Cryptocurrency exchange Lykke stopt opnames na exploit

De Lykke cryptocurrency exchange heeft de opnames stopgezet na een exploit op 4 juni, zo blijkt uit een aankondiging op sociale media van 10 juni. De beurs verzekert gebruikers dat hun geld “veilig is en zal worden teruggevorderd.”

Beide entiteiten getroffen door aanval

Beide entiteiten, Lykke UK en Lykke Corp AG, werden getroffen door de aanval. In een ander bericht in dezelfde thread verklaarde de beurs dat opnames zijn gepauzeerd “als een preventieve maatregel.”

Lykke, een gecentraliseerde cryptocurrency exchange die in 2015 werd gelanceerd en gevestigd is in Zwitserland, adverteert zichzelf op zijn website als een ‘gratis crypto-exchange’. Het beweert te zijn geëvolueerd van een ‘prominente forex-makelaar’.

SomaXBT ontdekt cyberaanval

Blockchain-beveiligingsonderzoeker SomaXBT ontdekte de aanval op 9 juni en beschuldigde het Lykke-team ervan de inbreuk op de beveiliging te verbergen. Volgens SomaXBT verloor de exchange $19,5/€18,1 miljoen aan crypto-activa, een feit dat het team nog steeds probeert te verbergen. SomaXBT deelde een screenshot van een Discord-bericht van het Lykke-team waarin werd vermeld dat de centrale “een ongepland volledig systeemonderhoud uitvoerde!”

Op 8 juni klaagde een Lykke-gebruiker op X dat de exchange niet werkte en dat er geruchten gingen dat deze was gehackt.

In de post van 10 juni erkende het Lykke-team de aanval en bood het zijn excuses aan de getroffen gebruikers aan. “We verontschuldigen ons ten zeerste voor het ongemak en de bezorgdheid die deze aanval heeft veroorzaakt bij alle getroffen klanten en partners,” aldus het rapport. Het team benadrukte dat de beurs beschikt over ‘solide kapitaalreserves en een gevarieerde portefeuille’, wat betekent dat eventuele verliezen door de aanval kunnen worden opgevangen en dat de fondsen van klanten ‘veilig’ zijn.

IP-adressen van aanvaller mogelijk ontdekt

De exchange beweerde ook dat het de IP-adressen van de aanvaller heeft ontdekt en deze zal gebruiken voor een strafrechtelijk onderzoek. Een cyberbeveiligingsteam is ingeschakeld om te werken aan “het blokkeren en herstellen van de gestolen activa.” Volgens schattingen van het team ging bij de aanval ruim $22/€20,4 miljoen verloren.

Blockchain-onderzoekers blijven niet-erkende exploits tegen gecentraliseerde exchanges ontdekken. Op 19 april onthulde on-chain-speurneus ZachXBT dat Rain Exchange twee weken eerder was gehackt voor $14,1/€13,1 miljoen. Rain erkende later de aanval en verklaarde dat er geen geld van klanten verloren was gegaan, omdat het ‘het gat onmiddellijk uit zijn eigen reserves had gedicht’.