Project 0 belooft terugbetalingen na GitHub-compromittering die phishing-aanval op DeFi-gebruikers veroorzaakt

In een waarschuwing gedeeld door Project 0 (P0) oprichter MacBrennan Peet, heeft de directeur zich gecommitteerd om bevestigde verliezen volledig terug te betalen nadat aanvallers hun systeem infiltreerden om websitebezoekers om te leiden naar een crypto-stelende site.

Het bericht van MacBrennan bevestigde dat minstens één gebruiker $1.000 verloor toen ze de nieuwe site "uit nieuwsgierigheid" probeerden.

Het beveiligingsincident gericht op Project 0 voegt zich bij recordaantallen cryptodiefstal door kwaadwillenden die de Fusaka-upgrade misbruiken die transactiekosten bijzaak zou maken voor gebruikers van het Ethereum-netwerk, wat bijdraagt aan een patroon van aanvallen gericht op liquiditeitsrijke platforms.

Project 0 meldt de nieuwste DeFi-domainkaping

Volgens de bekendmaking door MacBrennan, kregen aanvallers toegang tot het GitHub-account van een teamlid van de applicatie, waardoor ze websitebezoekers konden omleiden tussen 21:45 uur en 22:19 uur. 

Hoewel hij zijn tijdzone niet specificeerde, werden gebruikers die de website van Project 0 probeerden te bezoeken binnen het 40 minuten durende aanvalsvenster doorgestuurd naar een andere website wat leidde tot het verlies van minstens $1.000. 

Volgens Defillama-gegevens houdt Project 0, een DeFi-native prime brokerage waarmee gebruikers kunnen lenen tegen hun volledige DeFi-portefeuille op meerdere platforms, momenteel bijna $90 miljoen in totale vergrendelde waarde (TVL), met een piek boven $110 miljoen sinds het volgen begon eind 2025. Het project claimt ook steun van Multicoin, Pantera en Solana Ventures. 

Dat niveau van activiteit en status is, hoewel aantrekkelijk voor gebruikers, ook een baken voor aanvallers die op zoek zijn naar hoogwaardige doelwitten. 

Cryptopolitan meldde dat OpenEden en BonkFun vergelijkbare aanvallen doorstonden toen aanvallers domeinen gecompromitteerd hebben die op de projecten geregistreerd stonden. 

In beide gevallen beïnvloedde de aanval projectkluizen of gebruikersposities niet, aangezien de schade bij dit soort aanvallen doorgaans beperkt blijft tot websitebezoekers tijdens het exploitatievenster, wat meestal snel wordt beperkt door responsieve teams. 

Hoewel het exacte verloren bedrag nog niet bevestigd is, heeft MacBrennan zich gecommitteerd om terugbetalingen uit te breiden naar alle andere geverifieerde klantverliezen tijdens de aanval. 

Ethereum-gebruikers worden doelwit van adresvergiftigingsaanvallen

Toen Ethereum-ontwikkelaars de Fusaka-upgrade in december 2025 doorvoerden, prezen ze de upgrade aan als de "eindbaas" in het betaalbaar maken van mainnet-transacties. 

Wat ze niet zagen aankomen was dat het de laatste puzzelstuk zou worden voor aanvallers die hoogwaardige doelwitten bestoken in het liquiditeitsrijke Ethereum-ecosysteem, dat bijna $60 miljard bevat over DeFi-protocollen en meer dan $160 miljard aan stablecoin-marktkapitalisatie.  

Het officiële Etherscan-account op X waarschuwde voor de groeiende dreiging in zijn artikel "Address Poisoning Attacks Are Rising on Ethereum". Het rapport citeerde een studie uit 2025 waarin vergiftigingspogingen vóór en na de Fusaka-upgrade werden vergeleken om de verspreiding van deze aanvallen sinds de december-upgrade te benadrukken. 

Dust-overdrachten, kleine stortingen (onder $0,01) bedoeld om adressen in de transactiegeschiedenis van gebruikers te vervangen door door aanvallers gecontroleerde wallets, volgden de trend toen transactieactiviteit op het Ethereum-mainnet over de hele linie met ongeveer 30% toenam in de 90 dagen na de Fusaka-upgrade, met een bijbehorende toename van 78% in nieuwe adrescreaties. 

Tabel waarin het percentage adresvergiftigingsaanvallen vóór en na de Fusaka-upgrade wordt vergeleken. 

Het is een getallenpel

Cryptopolitan heeft gerapporteerd over verschillende spraakmakende verliezen aan de nieuwe plaag van Ethereum-gebruikers, waarbij het verlies van $50 miljoen in december de grootste krantenkoppen haalde. Blijkbaar stuurde het slachtoffer in het incident daadwerkelijk $50 in een testtransactie om er zeker van te zijn dat ze het juiste adres hadden. 

In de tijd die nodig was om het adres te testen en de daadwerkelijke overdracht van $50 miljoen te initiëren, hadden kwaadwillenden de transactiegeschiedenis van de afzender echter doorspekt met hun eigen dust-overdrachten, wat uiteindelijk tot het verlies leidde. 

Dat incident benadrukt de schaal en snelheid van deze operaties, aangezien aanvallers daadwerkelijk concurreren om potentiële slachtoffers' adressen te out-poisonen. Zoals Etherscan benadrukte, veroorzaakten "slechts twee stablecoin-overdrachten" door een gebruiker van hun dienst "meer dan 89 adresbewakingswaarschuwingsmails." 

Slechts ongeveer 1 op de 10.000 pogingen is succesvol, maar wanneer men de $79 miljoen aan bevestigde verliezen over 17 miljoen pogingen gericht op ongeveer 1,3 miljoen gebruikers vergelijkt, klopt de berekening voor deze aanvallers, die minder dan $1 aan elke poging besteden. 

Lees niet alleen cryptonieuws. Begrijp het. Abonneer u op onze nieuwsbrief. Het is gratis.