Foto: 3rdtimeluckystudio/Shutterstock
Afgelopen week meldde een cryptocurrency handelaar op Reddit dat een oplichter toegang had gekregen tot zijn MetaMask wallet. Hij nodigde andere Redditors uit om toe te kijken hoe zijn wallet met maar liefst $240.000 aan verschillende crypto als ethereum (ETH) werd leeggeroofd.
De handelaar kreeg in eerste instantie veel kritiek. Redditors vroegen af waarom hij zoveel crypto in een browser wallet bewaarde en hoe hij zo gemakkelijk in een zogeheten phishing scam kon trappen. Toch was er ook veel begrip voor zijn verlies en sommige Redditors raadde aan om hulp te zoeken bij Flashbot.
Alex Manuskin, blockchain onderzoeker bij ZenGO, beantwoorde de oproep en schoot de gedupeerde te hulp. Manuskin kon uiteindelijk bijna de helft van de wallet, namelijk zo’n $117.000 aan crypto, nog redden. Hij publiceerde gisteren zijn kant van het verhaal:
By popular demand, my side of the story, and how to (not) fall for a phishing scam.https://t.co/US9QlzqDOI https://t.co/POytmCpo3W
— amanusk (@amanusk_) July 17, 2021
Phishing Scams
Manuskin vertelt in eerste instantie dat het vrij gemakkelijk is om in dit soort phishing scams te trappen. Iemand vraagt bijvoorbeeld om hulp met een technisch probleem via een Discord of Telegramkanaal en dat trekt onmiddellijk een kudde van neppe tech supporters aan.
Deze supporters stellen vervolgens enkele vragen over het probleem in een privébericht en vragen wellicht om het bericht in het publieke kanaal te verwijderen (zodat niemand anders je kan oplichten.) Uiteindelijk zullen ze iets zeggen als “er is een probleem in de database, je moet je wallet syncen.”
Er is echter helemaal geen database en het is helemaal niet nodig om wallets te synchroniseren. De oplichter stuurt je naar een website die lijkt op die van MetaMask of WalletConnect. Op die website wordt om de private key of seed phrase van je wallet gevraagd. Zodra men die invult is het te laat: de oplichters hebben nu toegang tot je wallet en kunnen deze leegroven.
Race tegen oplichters
De reden waarom de wallet van dit slachtoffer niet in een keer compleet werd leeggeroofd, was omdat de wallet niet uit alleen ether (ETH) en ERC-20 tokens bestond. Er zaten ook veel onbekendere crypto in, waarvan meerdere tokens in verschillende protocollen waren vergrendeld (staking).
Om een deel van de crypto te redden, vroeg Manuskin ook om de private key, ondanks dat hiermee het probleem juist begon. Nu was het echter een laatste poging om überhaupt iets te redden. Manuskin gebruikte vervolgens een zogeheten “burner” script. ETH is namelijk nodig om transacties vanuit de wallet te sturen en dit script vernietigde alle ETH die de wallet binnenkwam. Dat zorgde ervoor dat de oplichter niet ook de andere tokens kon verplaatsen.
Vervolgens werd het een race tussen Manuskin en de oplichter: wie kon de meeste crypto het snelst uit de wallet halen? Maar hoe haal je de crypto nog uit de wallet als alle ETH meteen wordt vernietigd? Dat werd met behulp van Flashbots gedaan, een service waarmee transacties gebundeld kunnen worden en rechtstreeks naar miners gestuurd kunnen worden.
Zonder ETH waren geen transacties mogelijk, maar via van een bundel kan een miner alsnog een transactie verwerken zodra deze aan de juist criteria voldoet. Denk aan een precieze volgorde en/of een precies bedrag. Manuskin meldt dat om een acht uur lange “hackathon race” tussen hem en de oplichter(s) ging. Uiteindelijk kon hij de helft van de crypto redden.
Hij raadt crypto handelaren de volgende tips aan om dit soort situaties te mijden: gebruik een hardware wallet (het liefst verschillende), defiversifeer je bezit en natuurlijk: deel nooit je private key of seeds phrase.