

Als je een liefhebber bent van dit format, raden we tests (1, 2, 3) aan van The PC Security Channel, dat wordt gerund door een in het Verenigd Koninkrijk gevestigde YouTuber. Het beste kenmerk van het kanaal zijn de vele tech-goeroes die zich onder de abonnees bevinden, die graag een kritische blik werpen op de geposte inhoud en hun eigen opmerkingen toevoegen.

In deze post bespreken we de huidige bedreigingen waarmee macOS-gebruikers worden geconfronteerd en hoe je je Mac effectief kunt beschermen. Om te illustreren dat er virussen voor macOS bestaan, bespreken we drie recente onderzoeken die de afgelopen weken zijn gepubliceerd over verschillende malware-families.

BlueNoroff valt macOS-gebruikers aan en steelt cryptovaluta

Eind oktober 2023 ontdekten onze onderzoekers een nieuwe macOS-trojan waarvan wordt aangenomen dat deze verband houdt met BlueNoroff, de ‘commerciële afdeling’ van de Lazarus APT-groep die voor Noord-Korea werkt. Deze subgroep is gespecialiseerd in financiële aanvallen en richt zich specifiek op twee dingen: het aanvallen van het SWIFT-systeem, waaronder de beruchte overval van de centrale bank van Bangladesh, en het stelen van cryptovaluta van organisaties en individuen.

De ontdekte macOS Trojan-downloader wordt verspreid in kwaadaardige archieven. De trojan is vermomd als een pdf-document met de titel ‘Crypto-activa en hun risico’s voor de financiële stabiliteit’, met een pictogram dat een voorbeeld van dit document nabootst.

Voorblad van de misleidende pdf die de Trojan downloadt en aan de gebruiker laat zien wanneer deze het bestand vanuit een geïnfecteerd archief opent. Bron

Zodra de gebruiker op de Trojan klikt (vermomd als pdf), wordt er een script uitgevoerd dat het bijbehorende pdf-document daadwerkelijk van internet downloadt en opent. Maar dat is natuurlijk niet het enige wat er gebeurt. De belangrijkste taak van de Trojan is het downloaden van een ander virus, dat informatie verzamelt over het geïnfecteerde systeem, deze naar de C2 stuurt en vervolgens wacht op een opdracht om een van de twee mogelijke acties uit te voeren: zelfverwijdering of opslaan in een bestand en het uitvoeren van kwaadaardige code die verzonden werd als antwoord van de server.

Proxy Trojan in illegale software voor macOS

Eind november 2023 ontdekten onze onderzoekers nog een malware-exemplaar dat Mac-gebruikers bedreigt: een proxy-trojan, die wordt verspreid naast illegale software voor macOS. Deze trojan werd in het bijzonder toegevoegd aan de pkg-bestanden van gekraakte videobewerkingsprogramma’s, tools voor gegevensherstel, netwerkhulpprogramma’s, bestandsconversieprogramma’s en diverse andere software. De volledige lijst met geïnfecteerde installatieprogramma’s die door onze experts zijn ontdekt, vind je aan het einde van het rapport dat op Securelist is gepubliceerd.

Zoals eerder vermeld behoort deze malware tot de categorie proxy-trojans: malware die een proxyserver op de geïnfecteerde computer opzet en in feite een host creëert die internetverkeer omleidt. Vervolgens kunnen cybercriminelen dergelijke geïnfecteerde apparaten gebruiken om een betaald netwerk van proxyservers op te bouwen en geld te verdienen aan degenen die dergelijke diensten zoeken.

Ook kunnen de eigenaren van de Trojan de geïnfecteerde computers rechtstreeks gebruiken om criminele activiteiten uit te voeren namens het slachtoffer. Hieronder valt bijvoorbeeld het aanvallen van websites, bedrijven en andere gebruikers, en het kopen van wapens, drugs en andere illegale goederen.

Atomic stealer in nep Safari-browserupdates

Ook werd in november 2023 een nieuwe kwaadaardige campagne ontdekt om een andere trojan voor macOS mee te verspreiden, die bekend staat als Atomic en die tot de categorie van de stealers behoort. Dit type malware zoekt naar allerlei waardevolle gegevens op de computer van het slachtoffer, met name gegevens die in browsers zijn opgeslagen. De malware extraheert en stuurt de gegevens vervolgens naar de makers. Logins en wachtwoorden, bankpasgegevens, sleutels voor crypto-wallets en soortgelijke gevoelige gegevens zijn bijzonder waardevol voor dieven.

De Atomic-trojan werd voor het eerst ontdekt en beschreven in maart 2023. De aanvallers gebruiken nu neppe updates voor de Safari- en Chrome-browsers om de Atomic-trojan te verspreiden. Deze updates worden gedownload van schadelijke pagina’s die op zeer overtuigende wijze de originele Apple- en Google-websites nabootsen.

Een site met neppe Safari-browserupdates die daadwerkelijk de Atomic-stealer bevatten. Bron

Zodra de Atomic-trojan op een systeem wordt uitgevoerd, probeert deze de volgende gegevens van de computer van het slachtoffer te stelen:

• cookies
• logins, wachtwoorden en bankpasgegevens die zijn opgeslagen in de browser
• wachtwoorden van het macOS-wachtwoordopslagsysteem (keychain)
• bestanden die op de harde schijf zijn opgeslagen
• opgeslagen gegevens van meer dan 50 populaire cryptovaluta-extensies

Zero-day-kwetsbaarheden van macOS

Zelfs als je geen verdachte bestanden downloadt, geen bijlagen opent van onbekende bronnen en doorgaans niet op verdachte bestanden klikt, garandeert dit helaas niet dat je veilig blijft. Het is belangrijk om te onthouden dat software altijd kwetsbaarheden bevat die aanvallers kunnen misbruiken om een apparaat te infecteren, en die weinig of geen actieve actie van de gebruiker vereisen. En het macOS-besturingssysteem vormt geen uitzondering op deze regel.

Onlangs zijn er twee zero-day-kwetsbaarheden ontdekt in de Safari-browser. Volgens de aankondiging van Apple maakten cybercriminelen daar al misbruik van voordat ze überhaupt ontdekt werden. Door het slachtoffer simpelweg naar een schadelijke webpagina te lokken, kunnen aanvallers hun apparaat infecteren zonder enige extra actie van de gebruiker, waardoor ze controle krijgen over het apparaat en de mogelijkheid hebben om gegevens te stelen. Deze kwetsbaarheden zijn relevant voor alle apparaten die de Safari-browser gebruiken en vormen een bedreiging voor zowel iOS-/iPadOS-gebruikers als eigenaren van Macs.

Dit is een veel voorkomend scenario: omdat de besturingssystemen van Apple veel componenten delen, zijn kwetsbaarheden vaak niet alleen van toepassing op één van de besturingssystemen van het bedrijf, maar op alle besturingssystemen. Het is dus een geval waarin Mac-gebruikers slachtoffer worden van de populariteit van de iPhone: iOS-gebruikers zijn het voornaamste doelwit, maar deze kwetsbaarheden kunnen net zo goed worden gebruikt om macOS aan te vallen.

In 2023 zijn in totaal 19 zero-day-kwetsbaarheden ontdekt in de besturingssystemen van Apple waarvan bekend is dat ze actief door aanvallers worden uitgebuit. Hiervan hadden 17 macOS-gebruikers last, waaronder een heleboel met een risicovolle status, en één geclassificeerd als kritiek.

Zero-day-kwetsbaarheden in macOS, iOS en iPadOS ontdekt in 2023, die actief werden uitgebuit door cybercriminelen

Over andere bedreigingen en hoe je je Mac kunt beschermen

Het is belangrijk om te onthouden dat er talloze cyberdreigingen bestaan die niet afhankelijk zijn van het besturingssysteem, maar die niet minder gevaarlijk zijn dan malware. Let vooral op de volgende bedreigingen:

• Phishing en nepwebsites. Phishing-e-mails en websites werken op dezelfde manier voor zowel Windows-gebruikers als Mac-eigenaren. Helaas zijn niet alle valse e-mails en websites gemakkelijk herkenbaar, dus zelfs ervaren gebruikers lopen vaak het risico dat hun inloggegevens worden gestolen.
• Webbedreigingen, waaronder webskimmers. Malware kan niet alleen het apparaat van de gebruiker infecteren, maar ook de server waarmee deze communiceert. Aanvallers hacken bijvoorbeeld vaak slecht beveiligde websites, vooral online winkels, en installeren daar webskimmers. Deze kleine softwaremodules zijn ontworpen om door bezoekers ingevoerde bankpasgegevens te onderscheppen en te stelen.
• Schadelijke browserextensies. Deze kleine softwaremodules worden rechtstreeks in de browser geïnstalleerd en worden daarin uitgevoerd, zodat ze niet afhankelijk zijn van het gebruikte besturingssysteem. Ondanks dat ze schijnbaar onschadelijk zijn, kunnen extensies veel kwaad doen: de inhoud van alle bezochte pagina’s lezen, door de gebruiker ingevoerde gegevens onderscheppen (wachtwoorden, kaartnummers, sleutels voor crypto-wallets) en zelfs de weergegeven pagina-inhoud vervangen.
• Verkeersonderschepping en man-in-the-middle- aanvallen (MITM). De meeste moderne websites maken gebruik van gecodeerde verbindingen (HTTPS), maar toch kom je soms HTTP-sites tegen waar gegevensuitwisseling kan worden onderschept. Cybercriminelen gebruiken dergelijke onderscheppingen om man-in-the-middle-aanvallen uit te voeren, waarbij gebruikers valse of geïnfecteerde pagina’s te zien krijgen in plaats van legitieme pagina’s.

Om je apparaat, online serviceaccounts en, belangrijker nog, de waardevolle gegevens die ze bevatten te beschermen, is het van cruciaal belang om uitgebreide bescherming te gebruiken voor zowel Mac-computers als iPhones/iPads. Een dergelijke bescherming moet het hele scala aan bedreigingen kunnen tegengaan – bijvoorbeeld oplossingen zoals de onze Kaspersky Premium, waarvan de doeltreffendheid is bevestigd door talrijke onderscheidingen van onafhankelijke testlaboratoria.

Kwetsbaarheden en gevolgen van randstorm

Laten we bij het begin beginnen. Onderzoekers van Unciphered, een bedrijf gespecialiseerd in het herstellen van de toegang tot crypto wallets, hebben een aantal kwetsbaarheden ontdekt en omschreven in de BitcoinJS JavaScript-bibliotheek. Deze wordt gebruikt door veel online platforms voor cryptovaluta. Een aantal van deze diensten zijn erg populair, met name Blockchain.info, die nu bekend staat als Blockchain.com. De onderzoekers noemden deze reeks kwetsbaarheden ‘Randstorm’.

Hoewel de kwetsbaarheden in de BitcoinJS-bibliotheek al in 2014 zijn verholpen, strekt het probleem zich uit tot de resultaten van het gebruik van deze bibliotheek: crypto wallets die begin 2010 zijn gemaakt met BitcoinJS zijn mogelijk onveilig (in de zin dat het veel makkelijker is om hun privésleutels te vinden dan de onderliggende Bitcoin-cryptografie veronderstelt).

De onderzoekers schatten dat enkele miljoenen wallets, met een totaal van ongeveer 1,4 miljoen BTC, mogelijk gevaar lopen door Randstorm. Van de potentieel kwetsbare wallets is volgens de onderzoekers 3 tot 5% daadwerkelijk kwetsbaar voor echte aanvallen. Op basis van de geschatte wisselkoers van Bitcoin van ongeveer $ 36.500 op het moment van publicatie, betekent dit dat aanvallers die Randstorm met succes kunnen inzetten een totale buit van $ 1,5 tot 2,5 miljard kunnen maken.

De onderzoekers beweren dat de kwetsbaarheden van Randstorm gebruikt kunnen worden voor werkelijke aanvallen op crypto wallets. Bovendien hebben ze deze kwetsbaarheden succesvol misbruikt om de toegang te herstellen tot verschillende crypto wallets die voor maart 2012 op Blockchain.info waren aangemaakt. Om ethische redenen publiceerden ze geen experimentele versie van de aanval, omdat dit tienduizenden crypto wallets direct aan het risico van diefstal zou hebben blootgesteld.

De onderzoekers hebben al contact opgenomen met de online cryptovalutadiensten waarvan bekend is dat ze kwetsbare versies van de BitcoinJS-bibliotheek hebben gebruikt. Deze diensten brachten op hun beurt klanten op de hoogte die mogelijk door Randstorm konden worden getroffen.

Kenmerken van Randstorm-kwetsbaarheden

Laten we eens dieper ingaan op hoe deze kwetsbaarheden eigenlijk werken. De privésleutel staat centraal in de beveiliging van de Bitcoin-wallet. Net als elk modern cryptografisch systeem is Bitcoin afhankelijk van een geheime en niet te kraken sleutel. Ook hier worden, zoals in elk modern cryptografisch systeem, hele lange willekeurige getallen gebruikt.

En om de gegevens die beschermd worden door de privésleutel veilig te houden, moeten de getallen zo willekeurig mogelijk zijn. Als het getal dat als sleutel wordt gebruikt erg voorspelbaar is, wordt het voor een aanvaller die over informatie beschikt over de sleutelgeneratieprocedure makkelijker en sneller om de sleutel te kraken.

