Iemand heeft zojuist lang vergeten slapende Ethereum-wallets leeggehaald, en de oorzaak gaat mogelijk jaren terug

Honderden Ethereum-wallets die jarenlang onaangeroerd waren gebleven, werden leeggetrokken naar hetzelfde getagde adres, waardoor oude blootstelling van sleutels de scherpste crypto-beveiligingswaarschuwing van deze week werd.

Op 30 april markeerde WazzCrypto het incident met betrekking tot mainnet-wallets op X, en hun waarschuwing verspreidde zich snel omdat de getroffen accounts er niet uitzagen als vers in de val gelokte hot wallets. Het waren oude wallets met een rustige geschiedenis, sommige gekoppeld aan assets en tooling uit een eerder Ethereum-tijdperk.

Meer dan 260 ETH, ongeveer $600.000, werd leeggetrokken uit honderden slapende wallets. Meer dan 500 wallets lijken getroffen te zijn, met verliezen van in totaal ongeveer $800.000, en veel wallets zijn vier tot acht jaar inactief geweest. Het gerelateerde Etherscan-adres is gelabeld als Fake_Phishing2831105, toont 596 transacties en registreert een beweging van 324,741 ETH naar THORChain Router v4.1.1 rond 30 april.

Het gemeenschappelijke kenmerk is voorlopig het belangrijkste: langdurig inactieve wallets zijn verplaatst naar een gemeenschappelijke bestemming, terwijl het aanvalspad onopgelost blijft.

Dat onopgeloste vector maakt het leegloopincident tot de sterkste waarschuwing van deze week, na een golf van DeFi-hacks. Protocologebeurtenissen geven onderzoekers doorgaans een contract, een functieaanroep of een geprivilegieerde transactie om te onderzoeken.

Hier bevindt de centrale vraag zich op de wallet-laag. Heeft iemand oude seed phrases verkregen, zwak gegenereerde sleutels gekraakt, gelekt privésleutelmateriaal gebruikt, misbruik gemaakt van een tool die ooit sleutels beheerde, of een ander pad benut dat nog niet aan de oppervlakte is gekomen?

Openbare discussie heeft theorieën opgeleverd, waaronder zwakke entropie in legacy wallet-tools, gecompromitteerde mnemonics, sleutelverwerking door trading-bots en seed-opslag uit het LastPass-tijdperk. Eén getroffen gebruiker bracht persoonlijk de LastPass-theorie naar voren.

Het praktische advies voor gebruikers is beperkt maar dringend. Inactiviteit verkleint het risico op privésleutels niet. Een wallet met waarde is afhankelijk van de volledige geschiedenis van de sleutel, de seed phrase, het apparaat dat deze heeft gegenereerd, de software die deze heeft aangeraakt en elke plek waar dat geheim mogelijk is opgeslagen.

Voor gebruikers is de reactie waarschijnlijk om hoogwaardige oude wallets te inventariseren, fondsen alleen te verplaatsen na het instellen van nieuw sleutelmateriaal via vertrouwde hardware of moderne wallet-software, en te vermijden oude seeds in te voeren in checkers, scripts of onbekende hersteltools. Het intrekken van goedkeuringen helpt bij protocolblootstelling, inclusief Wasabi's gebruikerswaarschuwing, maar een directe wallet-drain wijst in de eerste plaats op sleutelbeveiliging in plaats van tokengoedkeuringen.

April vergrootte het aanvalsoppervlak

De wallet-cluster dook op te midden van het crypto-exploittotaal van april, dat al verhoogd was. Aan DefiLlama gekoppelde berichtgeving plaatste april op ongeveer 28 tot 30 incidenten en meer dan $625 miljoen aan gestolen fondsen. Vanaf 1 mei toonde de live DefiLlama API 28 incidenten in april met een totaal van $635.241.950.

Een marktthread van 1 mei vatte het drukkende punt samen: de wallet-drains van deze week, het admin-sleutelexploit van Wasabi Protocol en de grotere DeFi-verliezen van april raakten allemaal aanvalsoppervlakken die gewone gebruikers zelden inspecteren. De verbinding over de maand heen is architecturaal van aard, niet attributioneel.

Adminpaden werden aanvalspaden

Wasabi Protocol levert het meest recente en duidelijkste protocolvoorbeeld. Het exploit van 30 april zou ongeveer $4,5 miljoen tot $5,5 miljoen hebben leeggetrokken nadat een aanvaller deployer-/adminrechten verkreeg, ADMIN_ROLE toekende aan door aanvallers beheerde contracten en UUPS-proxy-upgrades gebruikte om vaults en pools leeg te trekken op Ethereum, Base en Blast. Vroege beveiligingswaarschuwingen markeerden het admin-upgradepatroon terwijl de aanval zich ontvouwde.

De gemelde mechanismen plaatsen sleutelbeheer in het centrum van het incident. Upgradeerbaarheid kan normale onderhoudsinfrastructuur zijn. Geconcentreerde upgradeautoriteit maakt dat onderhoudspad tot een hoogwaardig doelwit. Als één deployer of geprivilegieerd account de implementatielogica over chains kan wijzigen, kan de grens rond een geauditeerd contract verdwijnen zodra die autoriteit gecompromitteerd is.

