Seizoenen
Klassement
Nieuws
Leren
Onderzoek
Ranglijst
Ecosysteem
Portemonnee

Cross-chainbruggen worden voortdurend leeggeroofd, waarom gebruikt iedereen ze dan nog steeds?

profile-alexey-bondarev
Alexey Bondarev3 uur geleden
#Hackers
Cross-chainbruggen worden voortdurend leeggeroofd, waarom gebruikt iedereen ze dan nog steeds?

Cross-chainbruggen verplaatsen elke week miljarden dollars. Ze verbinden blockchains die nooit ontworpen zijn om met elkaar te communiceren.

Ze zijn ook, consequent, de meest uitgebuite categorie in de hele gedecentraliseerde financiële sector.

In mei 2026 waren bruggen goed voor ongeveer $28,6 miljoen van de circa $70 miljoen aan totale cryptoverliezen door exploits in die maand. Dat is 42% van de schade, afkomstig uit een categorie die slechts een fractie van de totale vergrendelde DeFi-waarde vertegenwoordigt.

Die verhouding is geen anomalie.

Sinds 2021 zijn cross-chainbruggen responsible voor een onevenredig groot deel van de grootste incidentverliezen in de sector. Op de lijst staan onder meer de Ronin-exploit van $624 miljoen in maart 2022, de Wormhole-diefstal van $320 miljoen de maand ervoor en de Nomad-hack van $190 miljoen in augustus 2022.

Het patroon is niet gestopt.

Dezelfde architectuur die bruggen mogelijk maakt, maakt ze ook uniek kwetsbaar. Die kloof dichten betekent enkele van de meest fundamentele ontwerpveronderstellingen van crypto heroverwegen.

TL;DR

  • Cross-chainbruggen eisten $28,6 miljoen van de circa $70 miljoen aan totale cryptoverliezen door exploits in mei 2026, een aandeel van 42% uit één protocolcategorie.
  • Brugexploits verschillen structureel van typische smartcontract-hacks omdat ze vereisen dat men vertrouwt op staat van een chain die de doelchain niet native kan verifiëren.
  • Zero-knowledge-proofbruggen en optimistische verificatiesystemen bieden geloofwaardige mitigaties, maar geen van beide is al op de schaal uitgerold die nodig is om de huidige kwetsbare ontwerpen te vervangen.

Waarom cross-chainbruggen bestaan en wat ze eigenlijk doen

Het blockchain-ecosysteem is in silo’s opgebouwd.

Bitcoin (BTC) is ontworpen als een op zichzelf staand systeem. Ethereum (ETH) is er los van gebouwd. Elk layer-2-netwerk, elke application chain en elke alternatieve layer-1 die daarna kwam, voegde een extra geïsoleerde afwikkelomgeving toe.

Gebruikers en protocollen die waarde tussen deze omgevingen willen verplaatsen, hebben infrastructuur nodig om ze te verbinden. Die infrastructuur is de cross-chainbrug.

In de meest basale vorm werkt een brug door een asset op de bronchain te locken of te burnen en een corresponderende representatie op de doelchain te minten. De crux is dat het mintcontract op de doelchain erop moet vertrouwen dat de lock of burn op de bronchain daadwerkelijk heeft plaatsgevonden.

Dat vertrouwen vaststellen is het hele technische probleem.

Een chain heeft geen native mogelijkheid om de staat van een andere chain te lezen. Bruggen moeten dus vertrouwen op externe mechanismen om cross-chainberichten door te geven en te verifiëren.

Het kernveiligheidsprobleem van bruggen is geen bug in één contract. Het is een fundamentele architecturale uitdaging: een blockchain kan niet native verifiëren wat er op een andere blockchain is gebeurd.

Die externe mechanismen nemen verschillende vormen aan. Extern gevalideerde bruggen gebruiken een set validators of multisig-signers die attesteren over cross-chaingegevens. Lokaal geverifieerde bruggen, zoals atomic swaps, vereisen dat beide partijen handelen, wat de generaliteit beperkt. Native geverifieerde bruggen vertrouwen op light clients van de bronchain die in de virtuele machine van de doelchain draaien, wat technisch duur is. Elk ontwerp brengt een andere vertrouwensaanname met zich mee, en in de praktijk hebben de meeste bruggen die op schaal zijn uitgerold gekozen voor snelheid en kostenefficiëntie boven cryptografische strengheid.