Onthoud dat het genereren van een echt willekeurig getal geen peulenschil is. En computers zijn daar door hun eigenschappen uitermate ongeschikt voor, omdat ze te voorspelbaar zijn. Daarom gebruiken we meestal pseudo-willekeurige getallen en om de entropie van de generatie te verhogen (cryptografische uitdrukking voor de mate van onvoorspelbaarheid) gebruiken we speciale functies.

En nu terug naar de BitcoinJS-bibliotheek. Om pseudo-willekeurige getallen van ‘hoge kwaliteit’ te verkrijgen, gebruikt deze bibliotheek een andere JavaScript-bibliotheek genaamd JSBN (JavaScript Big Number), en dan met name de SecureRandom-functie. Zoals de naam al aangeeft, is deze functie ontworpen om pseudo-willekeurige getallen te genereren die geschikt zijn voor gebruik in cryptografie. Om hun entropie te verhogen, vertrouwt SecureRandom op de browserfunctie window.crypto.random.

Daar ligt het probleem: hoewel de functie window.crypto.random al bestond in de browserfamilie Netscape Navigator 4.x, waren deze browsers al verouderd tegen de tijd dat webdiensten actief gebruik begonnen te maken van de BitcoinJS-bibliotheek. En in de populaire browsers van die tijd (Internet Explorer, Google Chrome, Mozilla Firefox en Apple Safari) was de functie window.crypto.random eenvoudigweg niet geïmplementeerd.

Helaas hebben de ontwikkelaars van de JSBN-bibliotheek geen enkele controle of foutmelding ingebouwd. Als gevolg daarvan passeerde de functie SecureRandom de stap van het verhogen van de entropie ongemerkt, waardoor de taak van het maken van privésleutels werd overgedragen aan de standaard pseudo-willekeurige getallengenerator Math.random.

Dit is op zich al een slechte zaak, omdat Math.random niet geschikt is voor cryptografische doeleinden. Het wordt echter nog ingewikkelder doordat de implementatie van Math.random in de populaire browsers van 2011 tot 2015, met name Google Chrome, bugs bevatte die resulteerden in nog minder willekeurige getallen dan het geval zou moeten zijn.

Omgekeerd heeft de BitcoinJS-bibliotheek alle bovengenoemde problemen geërfd van JSBN. Als gevolg hiervan kregen platformen die het gebruikten om privésleutels voor crypto wallets te genereren, veel minder willekeurige getallen van de SecureRandom-functie dan de ontwikkelaars van de bibliotheek verwachtten. En omdat deze sleutels met grote voorspelbaarheid worden gegenereerd, zijn ze veel gemakkelijker aan te vallen met brute kracht, waardoor kwetsbare crypto wallets kunnen worden gehackt.

Zoals hierboven vermeld, is dit geen theoretisch maar een praktisch gevaar; het Unciphered-team was in staat om deze kwetsbaarheden te benutten om de toegang tot verschillende oude crypt wallets te herstellen die waren aangemaakt op Blockchain.info (met andere woorden, ethisch te hacken).

Wie loopt het risico op Randstorm?

BitcoinJS gebruikte de kwetsbare JSBN-bibliotheek al vanaf de introductie in 2011 tot 2014. Let er echter op dat sommige cryptovalutaprojecten al enige tijd een minder recente versie van de bibliotheek gebruiken. De bugs in Math.random in populaire browsers waren in 2016 verholpen door het wijzigen van de algoritmen voor het genereren van pseudo-willekeurige getallen. Bij elkaar opgeteld komt dit neer op een tijdsbestek van 2011 tot 2015 voor de periode waarin de potentieel kwetsbare cryptowallets werden gemaakt.

De onderzoekers benadrukken dat BitcoinJS begin 2010 erg populair was, dus het is moeilijk om een volledige lijst samen te stellen van diensten die een kwetsbare versie ervan hadden kunnen gebruiken. Hun rapport geeft een lijst van platformen die volgens hen een risico vormen:

• BitAddress – nog steeds actief.
• BitCore (BitPay) – nog steeds actief.
• Bitgo – nog steeds actief
• info – nog steeds actief al Blockchain.com.
• Blocktrail – leidt om naar https://btc.com of https://blockchair.com .
• BrainWallet – niet actief.
• CoinKite – verkoopt nu hardwarewallets
• CoinPunk – niet actief.
• Dark Wallet – leidt om naar https://crypto-engine.org .
• DecentralBank – niet actief.
• info (Block.io) – nog steeds actief.
• EI8HT – niet actief.
• GreenAddress – leidt om naar https://blockstream.com/green/ .
• QuickCon – niet actief.
• Robocoin – niet actief.
• Skyhook ATM – leidt om naar https://yuan-pay-group.net .

Naast Bitcoin-wallets kunnen ook wallets van Litecoin, Zcash en Dogecoin gevaar lopen, omdat er voor deze cryptocurrencies ook BitcoinJS-gebaseerde bibliotheken zijn. Het is logisch om aan te nemen dat deze bibliotheken gebruikt kunnen worden om privésleutels te genereren voor de respectievelijke crypto wallets.

Het Unciphered-rapport beschrijft nog veel meer ingewikkelde zaken die met Randstorm te maken hebben. Maar waar het eigenlijk op neerkomt is dat wallets die tussen 2011 en 2015 zijn gemaakt met gebruik van de kwetsbare bibliotheek kwetsbaar kunnen zijn in verschillende niveaus, afhankelijk van de specifieke omstandigheden.

Jezelf beschermen tegen Randstorm

Zoals de onderzoekers zelf al aangeven, volstaat het niet om de kwetsbaarheid in de software te verhelpen. Het is niet mogelijk om de privésleutels van wallet-eigenaren te ‘patchen’ en ze te vervangen door veilige sleutels. Ondanks het feit dat de bugs al lang verholpen zijn, hebben ze nog steeds invloed op crypto wallets die zijn gemaakt toen de BitcoinJS-bibliotheek werd getroffen door de hierboven besproken fouten. Dit betekent dat kwetsbare wallet-eigenaren zelf beschermende maatregelen moeten nemen.

Omdat het moeilijk is om een volledige lijst op te stellen van cryptovalutaplatforms die de kwetsbare bibliotheek gebruikten, is het beter om het zekere voor het onzekere te nemen en elke crypto wallet die online is gemaakt tussen 2011 en 2015 als mogelijk onveilig te beschouwen (tenzij je zeker weet dat dat niet zo is). En natuurlijk geldt: hoe dikker de portemonnee, hoe verleidelijker voor criminelen.

De voor de hand liggende (en enige) oplossing voor het probleem is om nieuwe crypto wallets te maken en alle fondsen van potentieel kwetsbare wallets daarheen te verplaatsen.

En aangezien je dit sowieso moet doen, is het verstandig om dit keer uiterst voorzichtig te werk te gaan. Cryptobescherming is een proces dat uit meerdere stappen bestaat. Daarom hebben we een uitgebreide checklist voor je samengesteld met veel extra informatie die je via de links kunt vinden:

1. Ontdek de belangrijkste cryptodreigingen en beschermingsmethoden in detail.
2. Krijg inzicht in de verschillen tussen hot en cold crypto wallets en de meest voorkomende manieren om ze aan te vallen.
3. Gebruik een hardware (cold) wallet voor langdurige opslag van de belangrijkste cryptoactiva, en een hot wallet met minimaal saldo voor dagelijkse transacties.
4. Voordat je al het geld van de oude wallet naar de nieuwe wallet overzet, moet je al je apparaten voorzien van betrouwbare bescherming. Beschermt je smartphone of computer tegen Trojaanse paarden die wachtwoorden en privésleutels proberen te stelen of clippers die adressen van cryptowallets vervangen in het klembord, en beschermt je computer tegen kwaadaardige cryptominers en ongeautoriseerde toegang op afstand.
5. Bewaar nooit een foto of schermafbeelding van je inlogzin op je smartphone, plaats je inlogzin nooit in openbare clouds, verstuur deze nooit via berichtendiensten of e-mail en voer hem nergens in, behalve als je een verloren privésleutel herstelt.
6. Sla je privésleutel en inlogzin veilig op voor herstel. Dit kan met een wallet met identiteitsbescherming in Kaspersky Premium, die alle opgeslagen gegevens codeert met AES-256. Het wachtwoord bevindt zich alleen in je hoofd (tenzij het natuurlijk op een plakbriefje op je beeldscherm staat) en is niet te achterhalen, dus de enige die toegang heeft tot je persoonlijke documenten ben jijzelf.
7. Een andere optie is om een cold crypto wallet te gebruiken, die geen inlogzin nodig heeft om een back-up van de privésleutel te maken. Zo werkt bijvoorbeeld de hardwarewallet Tangem.

Maar dit gemak heeft een keerzijde: onze digitale financiën zijn kwetsbaar voor digitale misdaden. Maar dat is alleen waar als je de bescherming van je online financiën tegen cybercriminelen verwaarloost. In dit bericht bekijken we hoe de technologieën en producten van Kaspersky je digitale geld, en dus je financiële welzijn, beveiligen.

1. Wachtwoordbeheerder

De ruggengraat van alle accountbeveiliging – en financiële diensten vormen hierop geen uitzondering – dit is natuurlijk je wachtwoord. Hoe zwakker deze is, hoe groter de kans op een succesvolle hack op je account in een online winkel of betalingssysteem waar je bankpasgegevens invoert.

Het is net zo gevaarlijk om hetzelfde wachtwoord te gebruiken voor verschillende online diensten. Als je dat doet, en er is een wachtwoordlek bij een van hen (helaas maar al te vaak voorkomend), dan zullen je accounts bij andere diensten ook in gevaar komen. Hackers zijn zich er goed van bewust dat veel mensen dezelfde tekencombinaties gebruiken op meerdere websites, dus gebruiken ze vaak gelekte wachtwoorden om te proberen in te loggen op andere bronnen, een techniek die bekend staat als credential stuffing. En uiteraard ligt hun focus meestal op geldgerelateerde diensten.

Het gebruik van Kaspersky Password Manager verbetert de beveiliging van wachtwoorden radicaal en houdt je financiële accounts veilig. Onze app genereert unieke, maximaal beveiligde wachtwoorden voor elke dienst die je gebruikt, slaat deze veilig op, zodat je ze niet hoeft te onthouden, en waarschuwt je zelfs voor lekken. Overigens heeft de nieuwste update van Kaspersky Password Manager de mogelijkheid toegevoegd om eenmalige codes te genereren voor tweestaps-authenticatie. En je krijgt het gratis bij Kaspersky Plus en Kaspersky Premium abonnementen.

2. Veilig Bankieren

Veilig bankieren is speciaal ontworpen om veilige financiële transacties en online aankopen mogelijk te maken. Om belangrijke betalingsgegevens te beschermen die worden ingevoerd op de websites van banken, betalingssystemen en online winkels (inclusief bankkaartnummers en wachtwoorden), vraagt ​​onze oplossing je om dergelijke websites in onze Beveiligde Browser te openen.

In deze speciale modus worden je vertrouwelijke gegevens maximaal beschermd. En als een website op wat voor manier dan ook verdacht lijkt, waarschuwt de Beveiligde Browser je met een melding en een verandering van de framekleur van veilig groen naar geel.

Met Veilig bankieren kunt je veilig online winkelen en bankieren in de wetenschap dat zowel je geld als je persoonlijke gegevens volledig beschermd zijn. Deze functie is opgenomen in al onze betaalde abonnementen: Kaspersky Standard, Kaspersky Plus en Kaspersky Premium.

3. File Anti-Virus

Natuurlijk is een van de centrale onderdelen van onze meerlaagse financiële bescherming een goede antivirus. Dit beschermt je geld tegen de gevaarlijkste bedreiging: malware, in het bijzonder de zogenaamde stealers, die nadat ze het doelapparaat hebben geïnfecteerd op zoek gaan naar wachtwoorden en privésleutels voor de cryptovaluta-wallets die erop zijn opgeslagen en deze vervolgens rechtstreeks naar de cyberdieven sturen.

Een andere veel voorkomende bedreiging die direct gerelateerd is aan financiën en waar File Anti-Virus tegen beschermt, zijn banktrojans. Dit zijn virussen die de interface van een bank-app overlappen met hun eigen interface en niet alleen wachtwoorden kunnen stelen, maar ook eenmalige bevestigingscodes kunnen onderscheppen, evenals vervangende details en bedragen van overboekingen en betalingen, waardoor de cybercriminelen geld kunnen overhevelen.

Deze twee bedreigingen alleen al zijn reden genoeg om betrouwbare bescherming te installeren op alle apparaten die je gebruikt voor financiële transacties. Er zijn nog veel meer gevaren waartegen Anti-Virus ook bescherming biedt, zoals ransomware, trojans en spyware om er maar een paar te noemen.

4. Veilig Surfen

Houd er rekening mee dat het misschien niet je computer of smartphone is die is geïnfecteerd met malware, maar de server waarmee je communiceert. De eerste bedreiging om je zorgen over te maken in dit scenario zijn online skimmers — malware die oplichters installeren op gehackte online winkels om de bankkaartgegevens van klanten te verzamelen.

Webskimmers zijn de laatste tijd erg populair geworden bij cybercriminelen — elk jaar blijken tienduizenden online winkels geïnfecteerd te zijn met dit soort malware. Vaak zijn de eigenaren van gecompromitteerde winkels zich niet bewust van de infectie of ondernemen ze geen actie om een ​​bedreiging te neutraliseren, waardoor een webskimmer maandenlang actief kan blijven op een geïnfecteerde site. In de praktijk betekent dit dat zelfs als je zelf voorzichtig bent geweest en je apparaten allemaal schoon zijn, je nog steeds het slachtoffer kunt worden van cybercriminelen door simpelweg interactie te hebben met een geïnfecteerde website.

