Kryptosvindel

Det foregår så mye svindel i kryptomiljøet at et nettsted som følger dem, Web3 is Going Great, legger ut nesten daglige artikler om tyverier i størrelsesorden mange millioner kroner.

Ulike typer svindler og angrep

Kryptoselskapet Defiyield har en oversikt over store hacks og svindler på blokkjedeplatformer, hvor de største er på flere hundre millioner dollar. De klassifiserer angrepene på følgende måte:

  • Exploits, hvor noen utnytter en feil i programvaren, og for eksempel kaller en funksjon i en smart kontrakt på en måte som ikke skulle vært mulig.
  • Access control, hvor noen får tilgang til private nøkler et kryptoselskap lagrer på vegne av kundene sine.
  • Flash loans, en type sikkerhetsløst hurtiglån som betales tilbake i samme transaksjon som det opprettes. Dette er ment å være en legitim måte å blant annet gjøre bruk av arbitrasjemuligheter, men er sårbart for angrep ved at man gjennom komplekse transaksjoner manipulerer den smarte kontraktens forståelse av tilbakebetaling.
  • Exit scams, hvor et kryptoprosjekt rett og slett bare tar med seg investorenes midler og stikker. Et annet ord for dette er rug pull.

I tillegg foregår det mye svindel som ikke kan klasifiseres som direkte angrep på en blokkjede. Generelt kan vi gruppere kryptosvindel i to kategorier: Finansiell svindel og teknologiske angrep.

Finansiell svindel er ofte svindelmetoder som er like gamle som finansbransjen men som har blitt gjenopplivet eller utføres i langt større skala i kryptomiljøets skyggeverden. For eksempel wash trading: Kjøp og salg mellom to parter som begge er deg selv, for å påvirke markedsprisen. Jeg kjøper en NFT for $10 000. Jeg selger den til meg selv for $50 000. Nå eier jeg en NFT som er “verdt” $50 000. Jeg selger den “billig” til deg for $40 000, og har tjent $30 000. Og du er likeglad, for nå eier du en NFT som er verdt $40 000. Vinn-vinn.

Wash trading er ulovlig i tradisjonell finans, men er så vanlig i kryptomiljøet at det i følge forskningsartikkelen Crypto Wash Trading av Lin William Cong, Xi Li, Ke Tang og Yang Yang fra 2021 kanskje utgjør 70% av transaksjonene på uregulerte kryptobørser (hvor nesten all handel foregår). Dette påvirker prisene i så stor grad at man kan argumentere for at hele kryptomarkedet er en eneste stor finansiell svindel, hvor det er umulig å si hvilken verdi kryptokuponger ville hatt under godt regulerte omstendigheter.

Teknologiske angrep er angrep som utnytter programmeringshull eller på andre måter overtar kontrollen over smarte kontrakter og programvaren kryptoselskapene gjør bruk av. (De tre første angrepstypene i Defiyields liste.) Kode kan feile på utallige spennende måter, og i en verden hvor koden er loven og koden har tilgang til enorme pengesummer, finnes det utallige måter å stjele penger på. Her er for eksempel en oversikt over populære angrepsmetoder mot smarte kontrakter i Ethereum.

I denne kategorien kan vi også inkludere social engineering, hvor du snakker deg til tilganger du ikke skulle ha. Det gir lite mening å trekke et skarpt skille mellom social engineering og innbrudd som utelukkende gjør bruk av teknologi. Et vellykket angrep vil kunne gjøre bruk av begge deler om hverandre.

Å følge med på teknologiske blokkjedeangrep er litt som å våkne opp hver morgen til programmerererutgaven av Poirot-mysterier. Ooh, jeg lurer på hvordan landsbypresten ble drept denne gangen!

Eksempler på finansiell svindel

Det kinesiske kryptofinansselskapet Babel Finance har blitt beskyldt for å gamble med kundenes investeringer. Et kursfall i Bitcoin i mars 2020 førte til at verdiene de hadde brukt som sikkerhet for lånene sine ble lavere enn kreditorenes marginkrav. De fikk et margin call, det vil si at de måtte finne mer verdier de kunne bruke som sikkerhet, og var i ferd med å gå konkurs. Stablecoin-selskapet Tether hjalp dem gjennom krisen med et kortsiktig lån, som de så betalte tilbake ved å gjøre risikable investeringer med kundenes midler. Gamblingen ga høy avkastning, og Babel Finance kom ut av krisen som en av Kinas største kryptobanker. Etter at dette ble avslørt, uttalte en av kundene deres at de ville fortsette å benytte dem, for når de var oppfinnsomme nok til å komme seg ut av denne krisen, ville de vel klare den neste også.