Ook interessant: Hyperliquid Hits $1B In Daily Volume As Perp DEX Competition Intensifies

(Image: Shutterstock)

De exploit-taxonomie: hoe bruggen daadwerkelijk worden leeggetrokken

Brugexploits volgen niet één patroon.

Onderzoekers bij Immunefi hebben brughacks categorized in drie dominante klassen: smartcontractkwetsbaarheden in de code van de brug zelf, compromittering van validators of relayers en cryptografische verificatiefouten. Elke klasse vereist een andere verdedigingshouding. Dat is deels de reden dat geen enkele oplossing voor alle brugontwerpen werkt.

Smartcontractkwetsbaarheden zijn de meest vertrouwde categorie.

Een functie die inkomende berichten verwerkt, kan nalaten te valideren dat een cross-chainbericht daadwerkelijk is ondertekend door de juiste autoriteit. De Wormhole-exploit in februari 2022, die $320 miljoen kostte, raakte precies deze zwakte. Aanvallers vonden een manier om een geldige guardian-handtekening te vervalsen en omzeilden zo de handtekeningverificatie die het minten van tokens op Solana (SOL) moest beveiligen.

Het jaarlijkse beveiligingsreport van Certik uit 2025 merkte op dat fouten in invoervalidatie de meest voorkomende grondoorzaak blijven in alle DeFi-exploitcategorieën. Bruggen zijn extra blootgesteld omdat hun message-processingoppervlak groot is.

Gegevens van Immunefi uit 2024 lieten zien dat bruggen en cross-chainberichtenprotocollen goed waren voor $1,19 miljard van de totale verliezen dat jaar, ondanks dat ze minder dan 5% van de gemonitorde protocollen naar aantal vertegenwoordigden.

Aanvallen via compromittering van validators zijn structureel anders. De Roninbrug, die het Axie Infinity-spel diende, vertrouwde op negen validatornodes waarvan vijf handtekeningen nodig waren om opnames te autoriseren. Aanvallers wisten vijf nodes te compromitteren, vier in handen van Sky Mavis en één behorend tot de Axie DAO, in de loop van enkele dagen zonder dat het netwerk iets detecteerde. Het verlies van $624 miljoen werd pas discovered vijf dagen later ontdekt, toen een gebruiker meldde dat hij niet kon opnemen. Dat incident is nog steeds de grootste DeFi-exploit naar dollarwaarde.

Ook interessant: AI Adoption Index Crowns Nvidia, Amazon, Meta And Schlumberger

Het incidentlandschap van mei 2026 en wat het ons vertelt

De cijfers voor mei 2026 zijn belangrijk, niet omdat ze een record vestigen, maar omdat ze een basislijn vertegenwoordigen die standhoudt ondanks jaren van vermeende verbeteringen.

De ongeveer $70 miljoen aan totale verliezen in die maand, waarbij cross-chainbruggen volgens according to rapportage over de incidentgegevens van mei $28,6 miljoen of 42% voor hun rekening namen, weerspiegelen patronen uit eerdere jaren. En dit in een sector die naar verluidt van zijn fouten heeft geleerd.

De cijfers van mei komen ook na een periode van aanzienlijke groei in de totale TVL op bruggen.

DefiLlama tracks het totale volume over cross-chainbruggen en laat zien dat maandelijkse brugstromen regelmatig meer dan $10 miljard bedragen over de belangrijkste corridors. Wanneer de noemer van overbrugde waarde sneller groeit dan de beveiligingsinfrastructuur rijpt, groeit ook de absolute blootstelling in dollars aan exploits — zelfs als het percentage gestolen fondsen constant blijft.

Dit is het tredmol-probleem.

De sector rent harder, maar loopt niet per se uit.

In mei 2026 vertegenwoordigden bruggen 42% van alle cryptoverliezen door exploits, ondanks dat ze slechts een fractie van de totale DeFi-TVL aanhouden, een verhouding die sinds 2022 hardnekkig hoog is gebleven.

Wat de huidige periode onderscheidt van de piek in 2022, is het profiel van de aanvallers. De Lazarus Group, North Korea's state-affiliated hacking unit, werd attributed by the FBI aan de Harmony Horizon-brugdiefstal in 2022 en is in verband gebracht met latere incidenten.