Gelukkig hebben we ook een oplossing om je te beschermen tegen webskimmers en andere bedreigingen: Veilig Surfen scant de pagina’s die door je browser worden geladen op kwaadaardige code en waarschuwt je, als dit wordt gedetecteerd en de website onveilig is.

5. Anti-phishing en Fraude Prevention

We kunnen onmogelijk voorbijgaan aan valse en frauduleuze websites, die elk jaar een enorm aantal internetgebruikers treffen. Dit kunnen gekloonde websites zijn die banken, betalingssystemen, crypto-beurzen of andere financiële diensten nabootsen die proberen de inloggegevens van bezoekers te bemachtigen en vervolgens hun accounts kapen.

Het kunnen ook online oplichting zijn waarbij veel geld wordt belooft in ruil voor een kleine commissie, nep-online winkels met verleidelijke prijzen die je aankoop nooit leveren, of andere vormen van online fraude.

Het probleem is dat dit soort websites meestal niet direct kwaadaardige code bevatten. Om je effectief tegen dergelijke bedreigingen te beschermen, werken onze experts dag en nacht om onze database met phishing- en frauduleuze sites up-to-date te houden. Onze oplossingen waarschuwen je dus op tijd als er gevaar dreigt.

1. Wees voorbereid op scams

De verscheidenheid aan verschillende crypto-assets in combinatie met een gebrek aan regelgeving maakt beleggen in crypto tot een voornaam doelwit voor allerlei soorten oplichters. Cryptobeleggers moeten daarom veel meer dan bij het werken met traditionele financiën uiterst voorzichtig te werk gaan (inclusief een gezonde dosis paranoia).

Wat zijn de meest voorkomende scams?

• Zogenaamde weggeefacties: superrendabele beleggingen via een “beleggingsfonds”, “ervaren beheerder”, “beroemdheid” of “grote beleggingsonderneming”. De trucs verschillen: bij sommige scams gaan de criminelen er gewoon met de eerste betaling vandoor, terwijl ze bij andere het slachtoffer een kleine winst gunnen, want natuurlijk aanzet tot verdere en grotere investeringen.
• Waarde-inflatie: investeren in veelbelovende nieuwe munten of tokens. De waarde van de token stijgt voortdurend, maar het is in werkelijk onmogelijk om uw investering vervolgens te verzilveren.
• Romantische oplichting: oplichters vinden slachtoffers op Tinder of andere dating-platforms. Na een lange uitwisseling van romantische berichten komt het gesprek op het onderwerp investeringen… en dan is het business as usual, zoals in het eerste punt hierboven.
• Nep-cryptocurrencybeurzen of -investeringsplatforms: typische phishing-trucs, behalve dat de scammers naar cryptowallet-gegevens vragen in plaats van naar creditcardgegevens.

Sommige scams lijken zo uit de film te komen, zoals toen er 4 miljoen dollar aan crypto werd gestolen tijdens een persoonlijke ontmoeting.

Beschermingsmethodes:

Controleer altijd grondig de echtheid van bedrijven, personen of websites die aanbieden om u te helpen beleggen.

Neem geen overhaaste beslissingen en bestudeer zorgvuldig elke nieuwe investeringsmogelijkheid die u tegenkomt. Fraudeurs jagen hun slachtoffers vaak op voordat ze beseffen wat er nou eigenlijk gaande is.

Negeer onverwachte aanbiedingen. Als u een schijnbaar winstgevende crypto-beleggingsaanbieding ziet op social media, in uw e-mail of via een berichten-app, is het hoogstwaarschijnlijk een scam. Verspil geen tijd aan het onderzoeken van elk aanbod dat u ziet en negeer gewoon alles waar u zelf niet naar op zoek bent gegaan.

Gebruik anti-phishing-bescherming op al uw apparaten. Elke site moet zorgvuldig worden gecontroleerd om er zeker van te zijn dat die echt is. Kaspersky Premium doet dit werk voor u en blokkeert bezoeken aan valse sites op zowel uw computer als uw telefoon. Het is belangrijk ervoor te zorgen dat alle platforms worden beschermd, want phishing-scams zijn net zo gevaarlijk voor Apple-apparaten als voor Windows of Android.

Gebruik een betrouwbare VPN-toepassing. VPN op zichzelf beschermt u niet tegen phishing of fraude, maar wel tegen website-spoofing en spionage. Het is vooral handig wanneer u met uw cryptomunten aan de slag gaat in cafés, luchthavens, hotels en andere plaatsen met openbare wifinetwerken. Kaspersky Premium omvat een snel VPN-abonnement met meerdere servers over de hele wereld.

2. Beveilig uw computer en telefoon

Criminelen hoeven niet per se gebruik te maken van social engineering om cryptocurrency of tokens te stelen. Ze kunnen net zo makkelijk uw computer of smartphone infecteren en vervolgens op verschillende manieren hun vuile werk doen:

• Wallet-wachtwoorden onderscheppen die op websites worden ingevoerd, of de sessie rechtstreeks vanuit de browser “kapen”. Op die manier kunnen oplichters toegang krijgen tot uw accounts op cryptobeurzen.
• Adressen wijzigen bij overboekingen in Bitcoin, Ethereum of andere cryptocurrencies. U staat op het punt een betaling te doen, kopieert het adres van de wallet van de ontvanger naar het klembord, maar dan verandert malware het adres net op het moment dat u het plakt. Omdat het adres van de wallet zo’n lange combinatie van tekens is, is het moeilijk te controleren, en deze wisseltruc blijft vaak onopgemerkt. Daardoor gaat de betaling op het laatste moment naar een andere wallet, en kunnen noch u noch de beoogde ontvanger deze terugkrijgen.
• Een miner installeren op een geïnfecteerde computer die uw systeem extra zal belasten en stilletjes cryptocurrency delft op de achtergrond. Zo minen hackers normaal gesproken Monero, en het is zelfs effectief op relatief zwakke computers. De verdiensten van deze “cryptojacking“-aanvallen zijn klein maar stabiel, en slachtoffers merken soms pas na weken of zelfs maanden dat ze geïnfecteerd zijn.
• Het adres van de wallet waar de verdiensten naartoe worden gestuurd wijzigen in een “legale” mining-applicatie. Als u in uw eentje minet, dan kunnen alle cryptomunten die u hebt verzameld door uw processor en grafische kaart tot op het bot te belasten, plotseling in de cryptowallet van iemand anders terechtkomen.
• Geld stelen met behulp van valse of getrojaniseerde cryptocurrency-apps. Ze lijken echt, maar ze stelen uw crypto bij de eerste gelegenheid. Het meest recente voorbeeld hiervan zijn games die spelers winsten in cryptocurrency bieden.

Beschermingsmethodes:

Een uitgebreide cybersecurity-oplossing die u kan beschermen tegen de risico’s van cryptobeleggen. Wij raden natuurlijk Kaspersky aan, als u voor een andere kiest, moet die sowieso de volgende kenmerken bezitten:

• monitoring van het gedrag van applicaties
• een detectiegraad van malware van minimaal 99%
• speciale bescherming van vensters voor het invoeren van wachtwoorden tegen onderschepping (keyloggers)
• extra browserbescherming bij het bezoeken van financiële websites
• detectie van toegang op afstand tot de computer
• waarschuwingen over potentieel gevaarlijke toepassingen
• automatisch zoeken naar verouderde versies van toepassingen en hun updates uit officiële bronnen

U profiteert van al deze functies bij een abonnement op Kaspersky Premium.

Strikte hygiëne voor alle apparaten waarop u cryptocurrency-transacties uitvoert. Installeer alleen apps uit officiële bronnen (app stores). Vermijd weinig bekende apps met weinig downloads en recensies. Gebruik geen cracked versies van software, want dit is een van de belangrijkste manieren waarop criminelen schadelijke toepassingen verspreiden.

Beperk toegang. Laat kinderen, huisgenoten of anderen geen computers of smartphones gebruiken waarmee u crypto-transacties uitvoert. Bescherm uw apparaat met een wachtwoord en stel het zo in dat het automatisch wordt vergrendeld na een korte periode van inactiviteit. Gebruik volledige schijfversleuteling, zoals Bitlocker.

3. Bewaar uw crypto-assets op verschillende plekken

Door grote hoeveelheden cryptocurrency op te slaan in online kluizen of op apparaten die verbonden zijn met het internet (dat wil zeggen in “hot” wallets) kunt u uw geld snel en eenvoudig beheren, maar zo neemt het risico van diefstal ook toe.

Beleggers die grote hoeveelheden cryptocurrency beheren, wordt aangeraden een klein deel van hun spaargeld in een “hot” wallet te bewaren voor operationele kosten, en de rest van hun geld over te hevelen naar een »cold” wallet die volledig van het internet is afgesloten. Zo’n wallet ziet eruit als een USB-stick en is net zo gemakkelijk te gebruiken.

Manieren om assets te beschermen in een cold wallet:

Selecteer een veilig model wallet door de zoekresultaten voor “merkmodel kwetsbaarheid” en “merkmodel veiligheidsbeoordeling” te lezen. Sommige modellen van cold wallet zijn kwetsbaar voor hacking.

Koop cryptowallets alleen via betrouwbare verkopers of leveranciers. Er zijn gevallen bekend van aanvallers die valse cryptowallets van bekende bedrijven maakten en deze vervolgens verkochten op online veilingen of op berichtenfora.

Voer alleen wallet-transacties uit op een computer waarvan u weet dat hij veilig is.

Zorg ervoor dat u de wallet zelf op een veilige plaats bewaart, want als u die verliest, bent u ook al uw geld kwijt. Denk niet alleen aan diefstal; denk ook aan risico’s zoals het per ongeluk kwijtraken van de wallet, door brand of natuurrampen. Een soort van kluis in huis is waarschijnlijk de meest geschikte plek om uw wallet te bewaren.

Maak een lang en uniek wachtwoord voor uw wallet. Zorg ervoor dat niemand dit wachtwoord ziet en dat het onmogelijk is om te raden, maar ook onmogelijk om te vergeten.

4. Pas goed op uw wachtwoorden en sleutels

De grootste angst van elke cryptobezitter is dat het wachtwoord of de seed phrase voor hun cryptowallet wordt gestolen. Om dat te voorkomen, volgt u deze regels voor het maken van veilige wachtwoorden.

Beschermingsmethodes:

Gebruik lange en unieke wachtwoorden voor elke site en dienst. Uw wachtwoorden versleuteld opslaan in een wachtwoordmanager gesynchroniseerd op al uw apparaten is erg handig.

Maak waar mogelijk gebruik van tweestapsverificatie met een USB-sleutel of mobiele app. Sms-authenticatie kunt u beter vermijden vanwege de mogelijkheid van onderschepping.

Controleer regelmatig of uw inloggegevens op het web zijn beland door hacking of lekken van diensten van derden.

Alle daarvoor benodigde functies zijn al opgenomen in een abonnement op Kaspersky Premium, waar u ook een wachtwoordmanager in vindt:

Password Check waarschuwt u als uw crypto-wachtwoorden online zijn gelekt of gemakkelijk te kraken zijn en u kwetsbaar bent voor identiteitshackers. Daarnaast wordt er gecontroleerd of uw wachtwoord veiligheidsrisico’s lopen: als er bijvoorbeeld ergens in de wereld andere gebruikers waren met hetzelfde wachtwoord, en die zijn gehackt, dan weet u dat dit wachtwoord niet langer veilig is. Tegelijkertijd worden uw wachtwoorden zelf nergens naartoe gestuurd, en voor hun veilige verificatie wordt het cryptografische hashing-algoritme SHA-256 gebruikt.

Data Leak Checker controleert en informeert u of uw accounts persoonlijke gegevens lekken, zoals wachtwoorden of inloggegevens voor uw cryptowallets, op zowel het internet als het dark web.

Identity Protection Wallet slaat uw gevoelige documenten zoals uw paspoort of de seed phrase voor uw crypto-wallet versleuteld op in de cloud om identiteitsdiefstal te voorkomen, en synchroniseert ze met al uw apparaten.

Secret Vault zet uw gevoelige gegevens zoals cryptocertificaten om in een onleesbaar formaat en beschermt ze met een wachtwoord. Uw gegevens worden veilig versleuteld op de harde schijf van uw apparaat (lokaal, niet in de cloud).

Wat zou u bijvoorbeeld doen als iemand u op Twitter een bericht stuurt met de inloggegevens voor een of ander cryptocurrency-account en u om hulp vraagt om er geld vanaf te halen?

Het beste wat u dan natuurlijk kunt doen is dit bericht gewoon negeren. Maar héél misschien is het wel legitiem? Wat als dit uw kans is om rijk te worden? Laten we samen eens kijken naar wat er allemaal niet pluis lijkt en de waarschuwingstekenen op een rijtje zetten, vooral omdat Kaspersky-experts recentelijk een spamcampagne van dit type hebben ontdekt.

Laten we eerst eens kijken naar een screenshot van het bericht:

Geweldig nieuws. U bent rijk! Maar wacht eventjes…

Een onbekende op Twitter stuurt u de inloggegevens van het account van een zekere Adam op een of ander cryptocurrency-platform dat volgens hem een bedrag van zes cijfers bevat. De afzender heeft blijkbaar uw hulp nodig om dit bedrag op te nemen.