Binance, verdens største kryptobørs, har blitt beskyldt for å unndra seg og motarbeide reguleringer som blant annet er ment å forhindre hvitvasking. Etter oppstarten i Kina i 2017 har selskapet flere ganger flyttet hovedkontor til andre land for å unngå finansreguleringer. Lenge tillot de handler på inntil 2 BTC uten å ha noen annen info om kunden enn epostadressen deres, noe som bryter med mange lands KYC-lover (know your customer). Dette kravet kunne hackere som hadde stjålet større summer lett komme seg rundt ved å spre hvitvaskingen ut over mange små transaksjoner. Binance tok i mot kunder fra land som Russland og Ukraina som de i følge reglene de selv hevdet å følge skulle sagt nei til, på grunn av “ekstrem” hvitvaskingsrisiko. De jaktet verden over etter land som kunne tilby dem svake nok finansreguleringer til at de ønsket å slå seg ned der, en prosess hvor de førte både kunder og samarbeidspartnere bak lyset, for eksempel gjennom å hevde at de hadde flyttet hovedkontoret til Malta, mens de i virkeligheten bare var i forhandlinger med Malta om dette. Finansmyndighetene de var i kontakt med i ulike land fikk inntrykk av et umodent selskap som ikke forstod seg på finanslovverket. Alt tyder iallfall på at de føler seg hevet over det og er villig til å si og gjøre hva som helst for å unngå å følge kravene man normalt stiller til finansinstitusjoner.

En svært vanlig kryptosvindel er rug pulls, altså hvor personene bak et prosjekt legger det ned og tar verdiene med seg. Det er utallige andre eksempler på dette, særlig blant NFT-prosjekter. På en og samme dag i oktober 2021 ble for eksempel fire NFT-prosjekter på Solana utsatt for rug pulls.

Teknologiske angrep

I januar 2022 ble verdier tilsvarende åtti millioner dollar stjålet fra Qubit Finance gjennom en kodefeil. Qubit gikk ut på Twitter og ba hackeren levere pengene tilbake, mot belønning, noe hackeren ser ut til å ha takket nei til.

I februar 2022 ble blokkjedebroen Wormhole angrepet til en verdi av tre hundre millioner dollar. En bro kobler to blokkjeder sammen slik at du kan “flytte” verdier mellom dem. Dette fungerer ved at broen låser verdier i den ene blokkjeden og deretter utsteder nye mynter i den andre blokkjeden. Wormhole kobler Ethereum med Solana. Angrepet forårsaket så store tap at investeringer som baserte seg på myntene broen hadde opprettet stod i fare for å bli verdiløse, noe som ville hatt store ringvirkninger, særlig i Solana. Wormholes eier Jump Trading trådde derfor til for å dekke tapet ved å erstatte kryptomyntene som hadde blitt stjålet.

I 2016 ble 120 000 BTC, den gangen verdt 60 millioner dollar, stjålet fra kryptobørsen Bitfinex. Angriperen fikk på ukjent vis tilgang til interne systemer hos Bitfinex og overførte verdiene til en lommebok hvor de for det meste har blitt værende siden, og steget dramatisk i verdi, til rundt fem milliarder i 2022. I februar 2022 arresterte amerikansk politi Ilya Lichtenstein og Heather Morgan for å ha prøvd å hvitvaske disse verdiene. Det er uklart om det også var de som stjal myntene. På sosiale medier har Lichtenstein og Morgan fremstått som influencere med en drøm om å bli berømte, ikke som hackere. David Gerrard mener det likevel godt kan ha vært de som stod bak tyveriet, fordi mye tyder på at angriperen gjorde bruk av social engineering, det vil si at de snakket og manipulerte til seg informasjonen de trengte.

Kryptomynten $YEAR ble lansert på Ethereum nyttårsaften 2021. Den smarte kontrakten den bygget på inneholdt kode som hindret eiere av myntene i å selge dem til kontraktens eier. Dette fremsto uskyldig for de som studerte og verifiserte koden. Så endret utviklerne bak mynten eieren til å bli kryptobørsen Uniswap. Dette gjorde det umulig å selge mynten via Uniswap. Det var samtidig fortsatt mulig å kjøpe den. Dermed steg verdien raskt, og mange kastet seg med på noe som for dem fremstod som en populær ny mynt. Dette gjorde det mulig for bakpersonene å hente 30 ETH ut av Uniswap, som tilsvarer omtrent en halv million kroner.