Aanvallers op het niveau van natiestaten beschikken over middelen, geduld en operationele security die fundamenteel verschillen van opportunistische protocol-exploiters. Hun blijvende focus op bruggen weerspiegelt het aanhoudend hoge profiel van waarde-per-exploit van deze categorie.

Ook interessant: North Korea Drained $577M From Global Crypto Theft In 2026 So Far

Het spectrum van vertrouwensaannames: van multisig tot ZK-proofs

Beveiligingsonderzoekers en protocolontwerpers analyseren brugarchitecturen doorgaans langs een spectrum dat wordt bepaald door hun vertrouwensaannames. Aan het ene uiteinde zitten multisig- of validatorsetbruggen die vertrouwen op een kleine groep door mensen bediende nodes. Aan het andere uiteinde zitten cryptografisch native bruggen die vertrouwen op wiskundige bewijzen in plaats van menselijke integriteit. De afstand tussen deze twee punten komt bijna perfect overeen met de afstand tussen de meest kwetsbare en de meest veilige brugontwerpen.

Polynya, een pseudonieme Ethereum-onderzoeker, en anderen in de rollup-onderzoeksgemeenschap hebben argued dat het enige geloofwaardige brugontwerp op lange termijn gebaseerd is op validiteitsbewijzen die de doelchain in staat stellen de staat van de bronchain cryptografisch te verifiëren zonder een derde partij te hoeven vertrouwen. Zero-knowledge-proofs, specifiek zk-SNARKs en zk-STARKs, maken dit technisch mogelijk. Een ZK-brug genereert een bondig bewijs dat een bepaalde transactie is opgenomen in een gefinaliseerd blok op de bronchain. De doelchain verifieert dat bewijs native en heeft geen externe validatorset nodig.

Op ZK gebaseerde light-clientbruggen reduceren de vertrouwensaannames tot de cryptografische veiligheid van het bewijssysteem zelf en elimineren de door mensen bediende validatorsets die het aanvalsvlak zijn geweest bij de meeste grote brugexploits.

De praktische beperking is de computationele kost. Het genereren van ZK-bewijzen van consensus voor chains zoals Ethereum vereist het bewijzen van de BLS12-381-handtekeningaggregatie die wordt gebruikt in de beacon chain van Ethereum, wat tot voor kort minuten aan proving-tijd en aanzienlijke hardware vereiste. Projecten zoals Succinct Labs, =nil; Foundation en Electron Labs werken aan het versnellen hiervan. Succinct's SP1 prover, described in its technical documentation, richt zich op bewijsgeneratietijden die in seconden worden gemeten voor standaard EVM‑blokken, een betekenisvolle stap richting praktische inzet.

Ook lezen: Sui Crashes Third Time In 48 Hours, Wiping Out $1.88M In Trades

Optimistische bruggen: een middenweg met een eigen aanvalsoppervlak

Tussen de hoge veiligheid van ZK‑bruggen en de lage veiligheid van validator‑set‑ontwerpen bevindt zich een klasse optimistische bruggen, gemodelleerd naar dezelfde fraudebewijs‑logica die ten grondslag ligt aan optimistische rollups. Optimistische bruggen verwerken cross‑chain berichten direct, maar bevatten een challenge‑periode, meestal van zeven dagen, waarin iedere partij een fraudebewijs kan indienen dat aantoont dat het doorgestuurde bericht ongeldig was. Als er geen succesvolle challenge is, wordt het bericht als definitief geaccepteerd.

Connext, Across Protocol en de messaging‑laag Nomad (vóór de exploit in 2022) hebben allemaal varianten van optimistische verificatie gebruikt. Het veiligheidsargument is dat één enkele eerlijke watcher, waar dan ook ter wereld, kan voorkomen dat een frauduleus bericht finaliseert. In theorie is dit sterk. In de praktijk hangt het ervan af of watchers het systeem betrouwbaar monitoren en of het fraudebewijssysteem zelf correct is geïmplementeerd.

De veiligheid van een optimistische brug stort in als het fraudebewijs‑venster niet wordt gemonitord, als het mechanisme voor het indienen van fraudebewijzen bugs bevat, of als watchers economisch kunnen worden gedwongen om tijdens de challenge‑periode niets te doen.

