Seizoenen
Klassement
Nieuws
Leren
Onderzoek
Ranglijst
Ecosysteem
Portemonnee
yellow banner logo
TRADING
PLATFORM NU LIVE
NU BEGINNEN
yellow shooting stars
background stars

De beveiligingscrisis van Web3 in 2026: waarom de grootste hacks niet langer alleen smartcontract-bugs zijn

profile-alexey-bondarev
Alexey Bondarev3 uur geleden
#Web3 #DeFi #Hackers
De beveiligingscrisis van Web3 in 2026: waarom de grootste hacks niet langer alleen smartcontract-bugs zijn

De crypto-industrie verloor een recordbedrag van 3,4 miljard dollar aan hacks in 2025, maar het bepalende verhaal gaat niet over buggy Solidity-code. Het gaat over gecompromitteerde laptops van ontwikkelaars, gestolen cloud-inloggegevens, social-engineeringcampagnes die maanden duren en multisig-wallets zonder timelocks.

TL;DR

  • Infrastructuur- en operationele fouten veroorzaakten 76% van alle cryptohack-verliezen in 2025, terwijl smartcontract-exploits slechts 12% uitmaakten
  • Noord-Koreaanse, door de staat gesteunde hackers stalen 2,02 miljard dollar in 2025, ongeveer 60% van alle wereldwijde cryptodiefstal, met spionagetactieken in plaats van code-exploits
  • Audits, bug bounties en on-chain codekwaliteit verbeteren, maar het aanvalsoppervlak is veel verder uitgebreid dan wat deze tools afdekken

De cijfers laten zien dat het probleem groter wordt, niet kleiner

Meerdere beveiligingsbedrijven converge tot dezelfde conclusie: 2025 was het duurste jaar in de geschiedenis van crypto­beveiliging. Chainalysis meldde 3,4 miljard dollar aan gestolen fondsen, een stijging van 55% ten opzichte van 2,2 miljard in 2024. CertiK documented 3,35 miljard dollar over 630 incidenten. Er vonden minder aanvallen plaats dan in 2024, maar de gemiddelde uitbetaling per incident steeg met 66,6% tot 5,32 miljoen dollar.

De dataconcentratie is extreem. De drie grootste hacks van 2025 waren goed voor 69% van alle verlies op serviceniveau. De Bybit-inbraak alleen al kostte op 21 februari 2025 1,46 miljard dollar, ongeveer 43% van de diefstal van het hele jaar.

Haal Bybit weg, en de verliezen in 2025 dalen tot ongeveer 1,5 miljard tot 1,9 miljard dollar. Dat is nog steeds hoog, maar ligt dichter bij het niveau van 2024.

The pattern reveals an industry where systemic security has improved for the average protocol, while catastrophic tail risks from infrastructure compromise have grown far worse.

Het eerste kwartaal van 2025 was het slechtste kwartaal in de cryptogeschiedenis. Immunefi tracked 1,64 miljard dollar over 40 incidenten, een stijging van 4,7x ten opzichte van de 348 miljoen dollar in Q1 2024. CeFi was goed voor 94% van de verliezen in Q1, gedreven door slechts twee incidenten: Bybit en Phemex (85 miljoen dollar).

DeFi-verliezen daalden in Q1 juist met 69% jaar-op-jaar. On-chain codebeveiliging is daadwerkelijk verbeterd, terwijl de operationele beveiliging instortte.

Vroege data uit 2026 shows dat de trend zich voortzet. CertiK meldde 501 miljoen dollar aan verliezen in Q1 2026 over 145 gebeurtenissen. De hack op Drift Protocol op 1 april 2026 trok in 12 minuten 285 miljoen dollar leeg via een social-engineeringoperatie die zes maanden duurde. Geavanceerde, op mensen gerichte aanvallen blijven begin 2026 de primaire dreigingsvector.

Also Read: Why The U.S. Treasury Is Now Sharing Cyber Threat Data With Crypto Firms

Makina Finance loses millions in Ethereum flash loan oracle exploit (Image: Shutterstock)

Smartcontract-bugs doen er nog steeds toe, maar ze zijn niet langer het hele verhaal

Smartcontract-kwetsbaarheden remain de meerderheid van de incidenten qua aantallen, goed voor 54,5% van alle exploits. Verschillende grote code-niveau hacks in 2025 en 2026 bewezen dat traditionele on-chain risico’s blijven bestaan en zich blijven ontwikkelen.