Als u naar de site gaat en deze gegevens invoert, komt u verrassend genoeg terecht op een echt persoonlijk account met het opgegeven bedrag of iets daarbij in de buurt. Maar we hebben de fraude nog niet ontdekt.

Terwijl we inlogden op de site, werd Adam 90.000 dollar rijker.

Denk kritisch na en zoek naar waarschuwingstekenen

Laten we beginnen met de basics: als u een paar honderdduizend dollar had, zou u dan een volslagen vreemde vragen u te helpen bij het beheer daarvan? Niet? Logisch, dat zou niemand doen die bij zijn of haar verstand is. Deze redenering alleen al is voldoende om het bericht (en alle andere voorschotfraude-spam) naar de prullenbak te verwijzen.

Maar het is onze taak om alle red flags te onderzoeken, dus laten we een reden vinden om toch verder te gaan. Stel dat de omstandigheden een volslagen vreemde inderdaad hebben gedwongen om hulp te zoeken en dat hun keuze op u is gevallen. Wat lijkt er nog meer niet pluis?

Wat een populair account heeft onze mysterieuze weldoener!

Laten we eerst de anonieme weldoener wat beter leren kennen. Hun Twitter-account heeft precies nul volgers, en ze volgen precies hetzelfde aantal andere accounts: nog een duidelijke red flag, aangezien het hele punt van het creëren van een social media-account is om te communiceren en anderen te volgen.

Ten tweede is deze persoon niet bepaald sociaal: we hebben geprobeerd hen berichten te sturen, maar kregen een week lang geen antwoord. Dat is ook een red flag, die aangeeft dat het bericht een massamailing is, wat betekent dat tientallen, honderden, zelfs duizenden mensen dezelfde gebruikersnaam en hetzelfde wachtwoord hebben gekregen. Hoeveel van hen denkt u dat al geprobeerd hebben om in te loggen?

Ten derde hebben we nog een ander soort waarschuwingsteken: de gebruikersnaam en het wachtwoord suggereren dat de gebruiker Adam heet (“Adams” wachtwoord is overigens nogal zwak), terwijl de Twitter-handle waar het bericht vandaan komt niets te maken heeft met een Adam. Zou het zo zijn dat onze weldoener ons een gekaapt cryptocurrency-account wil laten leeghalen en ons als partner in crime wil?! (In werkelijkheid staat er helemaal geen cryptocurrency op dit account, maar daarover later meer).

Ten slotte zullen deskundigen een andere red flag zien: een spatie in de URL van de site waar de cryptocurrency zich zou bevinden. Zo proberen oplichters de beveiliging te omzeilen van het e-mailaccount waar u op de hoogte wordt gebracht van een nieuw bericht op Twitter.

Als u daadwerkelijk naar de site gaat, duiken de red flags een voor een op: het ontwerp is eenvoudig en slordig, en googelen op de domeinnaam levert alleen resultaten op over scams. Een echte, zelfs minder bekende cryptobeurs zou zonder enige twijfel enkele recensies hebben in de media of op fora. Deze heeft er geen, wat een duidelijke indicatie is dat het allemaal nep is.

En dit alles voor we bij de belangrijkste red flag aankomen, die de hele essentie van de zwendel blootlegt.

Betalen om cryptocurrency op te nemen

Het blijkt dat voor het opnemen van geld buiten het platform nog een wachtwoord nodig is: een zogenaamde trade key, die niemand ons heeft gegeven. Maar het is mogelijk om geld over te maken binnen het platform zelf, waarvoor u een nieuw account met VIP-status moet aanmaken en waar u het geld van Adam op moet zetten. Als dat eenmaal gebeurd is, kunnen we het geld zonder enige problemen opnemen, want dan hebben we alle benodigde wachtwoorden. Toch?

VIP als in Vreselijk Idioot Persoon

Om de VIP-status te krijgen, moet u wat geld op het nieuwe account storten door de gegevens van uw cryptowallet door te geven. Als u dat inderdaad doet, is er sowieso niets om op te nemen, terwijl uw eigen wallet wel wordt leeggezogen met de door u verstrekte gegevens.

Het platform zelf is gewoon een phishing-site en heeft helemaal niets met cryptocurrency te maken. In de recente campagne hebben oplichters verschillende van dit soort sites opgezet en inloggegevens naar verschillende Twitter-accounts gestuurd.

Wat betreft het “cryptocurrency-platform,” zijn er twee verdachte tekenen. Ten eerste wordt cryptocurrency nooit verzonden via de geef-ons-de-gegevens-van-uw-wallet-methode; in plaats daarvan ontvangt u een betalingsadres om het gewenste bedrag naartoe te sturen vanuit de interface van uw eigen wallet. Ten tweede zou geen enkel financieel platform dat die naam waardig is, u vragen fondsen van derden te gebruiken om geld over te maken dat er al op staat. Overschrijvingskosten in rekening brengen kan natuurlijk, maar een betaling eisen met de ene kaart om geld op te nemen van een andere? Dat is ronduit vreemd.

En dan hebben we het nog niet eens gehad over het slechte Engels en de kromme opmaak, wat altijd weer kenmerken blijken van phishing-sites.

Voorkom dat u slachtoffer van phishing wordt

Om geen slachtoffer te worden, moet u begrijpen hoe scammers te werk gaan en alle tegenstrijdigheden kunnen herkennen. Daartoe hebben we alle red flags in bovenstaande cryptoscam geïdentificeerd.

Vragen die u zichzelf moet stellen wanneer u geconfronteerd wordt met een wel heel verleidelijk aanbod:

• Waarom vraagt een vreemde mij om hulp en niet iemand die ze al kennen?
• Zou het een bot kunnen zijn?
• Is het niet vreemd dat ze niet antwoorden?
• Ziet het bericht er verdacht uit (bijvoorbeeld: in de vermelde domeinnaam staat een spatie om mailfilters te misleiden)?
• Wat voor site wordt mij gevraagd te bezoeken? Wat zeggen de mensen er online over?
• Bieden het ontwerp en de interface vertrouwen (natuurlijk dat is bij de helft van alle websites niet het geval, maar die gebruikt u dan ook niet om geld mee over te maken)?
• Lijkt het logisch wat er van u gevraagd wordt?
• Is het normaal dat u met geld van derden moet betalen om transacties uit te voeren met geld dat al op het platform staat?
• Word ik opgejaagd zodat ik minder alert ben?
• Klinkt het te goed om waar te zijn?

Door diep adem te halen en deze vragen voor uzelf te beantwoorden, kunt u beter begrijpen wat er aan de hand is en niet uw hoofd verliezen bij de gedachte aan gemakkelijk geld dat zo dichtbij lijkt.

De overvloed aan red flags in dit geval geeft duidelijk aan dat u met scammers te maken hebt. Maar zelfs één zou genoeg moeten zijn om u te waarschuwen. Zelfs als zo’n bericht niet van een willekeurige gebruiker kwam, maar van een vriend, moet u toch waakzaam zijn: wie weet is uw vriend wel gehackt?

Helaas gedijen oplichters goed omdat zelfs waakzame mensen menselijk zijn en soms in goed opgezette trucs trappen. Daarom kunt u maar beter echt goed voorbereid zijn en tevens een betrouwbare beveiligingsoplossing gebruiken die verdachte links spotten en toegang tot frauduleuze websites blokkeren.

Lees bovendien ook onze blogpost over hoe u zich tegen phishing beschermt — een zeer handige vaardigheid waarmee u allerlei problemen kunt voorkomen.

Disclaimer: de mening van de auteur is zijn eigen mening en weerspiegelt mogelijk niet het officiële standpunt van Kaspersky (het bedrijf).

In de eerste twee delen van deze serie werd vastgesteld dat cryptocurrencies en NFT’s een kant op waren gegaan die ver verwijderd was van waar ze beweerden heen te gaan. En daar hadden we het net zo goed bij kunnen laten: onze eerste vraagstelling ging immers vrij cynisch over de kans om rijk te worden van NFT’s. Dus wat valt er nog te zeggen nu we hebben vastgesteld hoe onwaarschijnlijk dat is? Zou doorgaan niet hetzelfde zijn als aan een dood paard trekken?

Helaas is het paard echter nog niet dood. Ook al ben ik er misschien in geslaagd u ervan te weerhouden de wereld van de cryptocurrency te betreden, en ook al heeft die wereld onlangs een grote crash meegemaakt, toch zijn er krachten aan het werk om niet alleen het voortbestaan ervan te garanderen, maar wordt er tevens voor gezorgd dat dit alles dieper zal doordringen in onze dagelijkse levens. Daarom moet ik voordat onze wegen scheiden nog een laatste en cruciale opmerking maken: cryptocurrencies maken niets waar van wat ze beloven; maar zelfs als ze dat deden zou het een ramp zijn.

De bankrun

Laten we voor nu eerst nog eens kijken naar de huidige staat van de cryptocurrency-markt. In mei 2022 daalde de marktkapitalisatie van 1,8 tot 1,2 biljoen dollar, wat betekent dat deze markt ongeveer het equivalent van het BBP van Polen verloor. Ten tijde van dit schrijven zitten we op 1 biljoen dollar. Ook de NFT-ruimte is in de eerste helft van 2022 drastisch gekrompen als gevolg van zware klappen voor het ecosysteem, waarbij belangrijke spelers in deze markt liquiditeitsproblemen ondervonden. In november heeft een van de grootste beurzen ter wereld (FTX) zijn faillissement aangevraagd, en het management wordt beschuldigd van ernstig wangedrag. Met passiva van 10-50 miljard dollar zal de val van FTX het cryptolandschap voorgoed veranderen. Maar 2022 was sowieso al een zwaar jaar: stablecoins zoals Tether of Terra (crypto-activa die de pariteit met de Amerikaanse dollar trachten te handhaven) hadden eerder al te maken gekregen met ernstige moeilijkheden. Stablecoins bieden een lage volatiliteit (idealiter geen volatiliteit) en zo dus een manier om kapitaal op te slaan zonder de cryptocurrency-ruimte te verlaten. Als u verwacht dat Ethereum gaat dalen, kunt u al uw reserves inwisselen tegen hun equivalent in een stablecoin, en Ethereum later opnieuw kopen tegen een lagere prijs. Dit proces is sneller en goedkoper dan uw cryptomunten te moeten uitbetalen in dollars – zelfs tijdelijk.

De wisselkoers van Bitcoin gedurende het afgelopen jaar. Bron

Uiteraard moet de één-op-één-pariteit van de stablecoins met de dollar op de een of andere manier worden gegarandeerd, want anders hebben we het gewoon over de zoveelste volatiele cryptomunt op de markt. Sommige vertrouwen op algoritmische middelen om het evenwicht te bewaren, terwijl andere beloven dat ze genoeg fiatreserves hebben om de munt te ondersteunen. In beide gevallen zijn recente pieken in pogingen om uit te betalen niet goed verlopen en hierdoor zijn er terecht twijfels gerezen over het vermogen van stablecoins om ook onder druk hun waarde te behouden. Dit heeft ertoe geleid dat meer mensen een poging hebben ondernomen om te vertrekken uit wat steeds meer op een zinkend schip leek, waardoor de druk op de stablecoins is toegenomen en het probleem alleen meer verergerde. De dollarpariteit ging verloren. Er brak paniek uit. De koersen van alle cryptocurrencies werden beïnvloed, en ook andere bedrijven werden meegesleurd. Eerder dit jaar moest Celsius, een bedrijf dat optrad als commerciële bank voor cryptocurrencies, opnames bevriezen en vroeg uiteindelijk faillissement aan [1] Naast liquiditeitsproblemen als gevolg van klanten die hun geld terugtrokken, had Celsius veel van zijn Ether geïnvesteerd in een afgeleid product (“sETH“) waarmee ze vooraf geld konden opnemen in het toekomstige proof-of-stake validatieschema van Ethereum (zie deel II). Helaas blijft de overgang naar proof-of-stake door Ethereum-ontwikkelaars vertraagd worden, verliezen sETH hun waarde, en blijven de pre-staked ETH in wezen geblokkeerd, waardoor de solvabiliteitsproblemen van Celsius verergeren.. Kort daarna was er nog een andere cryptobank, Babel, die opnames opschortte wegens liquiditeitsproblemen. Precies hetzelfde is de afgelopen weken gebeurd nadat er geruchten opdoken dat FTX misschien niet solvabel zou zijn.  De ironie van dit alles is natuurlijk dat het ecosysteem dat in het leven werd geroepen om “de massa’s van de banken te bevrijden” de ene na de andere bankrun ondergaat.

Cryptocurrencies zijn blootgesteld aan inflatie

De redenen waarom zoveel mensen de afgelopen maanden hebben geprobeerd te cashen, wat heeft geleid tot deze crash, zijn natuurlijk het onderzoeken waard. De meeste waarnemers zijn het erover eens dat de hoofdoorzaak de inflatie [2] Een andere reden is het feit dat door de omhoogschietende energieprijzen en de kelderende wisselkoersen mining steeds minder rendabel wordt. is, die momenteel de meeste economieën in de echte wereld treft. Investeerders worden risicomijdend in de context van een recessie en particulieren moeten de broekriem aanhalen. Dit zorgt ervoor dat het ecosysteem de instroom van nieuwkomers waar het van afhankelijk is, verliest en kapitaal aan het ecosysteem onttrekt.