De Nomad‑exploit in augustus 2022, die $190 miljoen kostte, was opvallend genoeg geen aanval op het optimistische mechanisme zelf. Het was een eenvoudige smart contract‑bug. Een routinematige upgrade zette de vertrouwde root op nul, wat betekende dat elk bericht als geldig kon worden gereplayd. Zodra één aanvaller het probleem ontdekte, volgden binnen enkele uren honderden copycat‑transacties in wat onderzoekers een opportunistische “free‑for‑all” noemden, die de brug vrijwel volledig leeg trok. Het incident liet zien dat optimistische veiligheid slechts zo sterk is als elk ander onderdeel van de stack waarop ze rust.

Ook lezen: Bonk Eyes A Return To Top-100 As Meme Coin Season Gains Volume

Validator‑economie en de incentive‑mislukking in het hart van brugveiligheid

Zelfs goed ontworpen validator‑set‑bruggen kampen met een structureel economisch probleem. Validators verdienen vergoedingen voor het doorgeven van berichten. Ze lopen mogelijke slashing of reputatieschade op als ze zich kwaadwillig gedragen. Maar de fee‑inkomsten zijn doorgaans klein in verhouding tot de waarde die via de brug stroomt, terwijl de potentiële winst van een gecoördineerde aanval op een brug met hoge TVL enorm kan zijn. Deze asymmetrie is niet uniek voor bruggen, maar is bijzonder scherp in brugarchitectuur omdat één gecoördineerde actie van een drempel‑aantal validators de gehele locked pool kan leegtrekken.

Academisch werk over dit probleem omvat een paper uit 2023 van onderzoekers bij IC3, het Initiative for CryptoCurrencies and Contracts, waarin zij rationeel validator‑gedrag modelleerden in cross‑chain messaging‑systemen. Hun analyse toonde aan dat wanneer de omkoopsom die nodig is om een validator‑set te corrumperen onder de waarde valt van de assets die kunnen worden gestolen, het systeem economisch onveilig is, ongeacht het cryptografische ontwerp. Voor bruggen die honderden miljoenen dollars beveiligen met validator‑sets die slechts enkele procenten jaarlijks rendement verdienen op gestakete collateral, wordt die drempel regelmatig overschreden.

IC3‑onderzoekers ontdekten dat validator‑set‑bruggen economisch onveilig worden zodra de kosten om een drempel‑aantal validators te corrumperen onder de waarde vallen van de assets die de brug beveiligt, een conditie die in de praktijk vaak wordt bereikt.

De praktische implicatie is dat de grootte van de validator‑set minder uitmaakt dan de economische relatie tussen validator‑collateral en de TVL van de brug. Een 19‑of‑21 multisig die $500 miljoen aan TVL beveiligt maar slechts $5 miljoen aan slashable stake vereist om te worden gecompromitteerd, is structureel minder veilig dan een 3‑of‑5 multisig die $1 miljoen beveiligt met $10 miljoen aan stake achter elke validator. Het veld is traag geweest om dit denkkader over te nemen; de meeste discussies over brugveiligheid richten zich op het aantal validators in plaats van op de economische veiligheidsratio.

Ook lezen: Cognition Raises $1 Billion At $26 Billion Valuation For Its AI Coding Agent Platform

(Image: Shutterstock)

Auditdekking en de valse veiligheid van certificaten na deployment

Elke grote brug die is geëxploiteerd, was geaudit. Wormhole was geaudit. Ronin was geaudit. Nomad was geaudit. Deze observatie is geen veroordeling van auditfirma’s, maar een verduidelijking van wat audits daadwerkelijk bieden. Een smart contract‑audit is een momentopname: een beoordeling van de code zoals die bestaat op het moment van review. Het is geen garantie dat de code veilig zal blijven bij upgrades, wijzigingen in dependencies, of nieuwe aanvalsvectoren die na publicatie worden ontdekt.

Trail of Bits, een van de meest gerespecteerde security‑firms in de sector, heeft onderzoek gepubliceerd waarin wordt opgemerkt dat auditdekking voor complexe cross‑chain‑protocollen structureel beperkt is door de moeilijkheid om aanvallersgedrag in twee onafhankelijke executie‑omgevingen tegelijk te modelleren. Een reviewer die de Ethereum‑zijde van de contracts van een brug auditeert, heeft mogelijk geen volledig zicht op hoe die contracts interacteren met logica op een bestemmingsketen die een andere virtuele machine draait met andere finaliteits‑aannames.