De hack op Cetus Protocol (223 miljoen dollar, 22 mei 2025) was een schoolvoorbeeld van een logische fout. Een integer-overflow in een gedeelde wiskundebibliotheek genaamd „integer-mate” zorgde ervoor dat een overflow-check stilletjes faalde. De aanvaller minted enorme liquiditeitsposities tegen verwaarloosbare kosten.

Cetus was drie keer geauditeerd door MoveBit, OtterSec en Zellic. De Zellic-audit vond geen issues buiten informatieve punten. De kwetsbaarheid zat in een externe dependency in plaats van in de eigen code van Cetus, wat illustreert hoe composable ecosystemen risico’s erven van hun volledige dependency graph.

Andere opmerkelijke smartcontract-exploits zijn onder meer:

  • De GMX v1 reentrancy (42 miljoen dollar, juli 2025), die bewijst dat reentrancy nog steeds slachtoffers maakt via nieuwere cross-contract varianten
  • De Balancer rounding-exploit (70 miljoen tot 128 miljoen dollar, november 2025), die kleine afrondingsfouten opstapelde over honderden batch swaps, in een klasse van economische aanvallen die standaardaudits volledig missen
  • De Yearn Finance invariant-schending (9 miljoen dollar, december 2025), waar een fout in de berekening van shares zowel statische analysetools als fuzzers te slim af was

Het cruciale onderscheid: smartcontract-exploits leiden meestal tot kleinere verliezen per incident. TRM Labs calculated een gemiddelde van 6,7 miljoen dollar per code-exploit, vergeleken met 48,5 miljoen dollar per infrastructuuraanval. De sector is aantoonbaar beter geworden in het schrijven van veilige on-chain code. Maar die vooruitgang wordt overschaduwd door de catastrofale schaal van operationele fouten.

Also Read: Stablecoin Volume Could Hit $1.5 Quadrillion By 2035, Chainalysis Report Shows

De menselijke laag: hoe social engineering een topklasse crypto-exploit werd

Noord-Koreaanse, door de staat gesteunde hackers vormen de grootste enkele dreiging voor de crypto-industrie. Chainalysis attributed 2,02 miljard dollar aan cryptodiefstal in 2025 aan DPRK-acteurs, een stijging van 51% ten opzichte van 1,34 miljard in 2024 en ongeveer 60% van alle wereldwijde cryptodiefstal. Het cumulatieve totaal steeg tot 6,75 miljard dollar eind 2025.

Wat deze operaties onderscheidt, is hun geduld.

De aanval op Drift Protocol began met introducties op conferenties in de herfst van 2025, ging verder met maandenlange relatieopbouw en omvatte het storten van meer dan 1 miljoen dollar eigen kapitaal van de aanvallers om geloofwaardigheid op te bouwen. De uiteindelijke leegtrekactie duurde 12 minuten.

DPRK-tactieken zijn ver voorbij directe hacks gediversifieerd:

  • De „Contagious Interview”-campagne targets ontwikkelaars via valse baanbiedingen op LinkedIn en cryptovacaturebanken, met trojanized codeeropdrachten die backdoors installeren
  • Een fictief bedrijf genaamd „Veltrix Capital” verspreidde kwaadaardige npm-packages die specifiek controleren op MetaMask-browserextensies
  • In mei 2025 identificeerde Kraken-beveiliging identified een Noord-Koreaanse operatief die onder de alias „Steven Smith” solliciteerde naar een engineeringfunctie, met stemveranderingen tijdens het interview die duidden op realtime coaching
  • Het IT-worker-infiltratieprogramma genereert naar schatting 250 miljoen tot 600 miljoen dollar per jaar volgens VN-schattingen, waarbij ZachXBT een netwerk van 390 accounts onthulde dat ongeveer 1 miljoen dollar per maand genereert

De Coinbase-inbraak (mei 2025) demonstrated een andere social-engineeringaanpak. Omgekochte buitenlandse customer-supportmedewerkers exfiltreerden persoonlijke gegevens van 69.000 gebruikers, wat downstream phishing-scams mogelijk maakte met een geschatte impact tussen 180 miljoen en 400 miljoen dollar. De smartcontracts zijn nooit aangeraakt.

