Gedurende het grootste deel van het 13-jarige bestaan van cryptocurrencies, waren exchanges het epicentrum voor cyberheists. Nu is een groter hackrisico in de groeiende sector in beeld gekomen: peer-to-peer cryptoplatforms.

Eén zo'n site, Poly Network, stond vorige week in het middelpunt van een diefstal van $ 610 miljoen aan crypto's, één van de grootste ooit. Binnen enkele dagen na de diefstal, zei het gedecentraliseerde financiële (DeFi) platform dat de "white hat" hacker of hackers bijna alle buit hadden teruggegeven.

Het ongewone einde van de Poly Network saga belichaamt snel opkomende risico's in deze groeiende hoek van crypto, waar naar schatting $ 80 miljard of meer wordt gehouden, blijkt uit interviews met leidinggevenden, advocaten en analisten uit de industrie.

DeFi sites stellen gebruikers in staat om te lenen, lenen en sparen - meestal in cryptocurrencies - terwijl ze de traditionele poortwachters van financiën, zoals banken en beurzen, omzeilen. Voorstanders zeggen dat de technologie goedkopere en efficiëntere toegang tot financiële diensten biedt.

Maar de overval op Poly Network - voorheen een weinig bekende site - heeft de kwetsbaarheid van DeFi sites voor criminaliteit onderstreept.

Overvallers zijn vaak in staat om bugs in de open-source code van de sites uit te buiten. En met een nog steeds gebrekkige regelgeving, is er meestal weinig of geen verhaal voor slachtoffers.

Gecentraliseerde beurzen, die als tussenpersoon fungeren tussen kopers en verkopers van crypto, waren eerder het voornaamste doelwit van crypto-cyberheïsten.

De in Tokio gevestigde beurs Mt.Gox stortte bijvoorbeeld in 2014 in nadat het een half miljard dollar verloor door hacks. Coincheck, ook gevestigd in Tokio, werd in 2018 getroffen door een overval van 530 miljoen dollar.

Veel grote beurzen, die in de schijnwerpers van de regelgever staan en ernaar streven mainstreambeleggers aan te trekken, hebben sindsdien de beveiliging aangescherpt en overvallen op dergelijke schaal zijn nu relatief zeldzaam.

MINDER BEVEILIGD

De nadruk op beveiliging bij grote platforms zoals Coinbase Global Inc heeft minder veilige locaties naar de zijlijn geduwd, zei Ross Middleton, chief financial officer bij DeFi platform DeversiFi.

"Wat er gebeurd is, is dat de grote beurzen heel goed zijn geworden (op het gebied van beveiliging) en dat de kleinere beurzen er niet meer zijn," zei hij. "De grens ligt nu definitief bij DeFi."

Verliezen als gevolg van criminaliteit op DeFi platforms zijn op een historisch hoogtepunt, crypto inlichtingenbedrijf CipherTrace zei vorige week, met dieven, hackers en fraudeurs die er vandoor gingen met $474 miljoen van januari tot juli.

De piek kwam toen fondsen naar DeFi stroomden, een afspiegeling van de stromen naar crypto in het algemeen. Volgens DeFi Pulse is de totale waarde op dergelijke sites nu meer dan $80 miljard, vergeleken met slechts $6 miljard een jaar eerder.

Volgens deFi specialisten liggen de veiligheidsrisico's vooral bij de nieuwere sites die mogelijk op minder veilige code draaien.

"Er is een groeiende veiligheids- en risicokloof tussen oude, in de strijd geteste DeFi-protocollen, en nieuwe, ongeteste DeFi-protocollen," zegt Rune Christensen, voormalig hoofd van de organisatie achter high-profile DeFi-applicatie Maker.

Voorstanders zeggen dat het gebruik van open-source code betekent dat kwetsbaarheden snel kunnen worden geïdentificeerd en opgelost door gebruikers, waardoor het risico op criminaliteit afneemt. DeFi kan zichzelf controleren, zeggen ze.

Maar voor financiële waakhonden en overheden over de hele wereld die de cryptosector willen reguleren, komt DeFi steeds meer in beeld.

HANDHAVINGSACTIE

Gary Gensler, voorzitter van de Amerikaanse Securities and Exchange Commission (SEC), heeft laten weten dat hij hard zal optreden tegen DeFi.

Dergelijke platforms kunnen onder de Amerikaanse effectenwetgeving vallen, zei hij deze maand in een toespraak, waarin hij het Congres opriep om wetgeving op te stellen om DeFi en cryptohandel aan banden te leggen.

De SEC kwam deze maand met haar eerste handhavingsactie https://www.sec.gov/news/press-release/2021-145 waarbij DeFi tech betrokken was, beschuldigend dat het bedrijf niet-geregistreerde effecten uitgaf en beleggers misleidde. De SEC heeft niet gereageerd op verdere vragen over haar standpunt.

Ambtenaren van de U.S. Commodity Futures Trading Commission hebben ook aangegeven dat zij meer toezicht zullen houden.

Commissaris Dan Berkovitz noemde DeFi in juni een "Hobbesiaanse marktplaats" https://www.cftc.gov/PressRoom/SpeechesTestimony/opaberkovitz7 - een verwijzing naar een 17e eeuwse filosoof die het leven zonder overheid zag als "smerig, wreed en kort". Hij suggereerde dat WiFi-platforms zonder vergunning voor derivaten in strijd waren met de wetten op de grondstoffenhandel.

Elders gaat het langzamer. DeFi staat nog steeds ver van de politieke agenda in Groot-Brittannië, bijvoorbeeld.

Een woordvoerder van de Britse financiële waakhond zei dat, hoewel sommige WiFi activiteiten onder zijn werkingsgebied kunnen vallen, een groot deel van de sector niet gereguleerd is.

Voor sommige analisten is meer regulering onvermijdelijk, met weinig tekenen dat deFi sites het werk zelf kunnen doen.

"De ongelukkige situatie is dat (Poly Network) werd gezien als slechts een gemiddelde dinsdag in de DeFi-wereld," zei Tim Swanson van blockchainfirma Clearmatics.

"De industrie feliciteert zichzelf graag door te beweren dat het op transparante systemen verblijft, maar het heeft herhaaldelijk laten zien dat het niet in staat is om zichzelf te controleren."