Onderzoekers van Trail of Bits hebben gedocumenteerd dat audits van multi‑chain‑protocollen systematisch moeilijker zijn dan audits van single‑chain‑protocollen, omdat het aanvalsoppervlak de interactie tussen omgevingen omvat, niet alleen elke omgeving afzonderlijk.

Het post‑audit‑upgradeprobleem is even ernstig. De Nomad‑exploit werd niet veroorzaakt door code die bestond ten tijde van de audit, maar door een specifieke parameter die tijdens een latere upgrade werd ingesteld. De upgrade zelf werd geaudit, maar de gevolgen van precies die waarde op nul zetten, werden niet geïdentificeerd. Dit is een foutcategorie die met formele verificatie, in tegenstelling tot handmatige audits, beter kan worden opgespoord. Certora en Runtime Verification hebben beide tooling voor formele verificatie van EVM‑contracts ontwikkeld, en het gebruik daarvan in brug‑codebases is toegenomen, maar is nog verre van universeel.

Ook lezen: Sui Foundation Blames Upgrade Bugs For Three Costly Outages

De interoperabiliteits‑protocollaag: maatwerkbruggen vervangen door gedeelde infrastructuur

Een architectonische reactie op de wildgroei van kwetsbare maatwerkbruggen is om ze te vervangen door gedeelde cross‑chain messaging‑infrastructuur waarop veel applicatielaag‑bruggen kunnen voortbouwen. Het argument is dat het concentreren van security‑investeringen, auditdekking en cryptografische strengheid in één goed gefinancierde messaging‑laag het algehele systeemrisico verlaagt in vergelijking met tientallen afzonderlijk gedeployde brug‑contracts met elk hun eigen aanvalsoppervlak.

LayerZero en Wormhole (dat na de exploit in 2022 ingrijpend is herbouwd) vertegenwoordigen deze aanpak. Het protocol van LayerZero, gedocumenteerd in de whitepaper, scheidt de oracle‑functie (het leveren van block‑headers) van de relayer‑functie (het leveren van transactiebewijzen) en vereist dat beide moeten samenspannen om een bericht te vervalsen. Dit vermindert maar elimineert de vertrouwens‑aannames niet. Chainlink’s CCIP (Cross‑Chain Interoperability Protocol) voegt een derde laag toe van off‑chain risk management‑nodes die specifiek zijn belast met het beperken van doorvoersnelheid en het detecteren van anomalieën in cross‑chain berichtenstromen.

De gescheiden oracle‑relayer‑architectuur van LayerZero vereist dat zowel oracle als relayer samenspannen om een cross‑chain bericht te vervalsen, waardoor de aanvals­kosten stijgen ten opzichte van ontwerpen met een enkele validator‑set, terwijl er nog steeds op externe vertrouwens‑aannames wordt gesteund.

Het tegenargument is concentratierisico. Als één cross‑chain messaging‑protocol het merendeel van alle brugtransacties verwerkt, wordt een kritieke kwetsbaarheid in dat protocol een systeemrisico voor het hele ecosysteem. Dit is vergelijkbaar met de zorgen over wijdverspreid gebruikte softwarebibliotheken in de traditionele IT. Het Interchain Security‑model dat is ontwikkeld in het Cosmos‑ecosysteem (ATOM) volgt een andere benadering en deelt validator‑sets over applicatieketens binnen een gedefinieerde vertrouwenszone, in plaats van algemene messaging‑infrastructuur te creëren tussen heterogene ketens.

Ook lezen: NVIDIA Launches Cosmos 3, An Open Physical AI Model Built On Mixture-of-Transformers

Verzekering, bug bounties en marktgebaseerde risicobeperking

Terwijl de engineeringgemeenschap werkt aan architecturale oplossingen, is er een parallel stel marktmechanismen ontstaan om verliezen door brug‑exploits op te vangen wanneer ze zich voordoen. On‑chain verzekeringsprotocollen, bug bounty‑programma’s en brug‑specifieke dekking‑producten zijn sinds de exploit‑golf van 2022 aanzienlijk gegroeid, hoewel hun gezamenlijke capaciteit nog klein blijft in verhouding tot de totale TVL van bruggen.

Immunefi is uitgegroeid tot het dominante platform voor crypto bug bounty‑programma’s. De leaderboard‑data laat zien dat de totale uitbetaalde bounties over alle programma’s samen in 2025 de $100 miljoen overschreden, waarbij brugprotocollen enkele van de grootste individuele beloningen aanbieden.