Dit is opmerkelijk omdat een van de belangrijkste argumenten voor cryptocurrencies is dat ze kunnen worden gebruikt als een toevluchtsoord tegen inflatie en andere valutamanipulatie door overheden. De geldcreatie van cryptocurrencies staat immers vast: het totale aanbod van Bitcoins zal bijvoorbeeld geleidelijk toenemen tot er 21 miljoen zijn, en dan voor altijd stagneren. Liefhebbers van cryptocurrency wijzen meestal snel naar kwantitatieve versoepeling (quantitative easing of QE) als oorzaak van inflatie en als bewijs dat regeringen niet vertrouwd kunnen worden met valuta. In werkelijkheid is het juist andersom: de cryptomarkt bloeide zolang het QE-beleid beleggers overspoelde met gratis geld. Maar nu het feest voorbij is haast iedereen zich naar de uitgang.

We wisten al dat, in tegenstelling tot de vroege ontwerpdoelen van cryptocurrencies, overheidsbeslissingen een impact hadden op de cryptocurrency-wereld, zoals we zagen toen China mining op zijn grondgebied verbood. Vandaag is het ook duidelijk dat het allemaal niet zo losgekoppeld is van de reële economie als de voorstanders ervan zouden willen.

Bitcoin heeft in het verleden lange periodes van hoge inflatie gekend, ondanks het langzaam groeiende aanbod. Dit laat zien hoe het wordt beïnvloed door externe factoren die het algoritmisch bestuur niet kan corrigeren. Bron

De absurditeit van apolitiek geld

Terwijl deel I van deze serie zich toespitste op de opvatting dat cryptocurrencies helemaal geen echte munteenheden zijn, is een blinde vlek die nog moet worden aangepakt de opvatting dat crypto ooit voldoende zouden kunnen worden verbeterd om dit doel te dienen. Veel enthousiastelingen zijn zich terdege bewust van de gebreken van de bestaande blockchaintechnologieën, maar blijven onvermurwbaar geloven dat toekomstige doorbraken alles zullen oplossen. Ze hebben het echter mis, en dan niet omdat het technisch vermogen van de mens beperkt is, maar simpelweg omdat het idee vanaf het begin gedoemd is te mislukken.

Historisch gezien is geldbeheer altijd het voorrecht van staten geweest. De Visigotische wet in de 7e eeuw stond het gebruik van marteling toe om geldvervalsing te onderzoeken (uiteindelijk werd de hand van de schuldige afgehakt). In het Karolingische Rijk (750-900 na Christus) werden dergelijke misdaden bestraft “met vuur en met de dood”, terwijl Bretagne in de 15e eeuw koos voor koken en ophangen (in die volgorde). In de moderne tijd werden valsemunters in Frankrijk nog steeds ter dood veroordeeld, totdat de doodstraf in 1981 werd afgeschaft. En vandaag leven we in een wereld waar daklozen drie tot zes jaar cel krijgen voor een poging om voedsel te kopen met valse biljetten van 20 dollar. De boodschap is dus nog altijd erg duidelijk: rotzooi nooit met geld.

Dit is een les die Facebook, een bedrijf dat aantoonbaar met veel wegkomt, op de harde manier leerde toen het probeerde zijn eigen stabiele munt te lanceren. Het idee was dat grote techbedrijven (waaronder Uber, Lyft, Spotify, PayPal en MasterCard) hun eigen universele munt voor het digitale domein zouden creëren. Maar door de tegenwerking van de Amerikaanse autoriteiten moesten ze het project opgeven [3] Interessant is dat Cambridge Analytica, het beruchte bedrijf dat bekend staat om het verzamelen van gegevens van 87 miljoen Facebook-gebruikers en het gebruik ervan om zeer gerichte advertenties te leveren aan kiezers op het sociale netwerk, ook overwoog een eigen digitale munt te lanceren. Het project werd omschreven als “een middel om in feite overheidscontrole en particuliere bedrijfscontrole over individuen uit te oefenen, wat de hele oorspronkelijke opzet van deze technologie op een zeer dystopische manier op zijn kop zet”. en alle intellectuele eigendom en activa verkopen. De regeringen zagen deze poging onmiddellijk als een aantasting van hun macht en smoorden het dan ook in de kiem.

Wanneer techbedrijven proberen hun eigen munt uit te brengen, zien ze vaak een belangrijk aspect van geld over het hoofd: geld bestaat niet in een vacuüm als een van de vele uitwisselbare ruilmiddelen, maar maakt deel uit van een breder economisch systeem dat diep geïntegreerd is in het weefsel van onze samenlevingen. Het handhaven van een stabiele economie wordt algemeen beschouwd als een van de belangrijkste taken die staten geacht worden te vervullen. En als ze daarin falen, kun je dramatische plotwendingen verwachten. De Grote Depressie van 1930 wordt beschouwd als een belangrijke factor die leidde tot de Tweede Wereldoorlog. In 1788 en 1789, vlak voor de Franse Revolutie, leidden twee opeenvolgende jaren van slechte oogsten ertoe dat een brood 88% van het loon van een gemiddelde arbeider kostte (en dat liep niet goed af voor de verantwoordelijken).

Valuta moet worden beschouwd als een onderdeel van het instrumentarium dat staten kunnen inzetten als het om een groter goed gaat. Centrale banken kunnen en moeten valuta devalueren of revalueren, en zelfs meer drukken, afhankelijk van de context. Waarom? Omdat er anders mensen sterven. Het argument dat deze macht in handen moet zijn van zelfzuchtige, particuliere spelers (of helemaal niet moet bestaan) vereist niets minder dan een blind geloof in de stabiliserende effecten van gedereguleerd kapitalisme. Dat is het digitale equivalent van zeggen dat we willen dat de mensen die verantwoordelijk zijn voor de subprime-crisis de Federal Reserve (centrale bank) overnemen. Als u een minder dramatisch voorbeeld wilt, hoeft u niet verder te kijken dan de eurozone: de lidstaten hebben een wereldmunt aangenomen die wordt gecontroleerd door de Europese Centrale Bank, waaraan ze in wezen het monetaire beleid hebben overgelaten. Nu de hierboven beschreven instrumenten ontbreken, hebben de afzonderlijke staten van de Unie moeite om de recente financiële crises het hoofd te bieden. Experts zijn het erover eens dat dit een vreselijk idee was  [4] Deze verklaring mag niet worden uitgelegd als een principieel verzet van mijn kant tegen een unie tussen Europese volkeren, integendeel. Mijn standpunt is alleen dat de manier waarop het is uitgevoerd belangrijke tekortkomingen vertoont, met name wat de euro betreft. Voor de goede orde: ik geloof ook niet dat het realistisch is om nu nog terug te gaan..

Het discutabele gebruik van devaluatie of kwantitatieve versoepeling door staten wordt vaak gebruikt als argument waarom mensen cryptocurrencies zouden moeten vertrouwen. Het valt niet te ontkennen dat deze instrumenten vaak ondeskundig zijn gebruikt, maar dat is geen goede reden om te stellen dat ze dan maar nooit meer mogen worden gebruikt. Geld is zo belangrijk voor de staat, dat het alleen maar politiek kán zijn – en een essentieel aspect van politiek is het conflictueuze karakter ervan. Politiek bestaat omdat mensen het oneens zijn over dingen, en natuurlijk met name over het beheer van geld. Het uitgangspunt van cryptocurrency dat er algoritmen moeten worden toegepast om die meningsverschillen op te lossen, is een symptoom van een wijdverbreid en zorgwekkend geloof in de tech-ruimte dat we technologische oplossingen kunnen vinden voor politieke problemen. De enorme opkomst van onze industrie heeft veel computerwetenschappers het waanidee gegeven dat hun kennis van de computers waarop de moderne maatschappij draait zich vertaalt in een vermogen om de problemen van de maatschappij zelf te begrijpen [5] Onze zalige onwetendheid van de meest elementaire economische en diplomatieke principes wordt misschien het best geïllustreerd door dit interview waarin een adviseur van Blockchain Capital LLC betoogt dat het gebruik van Bitcoin als wereldmunt oorlogen zou voorkomen, omdat geld lenen zo onpraktisch zou zijn dat staten geen lange en impopulaire conflicten zouden kunnen financieren.. Dat is natuurlijk verre van de waarheid:

• de algoritmen die tot nu toe zijn bedacht hebben absoluut niets opgelost, zoals de delen I en II van deze reeks artikelen hebben aangetoond.
• Elk algoritme dat in de toekomst wordt voorgesteld, zal worden afgeschoten zodra het aan populariteit wint, aangezien staten een existentiële behoefte hebben om hun controle over hun munten veilig te stellen.
• Algoritmen waren nooit de juiste benadering van monetair beleid, omdat dit beleid altijd moet voortvloeien uit maatschappelijke consensus en op periodieke wijze opnieuw moet worden geëvalueerd. Als zodanig bevindt het zich uitsluitend in het politieke domein.

Erger nog, het idee dat beheer door algoritmen onpartijdig en dus eerlijker zou zijn, is ook misleidend. Er bestaat niet zoiets als een neutraal algoritme; er zijn alleen algoritmen met hard-coded politics [6] Het idee dat cryptocurrencies neutrale technologieën zijn en dat hun ingebouwde transparantie een sterke stimulans is tegen slecht gedrag, komt veel voor in discussies over het onderwerp. Het is niet alleen onjuist (iedereen die een beetje oplet is op de hoogte van de talloze zwendelpraktijken en marktmanipulaties die het ecosysteem teisteren), het gaat ook nog eens voorbij aan hoe technologische doorbraken de samenleving herstructureren op manieren die absoluut niet neutraal zijn (bv. de drukpers, de stoommachine, computers, het internet, enz.).

De politiek van cryptocurrencies

We moeten daarom onderzoeken welke politieke overtuigingen besloten liggen in blockchain- en cryptocurrency-technologieën, want dat zal ons meer vertellen over de risico’s van een wijdverspreide invoering. Als code wet is, welke wet dan?

Dee (g)oude(n) standaard

Een van de meest cruciale aspecten van de opzet van de grootste cryptocurrencies heeft te maken met de geldhoeveelheid. Bitcoin heeft zoals al gezegd te maken met een hard-coded limiet van 21 miljoen munten. Ethereum heeft geen bovengrens, maar controleert toch de geldcreatie door ervoor te zorgen dat er niet meer dan 18 miljoen ETH per jaar kan verschijnen [7] Ethereum bevordert verder deflatie door het vernietigen van munten die betaald worden als gasvergoeding. Door voortdurend geld uit de pool te verwijderen wordt voorkomen dat het aanbod te veel groeit.. In de oorspronkelijke whitepaper van Bitcoin staat expliciet dat “zodra er een vooraf bepaald aantal munten in omloop is gekomen, de stimulans volledig kan overgaan op transactievergoedingen en volledig vrij is van inflatie”. Wat dacht u van deze tegenstrijdigheid: we zijn nu uitgekomen bij een financieel instrument dat bekend staat om zijn onvoorspelbare inflatie- en deflatiespiralen, terwijl we het toch promoten als een bescherming tegen beide.

Hoewel we deze vermeende weerstand tegen inflatie in een vorig hoofdstuk hebben ontkracht, blijft het tot op de dag van vandaag een belangrijk argument van de voorstanders van Bitcoin. Het is geen verrassing dat Bitcoin in het verleden “digitaal goud” werd genoemd, of dat de eigen taal termen als “mining” bevat, aangezien de theoretische grondslagen van de cryptocurrency nauw verbonden zijn met het idee van de gouden standaard. Op verschillende momenten in de 20e eeuw waren fiatvaluta’s gebonden aan een fysieke grondstof (goud of zilver) en kon de staat niet meer geld uitgeven dan er met dat metaal gedekt kon worden. Om extra geld te drukken, moesten ze eerst meer goud opgraven, maar de wereldvoorraad is beperkt [8] Als de VS terug zouden gaan naar de gouden standaard, zouden ze de helft van het goud van de wereld moeten kopen om hun eigen economie te ondersteunen. Er is niet genoeg goud op aarde voor alle landen om terug te gaan naar de gouden standaard.. In 1972 gaven de VS dat systeem voorgoed op, om tal van verschillende redenen, waaronder het feit dat het de overheid te zeer beperkte en expansief beleid verhinderde wanneer het gerechtvaardigd was.

Vandaag de dag is de consensus tegen de gouden standaard eigenlijk quasi-unaniem. Alleen een paar rechtse denktanks zoals het CATO Institute (gefinancierd door Charles Koch en Murray Rothbard) en hardcore Republikeinen zoals Ron Paul verdedigen dit systeem nog. Het is daarom verrassend dat de gouden standaard wordt gebruikt als basis voor de grote cryptocurrencies, en vervolgens door cryptoliefhebbers wordt verdedigd als gezond economisch beleid.

Schaf het Federal Reserve System af!

