Afgelopen weekend wisten hackers meer dan $290 miljoen aan cryptocurrency te 'bevrijden' van Kelp DAO, een protocol dat gebruikers helpt rendement te halen uit hun inactieve crypto-investeringen. Het is een klassiek verhaal van iemand die een meer 'actieve' bestemming vindt voor je luie bezittingen.
Tegen maandag had LayerZero, een van de projecten die in de vuurlinie terechtkwam, de schuld al op Noord-Korea geschoven. Deze diefstal mag zich nu met trots de grootste crypto-roof van het jaar noemen, net iets groter dan een eerdere hack van $285 miljoen bij crypto-beurs Drift in april. De concurrentie is blijkbaar moordend.
In een bericht op X legde LayerZero de techniek uit: de hackers misbruikten Kelp DAO via zijn LayerZero-brug - een tool die verschillende blockchains met elkaar laat praten. Vervolgens maakten ze slim gebruik van Kelp's eigen beveiligingsconfiguratie, die zo attent was om geen meervoudige verificaties te vereisen voor het goedkeuren van transacties. Deze omissie stelde de hackers in staat om de fondsen af te tappen met frauduleuze transacties op een opmerkelijk eenvoudige manier.
LayerZero noemde 'voorlopige aanwijzingen' die naar Noord-Korea wijzen, met name verwijzend naar zijn crypto-gerichte hackergroep, TraderTraitor. In een voorspelbare wending reageerde Kelp DAO door de diefstal juist aan LayerZero te wijten. Het schuldspel: de enige multiplayer-modus die altijd online is.
In de afgelopen jaren hebben Noord-Koreaanse hackers die voor het regime van Kim Jong Un werken een opmerkelijk succesvolle bijverdienste opgebouwd in crypto-diefstal. Alleen al vorig jaar pikten ze meer dan $2 miljard weg. In totaal wordt sinds 2017 het bedrag aan crypto dat door Noord-Korea is gestolen geschat op ongeveer $6 miljard. In dit tempo hacken ze zich misschien wel naar een ontwikkelde economie.