Het bug bounty‑programma van Wormhole biedt tot $2,5 miljoen voor kritieke kwetsbaarheden. LayerZero heeft vergelijkbare maxima aangeboden. Deze programma’s creërenfinanciële prikkels voor white-hatonderzoekers om kwetsbaarheden te vinden en deze op verantwoorde wijze te melden in plaats van ze uit te buiten.

Het platform van Immunefi heeft meer dan $100 miljoen aan cumulatieve bug bounty-uitkeringen gefaciliteerd, maar bridgeprotocollen blijven systematisch onderverzekerd ten opzichte van hun TVL-blootstelling, waardoor honderden miljoenen dollars aan potentiële verliezen ongedekt blijven.

On-chain verzekeringsprotocollen, waaronder Nexus Mutual en Unslashed Finance, bieden parametrische dekking voor bridge-exploits. Maar de beschikbare dekkingscapaciteit bij deze protocollen is materieel kleiner dan de TVL in grote bridgecontracten. Uit de gepubliceerde gegevens van Nexus Mutual blijkt dat de gedekte waarde over al zijn actieve dekkingen slechts een fractie vertegenwoordigt van de totale DeFi-TVL. Voor bridgegebruikers betekent dit dat in de praktijk de meeste fondsen die via bridges worden verplaatst, niet zijn verzekerd tegen exploitverliezen. De kloof tussen de schaal van bridge-activiteit en de volwassenheid van de dekkingsinfrastructuur vormt een betekenisvol marktfalen waarvoor nog geen oplossing op schaal is gevonden.

Also Read: ETH Loses Its Last Floor And Stares Down A Drop Toward $1,800

Hoe een veiliger bridge-ecosysteem er daadwerkelijk uitziet

Het onderzoek en de incidentdata van de afgelopen vier jaar wijzen op een convergent beeld van hoe veiligere cross-chain-infrastructuur eruitziet, ook al is die bestemming nog jaren verwijderd van volledige realisatie. Het omvat drie overlappende verschuivingen: een verschuiving van externe validatorensets naar cryptografische verificatie, een verschuiving van op maat gemaakte bridgecontracten naar gestandaardiseerde cross-chain messaging-lagen, en een verschuiving van reactieve beveiligingspatches naar proactieve formele verificatie en continue monitoring.

ZK light client-bridges vertegenwoordigen de technisch meest geloofwaardige langetermijnarchitectuur. Projecten waaronder Electron Labs (dat een ZK-bewijs van Ethereum’s consensus bouwde voor gebruik in het NEAR Protocol (NEAR)-ecosysteem), Polyhedra Network en Succinct Labs ontwikkelen allemaal de prover-technologie die nodig is om ZK-bridges op schaal economisch haalbaar te maken. Succinct’s SP1 zkVM, uitgebracht in 2024, liet zien dat het genereren van ZK-bewijzen van EVM-executie haalbaar is met standaardhardware in near-real-time, een betekenisvolle mijlpaal die twee jaar eerder niet haalbaar was.

De SP1-prover van Succinct Labs liet in 2024 zien dat ZK-bewijzen van EVM-executie kunnen worden gegenereerd met standaardhardware in near-real-time, een technische mijlpaal die ZK light client-bridges voor het eerst haalbaar maakt op productieschaal.

Naast cryptografische vooruitgang heeft de sector infrastructuur nodig voor real-time monitoring die afwijkende cross-chainberichtpatronen kan detecteren voordat fondsen volledig zijn leeggetrokken. Forta Network en Chainalysis KYT bieden beide on-chain monitoringtools, en verschillende bridgeprotocollen hebben geautomatiseerde circuit breakers geïmplementeerd die opnames boven een drempelwaarde pauzeren in afwachting van handmatige controle. De detectiekloof van vijf dagen bij de Ronin-exploit was zelfs naar de maatstaven van 2022 uitzonderlijk, en van de huidige monitoringtools zou worden verwacht dat ze zo’n grote anomalie sneller detecteren. Maar geautomatiseerde detectie van bridge-exploits blijft achter bij de snelheid waarmee geavanceerde aanvallers contracten kunnen leegtrekken zodra ze een kwetsbaarheid hebben geïdentificeerd.