Een ander idee dat centraal staat bij de constructie van cryptocurrencies is dat zij door hun gedecentraliseerde karakter zonder toezicht van vertrouwde partijen kunnen opereren. Opnieuw kunnen we Satoshi Nakamoto’s originele whitepaper citeren: “Het probleem met conventionele valuta is het vertrouwen dat nodig is om het te laten werken. De centrale bank moet erop kunnen vertrouwen dat de munt niet wordt gedebiteerd, maar de geschiedenis van de fiatvaluta’s staat bol van schendingen van dat vertrouwen”. Het punt van deze paragraaf is niet om de geldigheid van deze afwijzing van centrale banken te onderzoeken, maar om het te erkennen voor wat het is: een uiterst rechts idee. Perfecte voorbeelden van dit denken zijn te vinden in een artikel getiteld “Your Central Bank Steals Your Money“, of de commentaarsectie van elk soort online content waarin men kritisch uit op de blockchaintechnologie. FTX-oprichter Sam Bankman-Fried beschuldigde de Federal Reserve ervan verantwoordelijk te zijn voor de huidige neergang [9] Argumenten dat centrale banken oncontroleerbare inflatie veroorzaken door het manipuleren van de rentevoeten gaan voorbij aan het feit dat deze acties in feite als reactie op de inflatie worden genomen, om deze te beheersen. In normale omstandigheden richten centrale banken zich gewoonlijk op een inflatiepercentage van 2% dat volgens orthodoxe economen het meest gunstig is. (hoewel recente gebeurtenissen twijfel doen rijzen over de economische deskundigheid van Bankman-Fried). In het slechtste geval vervalt het cryptocurrency ecosysteem in antisemitisme en alt-right samenzweringstheorieën over schimmige elite figuren en de deep-state die samenspannen om te stelen van de middenklasse.

Het idee van een economie zonder centrale banken is al lange tijd een pijler van het libertaire denken…

Geen van deze ideologieën werd geboren met cryptocurrencies. Als we kijken naar de tegenstanders van de Federal Reserve buiten deze sfeer, vinden we gemakkelijk libertarische economisten (Charles Hugh Smith heeft zijn heimwee naar de gouden standaard openbaar gemaakt) en meer rechtse denktanks. Dit is ook een terugkerend thema voor experts als Alex Jones.

Libertariërs en anarcho-kapitalisten

Zelfs als de blockchaintechnologie apolitiek zou zijn, lijken de mensen die de axioma’s ervan al decennialang verdedigen zeker een gemeenschappelijke visie te delen. De eerder genoemde persoonlijkheden kunnen worden geassocieerd met de Amerikaanse libertaire beweging [10] Ook wel aangeduid als “anarcho-kapitalisme”, hoewel traditionele anarchistische stromingen elke verwantschap daarmee afwijzen wegens onverzoenlijke ideologische verschillen.. De kern van hun filosofie is het idee van vrijheid als afwijzing van de tirannie van de staat. Staten, zo stellen zij, leggen ontoelaatbare beperkingen op aan individuele vrijheden en moeten worden beperkt tot hun kleinst mogelijke vorm: een die privébezit beschermt en niets meer dan dat. Ze zien elke poging tot herverdeling van rijkdom of regulering van de economie en de vrije handel als een onaanvaardbare inbreuk op het privéleven van de burgers.

HateWatch documenteerde het enthousiasme en de betrokkenheid van extreem-rechtse extremisten in de begindagen van Bitcoin

Ik zeg niet dat alle gebruikers van cryptocurrency zich zouden identificeren als libertariërs; maar het valt moeilijk te betwisten dat de manier waarop blockchains zijn ontworpen perfect aansluit bij de libertarische idealen. Het is ook duidelijk dat het cryptocurrency-ecosysteem een belangrijke factor is geweest in het op de voorgrond brengen van wat vroeger vooral marginale economische theorieën waren. Zonder te vervallen in kinderachtige morele oordelen als “rechts staat gelijk aan slecht”, kan een maatschappij die door cryptocurrencies wordt getransformeerd alleen worden bereikt door een kritiek op de politieke filosofie van het libertarisme. Gelukkig hebben grotere denkers deze taak al voor ons op zich genomen. Vanwege mijn persoonlijke voorkeuren zal ik het relaas van Noam Chomsky als voorbeeld geven (hij identificeert zich als een libertarische socialist [11] Net zoals anarcho-kapitalisme weinig te maken heeft met anarchisme, verschilt het libertarisch-socialisme aanzienlijk van het libertarisme (maar staat het in feite heel dicht bij het anarchisme). Volgt u het nog?), maar u kunt ook andere kiezen deze lijst als die u meer aanspreken. Of, als u het eens bent met het idee dat een Darwinistische botsing van marktkrachten het beste is voor de samenleving, kunt u de volgende paragrafen gewoon overslaan.

Libertariërs verwerpen de macht van de staat omdat niemand instemt met een sociaal contract: we zijn bij onze geboorte gebonden aan de wetten van ons land, en krijgen nooit de kans deze te verwerpen. Vrijheid als hun kardinale waarde impliceert drie dingen:

1. Alle sociale interacties moeten worden beheerst door wederzijdse overeenkomsten, waarmee de betrokken partijen vrijelijk instemmen.
2. Er mogen geen beperkingen worden opgelegd aan het soort regelingen dat kan worden getroffen, en al zeker niet door de staat.
3. De bevoegdheden van de staat moeten zo beperkt mogelijk zijn, en de staat moet alleen optreden als scheidsrechter die peer-to-peer afspraken afdwingt.

Het klinkt misschien als een geweldig systeem tussen gelijken, maar helaas is dat niet de wereld waarin we nu leven, omdat mensen vanuit verschillende posities van rijkdom en macht met elkaar omgaan. Als Jeff Bezos iets van mij wil, krijgt hij het waarschijnlijk ook, en op zijn voorwaarden. Hoewel ik technisch gezien vrij ben om te weigeren, kan elk verzet dat ik doe gemakkelijk worden neergeslagen omdat de machtsverhouding zo groot is. Libertariërs beschouwen dit niet als een probleem, maar eerder als een kenmerk van het systeem: het voelt voor hen natuurlijk aan dat de meest bekwame of zakelijk vaardige mensen beloond worden met meer macht.

“Belasting is diefstal”, veel gehoord in sommige Bitcoin-kringen, is een van de slogans van libertariërs. Het belichaamt hun diepgewortelde bezwaar tegen mechanismen voor herverdeling.

Het probleem is dat de regels die het libertarisme voorstaat, leiden tot een geleidelijke toename van de machtsconcentratie. De machtigen kunnen hun positie gebruiken om een voorsprong te krijgen op de rest van het veld, wat hen vervolgens in een iets betere positie brengt die ze nóg meer kunnen benutten. Zelfs als we de samenleving op magische wijze zouden terugbrengen naar een zuiver egalitaire staat (wat absoluut geen deel uitmaakt van de libertarische agenda), zouden we na een paar generaties weer terug bij af zijn. Het is geen verrassing dat deze ideologie vooral aantrekkelijk is voor entiteiten die het al goed doen (zoals miljonairs en multinationals) die niets liever willen dan hun macht consolideren en een omgeving creëren waarin zij niet meer kunnen worden uitgedaagd. Op ware Orwelliaanse wijze staat de term libertarisme uiteindelijk voor het tegenovergestelde van wat het betekent: de implementatie ervan leidt tot onderwerping aan een tirannie van bedrijven waar de private sector in feite onbeperkte, ongecontroleerde macht heeft.

Interessant is dat deze beoordeling niet meer theoretisch is. De cryptocurrency-wereld is gebouwd op de leefregels van het libertarisme, en kan gezien worden als een kleine versie van hun ideale samenleving. De delen I en II van deze reeks toonden hopelijk aan hoe de daaruit voortvloeiende dynamiek de macht inderdaad concentreerde in de handen van de allerrijksten. Het enige wat we nu nog moeten doen is concluderen dat dit het ontwerp van de onderliggende structuur was in plaats van een ongelukkig neveneffect.

De toekomst

Ik zou me niet te druk maken over libertariërs die hun eigen kleine dystopie leven als er niet een significant risico was dat dit het internet als geheel zou besmetten. Hoewel ik niet geloof dat cryptocurrencies snel mainstream zullen worden [12] Tenminste niet in hun huidige vorm. CBDC’s hebben echter een groot potentieel voor grootschalige toepassing, maar zij zijn een heel ander beestje en daar ga ik hier dus niet op in., worden andere nieuwe op blockchain gebaseerde technologieën nog steeds getest en ingezet.

Web3

Eén zo’n technologie is Web3, en hoewel dit nog erg vaag is, vertegenwoordigt deze technologie een nieuwe iteratie van het algemene concept van het internet. De belangrijkste aanname draait ook rond decentralisatie: internetdiensten draaien vandaag meestal rond een handvol platforms zoals Google, Amazon, Microsoft en Facebook, waarvan het leiderschap, als het niet op een betekenisvolle manier wordt betwist, op zijn minst door velen wordt bekritiseerd. Het idee achter Web3 is dat gebruikersgegevens, die momenteel door deze bedrijven worden verzameld, in de toekomst op de blockchain worden opgeslagen waar ze weer gedecentraliseerd kunnen worden.

Online betalingen zullen in Ether plaatsvinden zonder dat daarvoor processors van derden zoals PayPal of Stripe nodig zijn, en wallets zullen rechtstreeks in browsers worden geïntegreerd. We lossen domeinnamen op door ze op te zoeken op de blockchain. Toegangscontrole zal berusten op NFT’s en slimme contracten. U ziet al waar ik naartoe wil.

De grote vraag is natuurlijk of de zeer inefficiënte blockchaintechnologie het gewicht van het hele internet kan dragen. Naast de buitensporige kosten van elke blockchainoperatie, plus andere eerder genoemde problemen, is een belangrijk obstakel de mogelijkheid voor het grote publiek om met de blockchain te interageren. Stel dat alle gegevens van de wereld op de een of andere manier daarheen worden gemigreerd, hoe zou u, als gebruiker of eigenaar van een website, daar dan toegang toe krijgen? Blockchains worden verondersteld gedistribueerd en gedecentraliseerd te zijn, dus u kunt toch zeker wel een kopie van de gegevens krijgen? Inderdaad, dat kan… mits u genoeg opslagruimte hebt. De Ethereum-blockchain ‘weegt’ momenteel 875 GB, een cijfer dat alleen maar verder kan stijgen. Toegegeven, u hebt misschien geen volledige kopie nodig, maar zelfs het opslaan van de laatste 10% van deze ene blockchain is in de meeste gevallen onpraktisch, en absoluut ondenkbaar voor mobiele apparaten.

Om dit probleem te omzeilen, hebben enkele bedrijven, zoals Infura en OpenSea, interfaces (API’s) ontwikkeld die programmeurs kunnen opvragen om toegang te krijgen tot de toestand van de blockchain of blockchain-ondersteunde objecten zoals NFT’s. Zo hebt u geen kopie van de gegevens meer nodig. In plaats daarvan kunt u een vertrouwde partij vragen wat u interesseert, en die zoekt het voor u op in de blockchain en stuurt het resultaat terug. Wat zei ik nu net? Een “vertrouwde partij”? O, ja. De taak om informatie uit de blockchain te halen is zo omslachtig dat het werd uitbesteed aan een paar bedrijven die de de facto autoriteiten zijn geworden van wat het bevat. Vrijwel alle blockchain-gerelateerde websites vertrouwen op deze diensten onder de motorkap. Het maakt niet uit dat de eigenlijke informatie onveranderlijk en gedistribueerd is, als alle weergaven van deze gegevens in de wereld worden gecontroleerd door single points of failure. Weerstand tegen censuur was het laatste pro-blockchain-argument dat we tot nu toe niet hadden behandeld, maar ook dat gaat niet op. In feite vertrouwt het ecosysteem hierop om zichzelf te controleren, bijvoorbeeld wanneer OpenSea [13] Een platform dat 97% van de NFT-markt in handen heeft en dat, zo is mij verzekerd, nog steeds gedecentraliseerd is. gestolen NFT’s schrapt om te voorkomen dat deze worden doorverkocht. Deze bevoegdheid is ook unilateraal misbruikt. Op een of andere manier blijft de blockchainwereld precies die structuren herscheppen waarvan juist wordt beloofd dat die omvergeworpen zullen worden.

Wat de caption ook zegt, veel entiteiten in de Web3-kolom zijn bedrijven, geen protocollen. Het doel van Web3 is niet zozeer decentralisatie maar eerder een wisseling van de wacht

Ik heb ernstige twijfels of Web3 ooit het daglicht zal zien. Tot nu toe hebben we geleerd dat blockchains nooit goed genoeg schalen om echte toepassingen aan te kunnen, maar Web3 heeft ambities voor het hele internet. Een andere belangrijke horde die Web3 zal moeten nemen is dat alles openbaar maken op de blockchain tegen de tijdgeest ingaat. Het afgelopen decennium werd gekenmerkt door opeenvolgende debatten over de juiste omgang met gebruikersgegevens. Veel van de kritiek ging over profielen of foto’s die standaard openbaar werden gemaakt, en verschillende landen namen overeenkomstige wetgeving aan. Neem vooral contact met mij op als u kunt uitleggen hoe persoonsgegevens die op de blockchain zijn opgeslagen ooit kunnen voldoen aan de bepaling van de AVG tegen de overdracht ervan buiten de EU. Sommigen (zoals Dan Olson in zijn geweldige video over dit onderwerp) hebben dit nieuwe paradigma gezien als een poging van een nieuwe golf van startende techbedrijven om de bestaande giganten van de troon te stoten door hun exclusieve controle over onze persoonlijke informatie te betwisten. En dit is misschien wel het grootste obstakel voor Web3: de huidige grote spelers zijn natuurlijk niet van plan om mee te werken.

Third Life

Het punt is dat die grote spelers hun eigen visie hebben op hoe deze nieuwe wereld eruit moet zien, en zij staan daarin natuurlijk centraal. Microsoft heeft zijn metaverse-strategie onthuld. Facebook ging zelfs zover dat het zijn naam veranderde in “Meta” – een zet, zo moeten wij geloven, die uitsluitend is ingegeven door het oprechte geloof in de levensvatbaarheid van de metaverse als concept, en niets te maken heeft met het feit dat het oorspronkelijke merk radioactiever is geworden dan sushi uit Fukushima.