Also Read: Cardano Defies Bearish Trend With Record Transactions And Surging Whale Interest

Keys, multisigs en cloud: de verborgen centralisatie in Web3

De verborgen centralisatie van Web3 is misschien wel het meest ondergewaardeerde systemische risico van de sector. Halborn found in zijn analyse van de 100 grootste DeFi-hacks dat slechts 19% van de gehackte protocollen multisig-wallets gebruikte en slechts 2,4% cold storage toepaste. Off-chain aanvallen waren goed voor 80,5% van de gestolen fondsen in hun dataset.

Trail of Bits published in juni 2025 een maturity framework met vier niveaus van smartcontract-toegangsbeheer. Level 1 gebruikt één extern owned account, wat betekent dat één gecompromitteerde private key totale verlies inhoudt. Level 2 gebruikt een gecentraliseerde multisig maar behoudt één controlepunt. Levels 3 en 4 voegen timelocks, rol­scheiding en uiteindelijk radicale onveranderlijkheid toe.

The Bybit, WazirX and Radiant Capital hacks all exploited Level 2 architectures. The Drift Protocol hack exposed another centralization failure: a 2-of-5 multisig with zero timelocks on any administrative functions.

Cloudinfrastructuur introduceert nog een extra centralisatievector. De hack op Resolv Labs (25 miljoen dollar, maart 2026) involved een compromittering van AWS Key Management Service.

De aanvaller kreeg toegang tot de cloudomgeving waar een geprivilegieerde signing key was opgeslagen en gebruikte die om 80 miljoen niet-gedekte stablecointokens te minten.

Resolv had 18 onafhankelijke smartcontract-audits doorstaan en hield een bug bounty van 500.000 dollar bij Immunefi. Geen van beide dekte AWS IAM-policies af.

Veel „decentralized” protocollen zijn volledig afhankelijk van gecentraliseerde infrastructuurproviders voor hun user-facing interfaces. De frontend van Safe{Wallet} werd gehost op AWS S3/CloudFront zonder Subresource Integrity-hashing om codewijzigingen te detecteren. Dat gat maakte de Bybit-aanval mogelijk.

Also Read: Bloomberg Strategist Predicts Tether Will } Overtake Both Bitcoin And Ethereum By Market Cap

Het frontend-probleem: wanneer gebruikers worden gehackt vóórdat de blockchain wordt geraakt

Een groeiende categorie aanvallen richt zich op de web-frontends van DeFi-protocollen in plaats van op hun on-chain contracts. In alle gedocumenteerde gevallen bleven de smart contracts veilig en operationeel. De kwetsbaarheid zat volledig in de Web2-infrastructuurlaag die gebruikers met die contracts verbindt.

Curve Finance suffered op 12 mei 2025 een DNS-hijack toen aanvallers toegang kregen tot domein­registrar iwantmyname en de DNS-delegatie wijzigden om verkeer om te leiden naar een kwaadaardige statische decoy-site.

Tijdens de frontend-storing verwerkten de smart contracts van Curve meer dan $400 miljoen aan on-chain volume, wat aantoonde dat de contracts perfect werkten terwijl de frontend werd bewapend.

Dit was de tweede DNS-aanval op Curve via dezelfde registrar. Curve migreerde vervolgens naar het domein curve.finance en pleitte voor industriële adoptie van ENS.

Aerodrome en Velodrome (21 nov. 2025) verloren ongeveer $700.000 toen DNS-hijacking gebruikers omleidde naar phishing­sites. MetaMask en Coinbase Wallet toonden binnen twee minuten na de eerste kwaadaardige transactie waarschuwingen, maar gebruikers die vóór de waarschuwingen interacteerden, verloren tegoeden.

Aanvullende DNS-aanvallen hit Arrakis Finance (jan. 2025), OpenEden (feb. 2026) en Neutrl (mrt. 2026).

De aanval op Neutrl bleek afkomstig van een social engineering-aanval op de DNS-provider zelf.

Het patroon is consistent: compromitteer de domein­registrar, wijzig DNS-records, leid gebruikers om naar een phishing­clone, verzamel wallet­approvals en leeg assets. Domein­registrars fungeren als gecentraliseerde single points of failure voor nominale gedecentraliseerde protocollen.