Read Next: Arthur Hayes Sees HYPE Clearing $150 And Eclipsing Solana

Conclusie

Het aanhouden van cross-chain bridge-exploits is geen bewijs dat het probleem niet kan worden opgelost. Het is een bewijs dat de huidige generatie bridge-architectuur expliciete, zichtbare afwegingen heeft gemaakt tussen veiligheid en praktische bruikbaarheid. En die afwegingen zijn op schaal uitgebuit.

Het aandeel van 42% van de exploitverliezen in mei 2026 dat afkomstig is van bridges, weerspiegelt een structurele kwetsbaarheid. Een die meerdere marktcycli, meerdere rampen met een hoge impact en meerdere rondes van vermeende remediatie heeft overleefd.

Het pad vooruit bestaat.

ZK light client-bridges kunnen de vertrouwensaanname in externe validators elimineren, die in de meeste grote incidenten het aanvalsvlak vormde. Gedeelde cross-chain messaging-infrastructuur kan beveiligingsinvesteringen efficiënter concentreren dan op maat gemaakte bridgecontracten per protocol. Formele verificatie kan door upgrades veroorzaakte kwetsbaarheden opsporen die bij handmatige audits routinematig worden gemist. Bug bounty-programma’s kunnen potentiële aanvallers veranderen in betaalde onderzoekers. En circuit breakers kunnen de schade beperken wanneer een kwetsbaarheid toch door de mazen glipt en wordt uitgebuit.

Geen van deze maatregelen is op zichzelf voldoende. En geen ervan is al op de schaal ingezet die nodig is om het exploitatierisico in deze categorie materieel te verlagen.

De TVL in bridges blijft groeien. De absolute dollarwaarde die op het spel staat, blijft stijgen. De sofisticiatie van aanvallers die zich op de categorie richten, is niet afgenomen.

De $28,6 miljoen die in mei 2026 verloren ging, is geen waarschuwingsschot.

Het is een datapunt in een trend die al vier jaar gaande is — een trend die de volgende generatie bridge-architectuur de technische gereedschapskist heeft om te doorbreken, mits die gereedschapskist wordt ingezet met de urgentie die het verliesverleden vereist.

Disclaimer en risicowaarschuwing: De informatie in dit artikel is uitsluitend voor educatieve en informatieve doeleinden en is gebaseerd op de mening van de auteur. Het vormt geen financieel, investerings-, juridisch of belastingadvies. Cryptocurrency-assets zijn zeer volatiel en onderhevig aan hoog risico, inclusief het risico om uw gehele of een substantieel deel van uw investering te verliezen. Het handelen in of aanhouden van crypto-assets is mogelijk niet geschikt voor alle beleggers. De meningen die in dit artikel worden geuit zijn uitsluitend die van de auteur(s) en vertegenwoordigen niet het officiële beleid of standpunt van Yellow, haar oprichters of haar leidinggevenden. Voer altijd uw eigen grondig onderzoek uit (D.Y.O.R.) en raadpleeg een gelicentieerde financiële professional voordat u een investeringsbeslissing neemt.
Gerelateerde onderzoeksartikelen
Crypto Bruggen Uitleg: Kosten, Risico's, en Waarom Cross-Chain UX in 2025 Nog Achterligt
Sep 24, 2025
Ondanks miljardeninvesteringen in cross-chain infrastructuur, blijft het overbruggen van activa...
Waarom DEX-exploits in 2025 $3,1 miljard kosten: analyse van 12 grote hacks
Oct 27, 2025
Analyse van grote DEX-exploits in 2025, waarom audits tekortschieten, hoe aanvallers code misbruiken en welke veiligheidslessen volgen.
De beveiligingscrisis van Web3 in 2026: waarom de grootste hacks niet langer alleen smartcontract-bugs zijn
In 2026 veroorzaken infrastructuur- en operationele fouten meer cryptoverliezen dan smartcontract-bugs, met Noord-Koreaanse hackers als grootste dreiging.
Het L2-ecosysteem verwerkt nu meer transacties dan Ethereum zelf: waar gaat de waarde naartoe?
Apr 27, 2026
L2-rollups verwerken meer transacties dan Ethereum, terwijl EIP-4844 kosten verlaagt maar fee-inkomsten voor ETH aantast.
Off-chain versus on-chain trading: wat verschuift crypto van CEX's naar DEX's?
DEX-marktaandeel groeit fors door goedkope Layer 2's en falende CEX-beveiliging, terwijl on-chain en off-chain modellen om liquiditeit strijden.