Men is nog niet zeker welke van de twee de echte is

De beste manier om het concept van een metaverse uit te leggen is aan de hand van de film “Ready Player One“. Zelfs als u die niet gezien hebt, biedt de trailer al meer uitleg dan de meeste artikelen die u online kunt vinden. Een metaverse is een parallelle wereld die toegankelijk is via een virtual reality (VR)-headset, maar buiten het hardware-aspect is het eigenlijk gewoon Second Life. Het is een uitbreiding van de fysieke ruimte waar je je kunt verplaatsen, met vrienden kunt omgaan en misschien zelfs kunt werken. Ik hoor u al denken: wat is daar het nut van? Dat kunnen we toch ook in het echte leven al? Toch kunnen we het idee van de metaverse niet alleen op die gronden verwerpen: toen het internet werd geïntroduceerd, waren de mensen immers ook al behoorlijk sceptisch. Ze begrepen het niet: post kon al in papieren vorm worden verstuurd, kranten bevatten alle informatie die je ooit wilde, en het idee dat je bij online winkels producten zou bestellen zonder ze eerst te zien, voelde belachelijk aan. Maar 30 jaar later zijn we hier allemaal te vinden, want het zijn de productiewijzen die de behoeften van de consument bepalen – en niet andersom. Als alle sociale interacties daarheen verhuizen, willen we de metaverse echt wel. Tech-fanaten beschrijven het als niets minder dan een nieuwe revolutie die qua schaal vergelijkbaar is met het internet.

Metaverse en de (afwezigheid van de) blockchain

Maar voordat we ons afvragen of de metaverse een kans heeft ons leven ooit te beïnvloeden, moeten we nog één ding ophelderen. Wat heeft dit allemaal met blockchains te maken? In 2002 slaagde Second Life erin enig succes te boeken met zowel zijn virtuele wereld als zijn zelfgemaakte valuta zonder gebruik te maken van een van de technologieën die in deze reeks artikelen worden beschreven. Met het huidige concept krijgen we echter verschillende metaverses: werelden die door verschillende partijen worden geëxploiteerd en waar u als het ware tussen naburige eilanden heen en weer teleporteert. Om ervoor te zorgen dat de algemene ervaring consistent is, moet er informatie tussen alle metaverses worden gedeeld. Als u echte Nike-schoenen koopt voor uw avatar in het rijk van Microsoft, verwacht u toch zeker niet op blote voeten rond te lopen als uw naar het Facebook-metaverse verhuist. De oplossing hiervoor is, volgens sommigen, dat alle “bezitbare” objecten in de metaverse moeten worden gerepresenteerd als NFT’s, waardoor de blockchain een soort interoperabiliteitsmechanisme wordt tussen digitale werelden.

Het is echter zeer merkwaardig dat, hoezeer Microsoft en Facebook momenteel ook op het metaverse-concept hameren, ze de blockchain nauwelijks noemen. Ze hebben dan wel een consortium opgericht dat het Metaverse Standards Forum heet, met Adobe, Nvidia, Alibaba en vele anderen, maar een snelle blik op de leden leert dat blockchain-partijen er niet eens bij betrokken zijn. Dit zegt me dat wat de crypto-industrie ook gelooft, big tech plannen heeft om zelf in beweging te komen. De waarheid is dat er een veel duidelijker oplossing is voor het multi-metaverse-probleem: er moet een duidelijke hegemoon zijn. De grote spelers in de metaverse-ruimte praten niet over blockchains omdat interoperabiliteit momenteel slechts plan B is. Zij zouden veel liever de concurrentie de nek omdraaien en slechts één gigantisch eiland hebben (dat van hunzelf) dat door iedereen in de wereld wordt gebruikt. Als we de geschiedenis erop naslaan, heeft “openheid” een veel grotere kans om cynisch en strategisch gebruikt te worden om tractie te krijgen, totdat het de juiste zet wordt om gebruikers vast te zetten.

Waarom ik me zorgen maar over de metaverse

Ironisch genoeg baarde het concept van metaverses me minder zorgen toen ik ervan overtuigd was dat ook zij ten val zouden worden gebracht door de ‘Midas-touch’ van blockchains: een technologie die, laat me u er nogmaals aan herinneren, tot op heden nog nooit tot één enkele praktische toepassing heeft geleid wegens haar inherente beperkingen. Blockchains uit de metaverses halen verandert niets aan het feit dat beide dezelfde libertarische ideologische basis hebben; en in het geval van de laatste voelt hun onvermijdelijke ontaarding in corporatieve tirannie nog duidelijker aan [14] Grappig genoeg draait een deel van het plot van Ready Player One om het wegnemen van de controle van de metaverse van het moederbedrijf!. Sommige denkers noemen deze specifieke vorm van onderwerping “techno-feudalisme“. Willen we na alle controverse over hoe social media de sociale structuur van de wereld zouden kunnen vernietigen echt de helft van ons leven doorbrengen in digitale sferen die worden beheerd door entiteiten die ons keer op keer teleurstellen?

Wellicht hebben we hier echter geen keuze in. De bedrijven die nu zwaar investeren in de metaverse behoren tot de machtigste ter wereld. Zij kunnen het vermogen hebben (door machtsposities of pure marketingmacht) om ons te dwingen tot de consumptie van welk nieuw paradigma hen dan ook ten goede komt. Op dit moment worden nog we beschermd door de hoge prijs van VR-headsets, maar dat kan niet eeuwig duren. Ik vrees dat er over 20 jaar genoeg reden zal zijn om er een in elk huis te hebben en dat het verzet tegen de metaverse ten koste zal gaan van sociaal isolement.

Ik sluit dit deel af met de reden waarom ik denk dat techbedrijven een existentiële reden hebben om deze strijd fel te voeren: het feit dat het eindfase-kapitalisme te maken heeft met een structureel probleem. Het systeem vraagt om groei, en kan in feite alleen overleven als het blijft groeien, maar er is een plafond. Oftewel, de groei moet op een gegeven moment stoppen. Niet om morele redenen, maar gewoon omdat onze planeet uiteindelijk geen grondstoffen meer heeft. Het gezegde dat “er geen oneindige groei kan zijn in een eindige wereld” wordt vaak gebruikt om te pleiten voor degrowth en het helemaal loslaten van het kapitalisme. Het geniale antwoord van het kapitalisme is om de realiteit te omzeilen en nieuwe werelden te creëren, virtueel en oneindig deze keer, waar eeuwig waarde kan worden onttrokken [15] Dit verklaart ook waarom veel miljardairs zo enthousiast zijn over ruimteverkenning en het vooruitzicht om nieuwe planeten te koloniseren..

Als we de metaverses vanuit dit oogpunt bekijken, kunnen we begrijpen waarom ze in de eerste plaats zullen worden ontworpen als marktplaatsen waar alle goederen uit het echte leven kunnen worden gedupliceerd en opnieuw verkocht, en met multinationals die optreden als almachtige verhuurders. Het einddoel is de commodificatie van elk aspect van ons leven. Ik wil daar in ieder geval niets mee te maken hebben.

Conclusie

Het zou gemakkelijk zijn om blockchains de schuld te geven van al hun tekortkomingen en het voor gezien te houden. De toepassingen die ze ons gebracht hebben (of nog hopen te brengen) zijn absurd. Alles eraan is fout. In het beste geval zijn ze compleet nutteloos. Meestal verwoesten ze onze planeet en maken ze hele nieuwe vormen van onderdrukking mogelijk. Maar het quasireligieuze fanatisme dat ze vaak oproepen vertelt ons iets anders. De blockchain-droom draagt de belofte in zich van een eerlijkere samenleving, samen met een vleugje wraak tegenover de financiële wereld die het leven van mensen keer op keer heeft geruïneerd. We mogen niet verbaasd zijn dat het moeilijk is om die droom los te laten.

Wat me echt kwaad maakt is hoe uitbuitend het alternatief bleek te zijn. Lees deze getuigenissen van mensen die alles verloren en kijk dan eens of dat uw hart niet doet breken. Het gaat niet om twijfelachtige geldbeleggingen, het gaat erom dat de moderne maatschappij veel mensen de hoop ontneemt om hun leven te verbeteren buiten de middelen waarvan ze diep in hun hart wéten dat het gokken is. En dan blijken die middelen weer een geheim instrument te zijn om rijkdom over te hevelen van de rechtelozen naar de rijken.

Pas in de allerlaatste paragraaf van deze reeks vinden we eindelijk het eerste nut ooit gegenereerd door blockchains, cryptocurrencies en NFT’s. Het is niet wát ze zijn, het is wat ze onthullen over de staat van de wereld en de ondraaglijke ongelijkheid die mensen moeten verdragen. Over wat de samenleving binnen niet al te lange tijd te wachten staat als we niets doen om dat te voorkomen. En verder, beste lezer, waar u zich ook bevindt, als u probeert om uzelf aan de armoede of miserie te onttrekken, dan hoop ik oprecht dat u daarin slaagt. Maar blockchains gaan u niet helpen.

Dit artikel beschrijft de belangrijkste bevindingen van onze deskundigen en geeft tips over hoe u uw apparaten tegen miners kunt beschermen. Bekijk ons Securelist-blog voor een gedetailleerder rapport.

Schadelijke miners in opkomst

Nadat de prijzen van cryptocurrency vorig jaar omhoogschoten, zijn ze dit jaar net zo dramatisch ingestort. Men zou een overeenkomstige daling van schadelijke mining verwachten, maar in feite is precies het tegenovergestelde gebeurd: in de eerste drie kwartalen van 2022, vergeleken met dezelfde periode in 2021, is het aantal nieuwe miner-modificaties toegenomen, evenals het aantal getroffen gebruikers. Cybercriminelen waren vooral actief in het derde kwartaal, waarin onze beveiligingstools meer dan 150.000 nieuwe varianten van kwaadaardige miners detecteerden. Ter vergelijking: in dezelfde periode in 2021 verschenen er nog minder dan 50.000.

Onze onderzoekers bestudeerden ook welke soorten malware aanvallers op de apparaten van slachtoffers probeerden te planten na misbruik van bekende kwetsbaarheden in software. In de eerste drie kwartalen van 2022 bleek ongeveer een op de zeven gevallen een schadelijke miner te zijn. En gedurende het hele jaar, terwijl de cryptocurrency-prijzen gestaag daalden, vertoonde het aandeel van miners onder alle infecties juist een stabiele groei. In het derde kwartaal van 2022 lag dit cijfer al op 17 procent (dat is elk zesde geval), waardoor crypto-miners na ransomware de meest voorkomende malware is.

Illegale software — met gratis miner erbij

Schadelijke miners verspreiden zich, net als andere malware, op verschillende manieren. Naast kwetsbaarheden gebruiken cybercriminelen vaak ook illegale content zoals gratis films/muziek, gehackte software, cracks, cheats, enz. om dergelijke malware te verspreiden. Dus als je computer na het via een torrent downloaden van een illegaal spel plotseling vreselijk begint te vertragen, heb je misschien onderweg een miner opgepikt. En die is misschien niet alleen. Nog niet zo lang geleden ontdekten onze onderzoekers bijvoorbeeld een schadelijke combo: een miner die samen met een stealer (een programma dat inloggegevens steelt) wordt verspreid onder het mom van game cheats en cracks.

Wat de aanvallers minen

De wereld loopt al over van alle verschillende crypto. Schattingen over de aantallen variëren: Cointelegraph bijvoorbeeld beweert dat er bijna 21.000 zijn. Naast Bitcoin en Ethereum, waar waarschijnlijk iedereen wel eens van gehoord heeft, zijn er cryptocurrencies gewijd aan publieke figuren en memes (zoals Dogecoin), cryptocurrencies van grote bedrijven (zoals Binance Coin), cryptocurrencies van de overheid (zoals de Venezolaanse Petro), metaverse-cryptocurrencies… en zo gaat de lijst maar door.

Door monsters te bestuderen van kwaadaardige miners die in september 2022 werden ontdekt, stelden onze onderzoekers vast wat cryptojackers het liefst minen. Monero (een cryptocurrency gericht op anonimiteit van transacties, waardoor het zeer moeilijk, zo niet onmogelijk, is om ze te traceren) bleek het populairst. Bitcoin komt op de tweede plaats, en Ethereum op de derde. Daarnaast genereerden sommige van de geanalyseerde monsters:

• De bovengenoemde meme-cryptomunt Dogecoin;
• Litecoin, een “lichtgewicht” Bitcoin voor goedkopere en sneller bevestigde transacties;
• Dash, nog een Bitcoin-spin-off;
• Neo, een Chinese cryptocurrency;
• Bit Hotel, de valuta van het gelijknamige gaming-metaverse.

Hoe voorkomt u dat u hier slachtoffer van wordt?

Om te voorkomen dat u ongewild uw computerbronnen deelt met vreemden, moet u veiligheidsbewust zijn:

• Download programma’s, muziek en films alleen via de officiële bronnen. Illegaal verkregen content kan worden afgeleverd met een verborgen miner, of erger.
• Vergeet niet alle programma’s onmiddellijk bij te werken, en stel nooit updates van het besturingssysteem uit. Kwetsbaarheden in verouderde software worden vaak uitgebuit door cybercriminelen.
• Gebruik een betrouwbare beveiligingsoplossing die miners en andere schadelijke programma’s detecteert en blokkeert.

