‘Inside job’ kost Bitcoin beurs ShapeShift bijna $1 miljoen

Een voormalig werknemer van de beurs ShapeShift ging er met $900.000 aan bitcoin (BTC) vandoor. Azamat Mukhiddinov werd gepakt en het geld is inmiddels terugbetaald, maar ShapeShift zoekt nu ook een vergoeding voor de geleden schade.

Schade

Software engineer Azamat Mukhiddinov werd in mei van dit jaar gepakt. Hij startte in november 2019 met het stelen van kleine aantallen bitcoin. Het totaal kwam neer op zo’n 90 bitcoin.

Koop gemakkelijk en snel Bitcoin bij Bitvavo. Ga aan de slag en betaal geen handelskosten voor je eerste aankoop tot €1.000 !

De Chief Legal Office van ShapeShift, Veronica McGregor, vertelt tegenover Cointelegraph over de extra kosten die bij en proces als deze komen kijken. Denk bijvoorbeeld aan verloren tijd en juridische kosten.

Het gaat hier overigens om bitcoin van het bedrijf zelf. ShapeShift is een non-custodial, wat betekent dat je daar je bitcoin kunt halen en het wordt vervolgens direct gestuurd naar een adres naar keuze.

Hoe kon dit gebeuren?

Mukhiddinov had een hoge positie binnen de organisatie en kon daardoor het (kleine) fortuin stelen. Als senior software engineer had hij sinds 2018 toegang tot bepaalde systemen van het bedrijf.

ShapeShift omschrijft het zelf als toegang tot ‘computer infrastructuur’, denk bijvoorbeeld aan software en de servers.

Mukhiddinov was verantwoordelijk voor de achterkant van het platform. Hij moest bijvoorbeeld de beveiliging beter maken. In de aanklacht van ShapeShift staat ook dat de developer een document heeft getekend waarin hij duidelijk aangeeft geen misbruik te maken van deze systemen.

Eigen software

Mukhiddinov besloot om eigen software in het systeem te gebruiken om onopgemerkt te werk te gaan. Op deze wijze kon hij stiekem zo’n 0,5 BTC per keer stelen. Hij maakte hierbij gebruik van de kwetsbaarheden die hij zelf had moeten opmerken en wegwerken.

Op 25 mei gaf de developer toe dat hij bitcoin had gestolen. Na intern onderzoek was er geen ontkomen meer aan voor Mukhiddinov.

De gestolen bitcoin heeft hij ‘in verschillende vormen’ terugbetaald. Maar die terugbetaling is volgens ShapeShift niet genoeg om alle schade te dekken. Er moesten kosten worden gemaakt om dit uit te zoeken en daarnaast zorgde het uiteraard voor extra werk voor het juridische team.

Niet de eerste keer

In 2016 werd er ook al voor honderdduizenden dollars aan bitcoin gestolen van het bedrijf. McGregor geeft aan dat er sinds die tijd werk is gemaakt van het monitoren van de transacties, maar ook ging er meer focus op de veiligheid en de procedures.

Dat was echter niet genoeg om diefstal van een belangrijke developer te stoppen.