Twee Bitmart hot wallets – waarbij de public en private keys online worden opgeslagen – zijn gehackt. Eén van de hot wallets was een ETH wallet, de andere een BSC wallet. De aanvalsmethode is nog niet bekend, maar Bitmart schat de verliezen op ongeveer $150 miljoen. De andere online wallets van Bitmart zijn intact, ondertussen is de cryptobeurs bezig met een veiligheidsonderzoek en heeft het de opnames van fondsen opgeschort tot nader order.
Via het officiële kanaal op Telegram van Bitmart beweerde het bedrijf dat de opnames van die wallets niet ongewoon waren, maar later gaf het de aanval toe via het Twitter-account van de CEO. Na de hack is het Bitmart token (BMX) samen met de rest van de cryptomarkt gedaald, het staat nu op $0,3247 met een verlies van bijna 19% in de afgelopen 7 dagen.
Totaal verlies is een onderschatting
Blockchain beveiligingsbedrijf Peckshield schat de verliezen op ongeveer $196 miljoen, met ongeveer $100 miljoen verlies van de ETH wallet en ruwweg $96 miljoen op de Binance Smart Chain. De getroffen activa op BSC omvatten SAFEMOON, X2P, FLNS, BABYDOGE, HERO, STARSHIP, FLOKI, JULB, CMCX, GMR, SPE, BETU, GMEX, ZOE, MOONSHOT, BPAY, STACK, ENERGYX, BUSD en BNB. Peckshield heeft uit eigen onderzoek van de aanval onthuld dat de hacker fondsen onttrok aan hot wallets en deze verwisselde voor ETH met behulp van de DEX aggregator genaamd 1inch.
Pretty straightforward: transfer-out, swap, and wash @sheldonbitmart pic.twitter.com/LyA03sbgCZ
— PeckShield Inc. (@peckshield) December 5, 2021
De fondsen werden vervolgens gerouteerd via Tornado Cash, een privacy mixing protocol voor de Ethereum blockchain dat de on-chain link tussen bron- en bestemmingsadressen verbreekt door gebruik te maken van een smart contract dat fungeert als een pool die ETH stortingen accepteert van het ene adres en opnames mogelijk maakt van een ander adres. De mixer bundelt fondsen van meerdere gebruikers voordat een transactie zijn bestemming bereikt. Zodra het mixen plaatsvindt, is het niet eenvoudig om te weten waar het geld naartoe is gegaan, wie de transactie heeft uitgevoerd en hoeveel crypto er bij de transactie betrokken was.
Huobi zet zich in om Bitmart te helpen
Het is handig als andere cryptobeurzen alert zijn op grote stortingen die vanaf het platform van Tornado Cash worden gedaan. Huobi heeft via hun Twitter aangegeven dat ze bereid zijn om te helpen bij het identificeren van instroom van activa die betrokken zijn bij de hack.
Tornado Cash is ontwikkeld vanuit open-source onderzoek door het team van Zcash. Het platform werd ook gebruikt om fondsen te anonimiseren na een exploit in een DeFi-protocol eerder deze week.