Also Read: Cloudflare Follows Google, Sets 2029 Deadline To Go Quantum-Proof

Network reverses blockchain rollback decision following developer backlash over $3.9 million exploit (Image: Shutterstock)

Waarom audits niet langer genoeg zijn

Standaard smart contract-audits dekken kwetsbaarheden op codeniveau: reentrancy, overflow, fouten in toegangscontrole en bekende kwetsbaarheids­patronen.

Ze dekken doorgaans geen frontend- en UI-beveiliging, API- en backend-infrastructuur, beheer van admin keys, social engineering-vectoren, supply-chain-aanvallen op dependencies, DNS- en domeinbeveiliging of de correctheid van het economische model.

Trail of Bits stated in juni 2025 expliciet dat aanvallen op private keys een opkomende vector zijn die nauw gescope smart contract-audits en -contests regelmatig missen. Het bedrijf merkte op dat blockchain-native auditfirma's zelden architecturale toegangscontroleproblemen als formele bevindingen signaleren.

Het bewijs is omvangrijk:

  • Cetus Protocol slaagde voor drie audits van gerenommeerde firma's voordat het $223 miljoen verloor door een bug in een externe wiskundebibliotheek
  • Resolv Labs doorstond 18 onafhankelijke audits voordat het $25 miljoen verloor via een AWS-infrastructuur­compromis
  • De walletprovider van Bybit, Safe{Wallet}, werd grondig geaudit, maar de kwetsbaarheid was de gecompromitteerde laptop van een ontwikkelaar
  • De Balancer rounding-exploit stapelde sub-wei afrondingsfouten op over vijandige batch swap-sequenties, een klasse aanvallen die standaard testen per operatie niet kan detecteren

Audits blijven waardevol. Niet-geauditeerde protocollen hebben ongeveer 70% kans op een exploit in hun eerste jaar, tegenover 15% tot 20% voor geauditeerde protocollen. Maar de afhankelijkheid van de sector van het label "audited by X" als beveiligings­certificering karakteriseert fundamenteel verkeerd wat audits daadwerkelijk valideren. Het zijn momentopnames van codecorrectheid, geen allesomvattende beveiligings­beoordelingen.

Also Read: Bitcoin Can Be Made Quantum-Safe Without An Upgrade, But There's A Catch

Hoe veiliger design eruitziet na de hackgolf van 2026

Vyper, de Python-achtige smart contract-taal created door Vitalik Buterin in 2017, belichaamt een security-through-simplicity-filosofie die sterk contrasteert met de feature-rijkdom van Solidity. Vyper sluit opzettelijk inheritance, modifiers, operator overloading en inline assembly uit.

De taal biedt automatische overflow-checking, ingebouwde nonreentrant-decorators, bounds-gevalideerde arrays en strikte typing.

Meer dan 7.959 Vyper-contracts beveiligen momenteel meer dan $2,3 miljard aan total value locked.

De taal kende in juli 2023 een eigen beveiligingscrisis toen een kwetsbaarheid in de reentrancy guard in oudere compilerversies enabled de Curve Finance-exploit mogelijk maakte. De reactie was systematisch: 12 audits met firma's waaronder ChainSecurity en OtterSec, twee fulltime beveiligings­experts, twee bug bounty-programma's en een contract­monitoringsysteem dat 30.000 contracts over 23 chains indexeert.

De ontwikkeling is remained actief gebleven in 2025 en 2026. Versie 0.4.2 "Lernaean Hydra" (mei 2025) verbood met name het aanroepen van nonreentrant-functies vanuit nonreentrant-functies, waarmee een hele klasse potentiële kwetsbaarheden werd geëlimineerd.

Belangrijke adopters zijn onder meer Curve Finance, Yearn Finance V3 en Velodrome/Aerodrome.

De ontwerpfilosofie van Vyper, dat de features die je weghaalt belangrijker zijn dan de features die je toevoegt, sluit aan bij de opkomende beveiligingsconsensus. Wanneer de dominante aanvalsvectoren menselijk en operationeel zijn in plaats van op codeniveau, biedt een taal die leesbaardere en beter auditeerbare code oplevert echte structurele voordelen.