Dat is het gebruikersgerichte probleem dat verborgen zit in veel DeFi-interfaces. Een protocol kan open contracten, publieke front-ends en decentraliseringstaal presenteren, terwijl kritieke upgradekracht nog steeds in een kleine set operationele sleutels zit.

Ondertekenaars en verificateurs droegen de grootste verliezen

Drift verplaatste hetzelfde controleprobeem naar de ondertekenaarworkflow. Chainalysis beschreef social engineering, duurzame nonce-transacties, nep-onderpand, orakelmanipulatie en een nul-timelock 2-van-5 Security Council-migratie. Blockaid schatte het verlies op ongeveer $285 miljoen en stelde dat transactiesimulatie en striktere mede-ondertekenaarspolicies de uitkomst hadden kunnen veranderen.

De Drift-zaak is hier relevant omdat het pad niet afhankelijk was van een eenvoudige openbare-functiebug. Het was afhankelijk van een workflow waarbij geldige handtekeningen en snelle governancemechanismen konden worden omgeleid naar een vijandige migratie. Een ondertekenaarproces werd het aanvalsoppervlak.

KelpDAO verplaatste de stressptest naar cross-chain verificatie. De incidentverklaring beschreef een brugconfiguratie waarbij de rsETH-route LayerZero Labs gebruikte als de enige DVN-verificateur. Forensisch onderzoek beschreef gecompromitteerde RPC-nodes en DDoS-druk die valse gegevens leverden aan een single-point verificatiepad.

Het resultaat, volgens Chainalysis, was dat 116.500 rsETH, ter waarde van ongeveer $292 miljoen, werd vrijgegeven tegen een niet-bestaande verbranding. Het tokencontract kon intact blijven terwijl de brug een valse aanname accepteerde. Dat is waarom een verificateurfout een marktstructuurprobleem kan worden zodra het gebridgede asset in leenmarkten en liquiditeitspools zit.

AI hoort thuis in de snelheidsdiscussie

Ik denk dat Project Glasswing hier een speciale vermelding verdient voor de context, los van causaliteit. Anthropic zegt dat Claude Mythos Preview duizenden softwarekwetsbaarheden met hoge ernst heeft gevonden en laat zien hoe AI de ontdekking van kwetsbaarheden kan comprimeren. Dat verhoogt de lat voor verdedigers, maar het causale record in deze crypto-incidenten wijst op sleutels, ondertekenaars, adminbevoegdheden, brugverificatie, RPC-afhankelijkheden en onopgeloste wallet-blootstelling.

De beveiligingsimplicaties zijn nog steeds ernstig. Snellere ontdekking geeft aanvallers en verdedigers meer parallel oppervlak om doorheen te werken. Het maakt ook oude operationele snelkoppelingen duurder omdat slapende geheimen, geprivilegieerde sleutels en single-verificateur-paden sneller kunnen worden getest dan teams ze handmatig kunnen beoordelen.

De reparatielijst is operationeel

De controles die voortvloeien uit april bevinden zich boven en rondom de codebase.

Voor protocollen is de prioriteit het verminderen van wat elke enkele autoriteit tegelijk kan doen. Dat betekent timelocks op adminoperaties, sterkere en stabielere ondertekenaardrempelwaarden, gemonitorde geprivilegieerde-transactiewachtrijen, expliciete limieten op parameterwijzigingen en mede-ondertekeningssystemen die transactie-effecten simuleren voordat mensen ze goedkeuren.

Voor bruggen is de prioriteit onafhankelijke verificatie en invariantcontroles. Een cross-chain bericht moet worden getoetst aan het economische feit dat het beweert te vertegenwoordigen. Als rsETH aan één kant vertrekt, moet het systeem de corresponderende toestandswijziging aan de andere kant verifiëren voordat de bestemmingskant waarde vrijgeeft. Die monitoring moet bestaan buiten hetzelfde pad dat het bericht ondertekent.

Voor gebruikers is de reparatielijst kleiner. Verplaats waardevolle oude fondsen naar nieuwe sleutels via een proces dat u al vertrouwt. Scheid die actie van protocolspecifieke goedkeuringsopruiming. Behandel elke claim over de hoofdoorzaak van de wallet-drain als voorlopig totdat forensisch werk een gemeenschappelijke tool, opslagpad of blootstellingsbron identificeert.

De volgende test

April bewees dat de gemiddelde beveiligingschecklist van gebruikers waarschijnlijk onvolledig is. Audits, openbare contracten en gedecentraliseerde interfaces kunnen samengaan met geconcentreerde adminautoriteit, zwakke ondertekenaarsprocedures, brosse brugverificatie en oude walletgeheimen.

Het volgende kwartaal zal bewijs belonen boven decentraliseringstaal: beperkte upgradebevoegdheden, zichtbare timelocks, onafhankelijke verificateurpaden, transactiesimulatie voor geprivilegieerde acties, gedisciplineerde toegangscontroles en gedocumenteerde sleutelrotatie.

De slapende-wallet-drains tonen de ongemakkelijke gebruikersversie van hetzelfde probleem. Een systeem kan er rustig uitzien terwijl een oude controlefout op de achtergrond wacht. De exploitgolf van april blootgesteld die laag boven de code; de volgende fase zal laten zien welke teams het behandelen als kernbeveiliging voordat fondsen worden verplaatst.

Het bericht Someone just drained long-forgotten dormant Ethereum wallets, and the cause may trace back years verscheen eerst op CryptoSlate.