I desember 2021 fikk noen tilgang til privatnøkler hos kryptobørsen BitMart som gjorde at de kunne stjele ETH og andre kryptomynter til en verdi av 150 til 200 millioner dollar.

I mars 2022 ble verdier tilsvarende $623 millioner stjålet fra blokkjeden Ronin, som brukes av play-to-earn-spillet Axie Infinity, ved at en angriper fikk kontroll over et flertall av de 9 nodene som godkjenner transaksjoner over broen mellom Ronin og Ethereum. Ettersom fire av disse nodene ble styrt av selskapet som har utviklet Axie Infinity, Sky Mavis, er det riktigere å si at de overtok to noder. Dermed kunne de lett forfalske transaksjoner som overførte kryptomynter. Angrepet er det foreløpig største av sitt slag. Det tok seks dager fra angrepet skjedde til Sky Mavis oppdaget at verdiene var borte.

Er all krypto svindel?

Vi kan skille mellom enkeltstående angrep/svindler og kryptoprosjekter hvor svindel er så utbredt eller premissene i så stor grad settes av svindlere at hele prosjektet bør anses som svindel.

Spørsmålet er om det er noe igjen etter at vi har sett bort fra disse to nivåene med svindel. Hvis hele Bitcoin er en boble som har blitt blåst opp av Tether, stablecoins utstedet på tvilsomt grunnlag, og hvis nesten alt som foregår på Ethereum er enten direkte svindler eller en slags desentraliserte Ponzi-svindler, og de fleste transaksjoner er wash trading, hva sitter vi igjen med?

I beste fall svært lite. Mengden med svindel i kryptbransjen er iallfall så stor at selv mange som jobber i den sliter med å rettferdiggjøre for seg selv og sine nærmeste at de driver med dette. I en tråd på HackerNews skriver two_poles:

I’m working in a Cryptocurrency startup, and all my colleagues are investing heavily into the domain, both mentally and monetarily. I cannot shake off the feeling that this is all a scam. It’s so shady, from the way there are new coins and tokens every week, and how investors are throwing money into this program. I don’t think my company’s product deserves the sort of money it’s been getting, and it feels like a bubble that will burst, sooner if not later.

exdsq svarer:

I do find the constant onslaught from HN, news articles, random people on the internet and in real life, to be too much for my mental health and I’m considering leaving the industry to work on something else. Even if you’re just trying to have fun working with a tech stack you enjoy (I’ve spent time in Haskell, Rust, Go, etc… most of the hip cool ones), being accused of being a scammer every 5 minutes is just very very draining.

jlcoff er enig, men synes ikke det er noe problem:

I’m working in the same environment, I’m with you bro, it’s all a scam. I’m coasting until the whole thing collapse cashing in my paycheck.

Senere i tråden utdyper jlcoff at de synes det er helt greit å delta i en slik svindel så lenge en selv kan få noe ut av det.

nutmeg37184 skriver:

I worked for one in DeFi on the Cardano ecosystem and I can say it is definitely a scam. But due to some paperwork I signed I can’t (for now) tell who or which startup this is. They have been pulling all kinds of dirty marketing tricks while spending no time developing any actual product. I just look at the crowd that support this project and I am so so teribly disappointed and pitiful for them.

chillpenguin skriver:

Almost every competent and experienced developer I know thinks most crypto stuff (such as NFTs for example) is bogus. Out of the people that I know that ARE into crypto, most of them are recent bootcamp grads or not very experienced (but somewhat techie).

ciguy skriver:

I’ve worked with a number of crypto startups over the last few years and have friends involved in many more. So far at least 99% of what’s I’ve seen in the space is a scam, not even well disguised. People are just desperate for any kind of return right now and will throw money at the dumbest things.

gabriel0rtiz skriver:

I worked in the crypto industry in 2018. And it was all a scam.

Det er nok å gå for langt å påstå at alle kryptoprosjekter er svindel, og iallfall ikke en tilsikt svindel. Men hvis det stemmer at 70% av all kryptohandel på uregulerte børser er wash trading, og et stort antall prosjekter er sårbare for angrep, og de som jobber i bransjen selv mener den er full av svindel, hvor stor sjanse har en fersk investor for å identifisere de delene av markedet det er trygt å investere i?