5. Skeleton Key

Slachtoffer: KuCoin -cryptobeurs

Wanneer: 26 september 2020

Verlies: ongeveer 285 miljoen dollar

In de nacht van 25 op 26 september 2020 ontdekten beveiligingsmedewerkers van het in Singapore gevestigde bedrijf KuCoin een reeks abnormale transacties van verschillende hot wallets. Om de verdachte transacties te stoppen brachten ze alle overgebleven activa van de gecompromitteerde hot wallets over naar een koude opslagplaats. Het hele incident duurde ongeveer twee uur vanaf de ontdekking tot de voltooiing. Gedurende deze tijd slaagden de aanvallers erin om ongeveer 285 miljoen dollar in verschillende cryptocurrencies op te nemen.

Uit het onderzoek bleek dat de cybercriminelen toegang hadden gekregen tot de privésleutels van de hot wallets. Een van de hoofdverdachten is Lazarus Group, een Noord-Koreaanse APT-cybergroep Dit komt doordat de aanvallers een meerfasen-algoritme gebruikten om de buit wit te wassen, vergelijkbaar met de trucs die bij eerdere hacks door de Lazarus-groep werden gebruikt. Eerst haalden ze gelijke hoeveelheden crypto door een tumbler (een hulpmiddel om cryptocurrency-fondsen te mengen met andere om sporen te wissen), waarna ze de cryptocurrency overmaakten via gedecentraliseerde platforms.

Ondanks de omvang ervan betekende deze aanval niet het einde van de cryptobeurs. De dag na de diefstal beloofde Johnny Lyu, de CEO van KuCoin, tijdens een livestream de gestolen fondsen terug te betalen. Lyu kwam zijn belofte na, en in november 2020 tweette hij dat 84% van de getroffen activa waren teruggegeven aan hun eigenaars. De resterende 16% werd gedekt door het verzekeringsfonds van KuCoin.

4. Geld uit het niets

Slachtoffer: Wormhole cross-chain bridge

Wanneer: 2 februari 2022

Verlies: 334 miljoen dollar

De volgende in onze top 5 is een aanval die gebruik maakte van een kwetsbaarheid in Wormhole, het cross-chain bridging-protocol. De cybercriminelen werden geholpen door het feit dat de ontwikkelaars van het platform hun programmacode openbaar hadden gemaakt. Maar eerst dit…

Wormhole is een tool die bij cryptocurrency-transacties bemiddelt. Om preciezer te zijn: deze tool maakt het mogelijk voor gebruikers om tokens verplaatsen tussen de Ethereum- en Solana-netwerken. Technisch werkt de uitwisseling als volgt: tokens worden bevroren in de ene keten, terwijl er zogenaamde “wrapped tokens” van dezelfde waarde worden uitgegeven in de andere keten.

Wormhole is een open-source project met een eigen repository op GitHub. Kort voor de aanval plaatsten de ontwikkelaars daar code om een kwetsbaarheid in het protocol te verhelpen. Maar de aanvallers slaagden erin de kwetsbaarheid uit te buiten voordat de wijzigingen van kracht werden.

Door de bug konden zij de transactieverificatie de kant van Solana omzeilen en 120.000 “wrapped ETH” (met een waarde van ongeveer 334 miljoen dollar ten tijde van de aanval) uitgeven zonder het equivalente onderpand in de Ethereum-blockchain te bevriezen. De cybercriminelen maakten twee derde van het totale bedrag over naar een Ethereum-wallet, en gebruikten de rest om andere tokens te kopen.

Wormhole deed een openbare oproep aan de aanvallers om het gestolen geld terug te geven en de exploit te detailleren tegen een beloning van 10 miljoen dollar. De cybercriminelen negeerden het genereuze aanbod.

De dag na de diefstal twitterde Wormhole dat alle fondsen waren hersteld en de bridge weer werkte als voorheen. Het financiële gat werd gedicht door Jump Trading, het bedrijf dat zes maanden voor het incident de ontwikkelaar van Wormhole had gekocht. Afgaande op open-source informatie, zijn de dieven nog altijd niet bekend.

3. Diefstal van 3 jaar

Slachtoffer: Mt.Gox cryptoexchange

Wanneer: Februari 2014

Verlies: 480 miljoen dollar

De geschiedenis van Mt.Gox begon lang geleden al, in 2007, toen het een platform was voor het ruilen van kaarten van het spel Magic: The Gathering. Drie jaar later, te midden van de groeiende populariteit van crypto, besloot de eigenaar van de site, de Amerikaanse programmeur Jed McCaleb, er een cryptobeurs van te maken, maar hij verkocht de dienst vervolgens in 2011 aan de Franse ontwikkelaar Mark Karpelès. Slechts twee jaar later verhandelde Mt.Gox ongeveer 70% van alle bitcoin ter wereld.

De snelle stijging werd gevolgd door een verlammende crash. Op 7 februari 2014 blokkeerde de beurs plotseling alle opnames van bitcoin. Het bedrijf weet dit aan technische problemen. Woedende klanten verzamelden zich bij het hoofdkantoor van Mt.Gox in Tokio en eisten hun geld terug. Dat protest was echter aan dovemansoren gericht.

Het opmerkelijke aan dit verhaal is dat de aanval op Mt.Gox al in 2011 begonnen was. Toen kregen onbekende hackers de privésleutels van een hot wallet op de beurs in handen en begonnen geleidelijk bitcoin over te hevelen. In 2013 hadden de cybercriminelen 630.000 BTC op hun rekeningen gestort.

Mt.Gox beëindigde uiteindelijk de handel op 28 februari 2014, toen Karpelès het failliet verklaarde en zich verontschuldigde voor de “zwakke plekken in het systeem” die ongeveer 750.000 BTC van klanten en 100.000 BTC van zichzelf hadden weggevaagd. Het bedrag van de gestolen fondsen wordt normaal gesproken geschat op ongeveer 480 miljoen dollar, want dit is de waarde van het totale aantal gestolen tokens tegen de wisselkoers op de dag voordat de beurs het faillissement aanvroeg, namelijk 27 februari.

Merk daarbij wel op dat in de tijd nadat Mt.Gox zijn handel staakte en voordat het faillissement werd uitgesproken, de bitcoinprijs sterk daalde. Berekend tegen de wisselkoers van 6 februari (de dag voordat de beurs daadwerkelijk werd gesloten) zou het verlies ongeveer 660 miljoen dollar bedragen. Beide cijfers zijn echter voorlopig: ze houden geen rekening met de drie jaar die de overval duurde en waarin de wisselkoers sterk fluctueerde. Het is daarom moeilijk om de exacte hoogte van het bedrag te bepalen.

Bitcoin-wisselkoers in februari 2014. Bron

Hoe kon deze aanval überhaupt plaatsvinden? Volgens voormalige werknemers was het management van het bedrijf nogal nalatig als het om allerlei belangrijke zaken ging. Zo had Mt.Gox bijvoorbeeld ernstige problemen met de financiële verslaglegging. Bovendien heeft er nooit een behoorlijke kwaliteits- en veiligheidsaudit van de code plaatsgevonden: er was bijvoorbeeld geen versiebeheersysteem.

Aanklagers hebben de eigenaar van Mt.Gox, Karpelès, beschuldigd van verduistering van ongeveer 3 miljoen dollar aan fondsen van klanten. Ze slaagden er echter niet in dit voor de rechtbank te bewijzen. Uiteindelijk kreeg Karpelès slechts een voorwaardelijke straf van twee jaar en zes maanden voor gegevensmanipulatie en werd hij vrijgesproken van andere aanklachten.

2. Bijna een half miljard

Slachtoffer: Cryptobeurs Coincheck

Wanneer: 26 januari 2018

Verlies: 496 miljoen dollar

Coincheck is een van de grootste cryptobeurzen van Japan. In 2018 slaagden cybercriminelen erin om meer dan 500 miljoen NEM-tokens te stelen met een waarde van ongeveer hetzelfde bedrag in dollars.

Het bedrijf beweerde dat hun beveiligingssysteem robuust was en meldde niet hoe de indringers de aanval precies hadden uitgevoerd. Sommige deskundigen geloven echter dat de cybercriminelen mogelijk toegang kregen tot de privésleutels van de hot wallets van Coincheck met behulp van malware op een computer in het kantoor van het bedrijf zelf.

De aanvallers maakten ook hun eigen site die NEM-tokens verkocht voor bitcoin en andere cryptocurrencies met een korting van 15%. Als gevolg daarvan daalde de koers van NEM sterk en verloor Coincheck ongeveer 500 miljoen dollar. Toch zorgde dit er niet voor dat de cryptobeurs moest sluiten. De criminelen konden ook niet achterhaald worden. De beurs moest haar activiteiten enige tijd opschorten en beloofde haar klanten met eigen middelen te compenseren.

NEM-wisselkoers na het Coincheck-incident. Bron

1. Jobaanbieding met een verrassing

Slachtoffer: Blockchain-platform Ronin Network

Wanneer: 23 maart 2022

Verlies: 540 miljoen dollar

Ronin Network is speciaal gemaakt door Sky Mavis voor het spel Axie Infinity, waarmee spelers de in-game valuta Smooth Love Potion (SLP) kunnen kopen. Eind maart 2022 stalen onbekende aanvallers een recordbedrag van 540 miljoen dollar aan cryptocurrency van Ronin. Ze werden geholpen door spyware en de magie van social engineering.

De gerichte aanval was gericht op werknemers van Sky Mavis, waar één iemand toebeet (waarschijnlijk op LinkedIn). Nadat deze persoon een “selectieprocedure” had doorlopen, ontving een van de senior ingenieurs een “jobaanbod” in de vorm van een pdf-bestand met spyware erin. Hierdoor konden de dieven de controle over vier van de private validatorsleutels van het netwerk overnemen.

Om toegang te krijgen tot de activa van het bedrijf, moesten ze ten minste vijf van de negen validators compromitteren. Zoals zojuist vermeld, hielp de spyware hen vier sleutels te bemachtigen. De vijfde kregen ze in handen door een vergissing van het bedrijf zelf, dat Axie DAO (gedecentraliseerde autonome organisatie) toestemming had gegeven om transacties te ondertekenen om Ronin Network te helpen het gebruikersvolume te beperken, en vervolgens vergat die toestemming weer in te trekken.

Sky Mavis herstelde zich echter snel van het incident. In juni 2022 werd het blockchainplatform opnieuw gelanceerd en begon het met het compenseren van getroffen spelers.

NFT-karakter uit blockchain-gebaseerd spel Axie Infinity. Replica

Bonus. Een hack met terugbetaling

Doelwit: Cross-chain protocol Poly Network

Wanneer: 10 augustus 2021

Verlies (later teruggekregen): 610 miljoen dollar

Laten we als bonusverhaal eindigen met een andere grote crypto-diefstal, die eindigde met de teruggave van elke cent van de buit. Dit is wat er gebeurde…

Poly Network is weer een ander protocol voor het implementeren van blockchain-interoperabiliteit. In de zomer van 2021 was het getuige van een van de grootste diefstallen in de geschiedenis van cryptocurrency. Een onbekende hacker maakte misbruik van een kwetsbaarheid in Poly Network en stal meer dan 600 miljoen dollar in verschillende cryptocurrencies.

Poly Network riep de dader op Twitter op om de gestolen tokens terug te geven. Tot ieders verbazing nam de hacker contact op en stemde toe. Ze gingen beetje bij beetje over tot de overdracht van de gestolen tokens, en verdeelden ze in verschillende ongelijke delen.

De online uitwisseling tussen de hacker en Poly Network duurde geruime tijd. Daarbij verklaarde de aanvaller dat hij niet geïnteresseerd was in geld en de overval alleen om “ideologische redenen” had uitgevoerd. Als teken van dankbaarheid liet Poly Network zijn aanklachten tegen hem vallen, garandeerde zijn anonimiteit, bood een beloning van 500.000 dollar aan en nodigde hem zelfs uit om zijn hoofdbeveiligingsadviseur te worden. Het bedrijf lanceerde ook een bug-bounty programma ter waarde van 500.000 dollar.

Niet echt een moraal van het verhaal, maar…

We hebben de top 5 crypto-diefstallen hier op een rijtje gezet, die allemaal op grote organisaties gericht waren. Maar gewone gebruikers krijgen natuurlijk voortdurend te maken met veel kleine incidenten. Daarom moet elke belegger stappen ondernemen om hun vermogen te beveiligen. Hier volgen enkele nuttige tips:

• Kies uw platforms voor handel en andere activiteiten zorgvuldig uit: lees feedback en beoordelingen, en raadpleeg indien mogelijk ervaren gebruikers die u vertrouwt.
• Geef niemand de inloggegevens voor uw account op de beurs of de gegevens van uw wallet. Houd niet alleen uw wachtwoorden en privésleutels geheim, maar ook uw seed phrase.
• Bewaar uw belangrijkste cryptocurrency-spaargeld in cold wallet. In tegenstelling tot hot wallets hoeven die niet permanent online te zijn en zijn ze dus over het algemeen veiliger.
• Als u een hot wallet gebruikt, zorg er dan voor dat u tweestapsverificatie inschakelt.
• Pas op voor phishing. Om te leren hoe u cryptocurrency-dieven kunt spotten, leest u deze
• Gebruik een betrouwbare beveiligingsoplossing die financiële transacties beschermt, voorkomt dat malware het wachtwoord of de privésleutel van uw wallet steelt en u waarschuwt voor scamsites.