Also Read: Only 10% Of New CEX Tokens Survive Their First Year, CoinGecko Data Reveals

Beveiligingscultuur vs security theatre in Web3

Bug bounties have emerged als een van de meer kosteneffectieve verdedigings­mechanismen. Immunefi heeft meer dan $112 miljoen aan totale bounties uitgekeerd over meer dan 3.000 gevalideerde bugrapporten. Meldingen met kritieke ernst zijn goed voor 87,8% van alle uitbetalingen. Het platform claimt meer dan $190 miljard aan gebruikersgelden te hebben beschermd.

De economie erachter is overtuigend. Totale bounties die ooit zijn uitbetaald ($112 miljoen) vertegenwoordigen ongeveer 3,3% van de hackverliezen in alleen al 2025. Zelfs één enkele voorkomen exploit zou een enorme ROI genereren. Actieve bounty-programma's hebben nu betekenisvolle schaal bereikt, met Usual die een maximum van $16 miljoen biedt op Sherlock en Uniswap v4 die $15,5 miljoen biedt op Immunefi.

Competitieve auditplatforms hebben zich parallel ontwikkeld aan traditionele bounties. Code4rena organiseert contests met 16.600 geregistreerde researchers en ongeveer 100 deelnemers per audit.

Sherlock operates een full lifecycle-model dat auditcontests, bug bounties en verzekerings­dekking combineert, en heeft meer dan $100 miljard aan total value locked beveiligd.

Bug bounties delen echter een fundamentele beperking met audits. Gegevens van Immunefi tonen aan dat 77,5% van de uitbetalingen naar ontdekkingen van smart contract-bugs gaat. De meest schadelijke aanvalsvectoren van 2025, waaronder supply-chain-compromissen, social engineering en inbreuken op infrastructuur, vallen grotendeels buiten de scope van wat bounty-onderzoekers kunnen testen.

De sector heeft equivalente prikkelstructuren nodig voor beoordelingen van operationele beveiliging. Alleen code review sluit niet meer aan bij waar de daadwerkelijke verliezen vandaan komen.

Also Read: Gemini Survey Reveals 51% Of Gen Z Adults Worldwide Own Crypto

Wat gebruikers, bouwers en investeerders in 2026 anders moeten doen

De gegevens uit 2025 en 2026 maken duidelijk dat beveiliging veel verder moet reiken dan smart contract-audits en de volledige operationele stack moet omvatten.

Voor protocolbouwers omvat de minimale levensvatbare beveiligingshouding nu:

  • Multisig-wallets met timelocks op alle administratieve functies
  • Rolgebaseerde toegangscontrole met het principe van least privilege
  • Hardware wallet-signing voor alle bevoorrechte operaties
  • Continue monitoring van permissiewijzigingen, upgrades en transacties met hoge waarde
  • Subresource Integrity-hashing voor alle frontend-code, plus DNSSEC en overweging van ENS-gehoste alternatieven voor gecentraliseerde domein­registrars

Supply-chain-beveiliging requires het pinnen van dependencies, het beperken van package-sprawl, het vergrendelen van CI/CD-pijplijnen met kortlopende credentials en het verifiëren van release-artifacts. Incident response-plannen moeten met oefeningen worden getest en niet alleen worden geschreven en daarna opgeborgen.

Voor gebruikers zijn de praktische verdedigingen eenvoudig. Hardware wallets blijven essentieel voor alle significante holdings. Transactiesimulatie­tools zoals Pocket Universe claimen 180.000 gebruikers en meer dan $1 miljard aan beschermde fondsen.

Regelmatige intrekking van onbeperkte token-approvals, het bookmarken van vertrouwde URL's in plaats van het volgen van links, en het aanhouden van gescheiden wallets verkleinen allemaal de impact van een enkele gecompromitteerde handtekening.

De les over blind signing uit de Bybit-hack geldt ook voor individuen. Controleer altijd de transactiedetails op het ondertekenende apparaat zelf, niet alleen in de interface die om de handtekening vraagt.

Voor investeerders die protocollen beoordelen is het label "audited by X" noodzakelijk maar radicaal onvoldoende. Betekenisvolle beveiligingsindicatoren omvatten meerdere audits door diverse firma's, actieve bug bounty-programma's met significante beloningen, transparante multisig-configuraties met geografische spreiding, timelocks op upgradesfuncties die on‑chain zichtbaar zijn, en aangetoonde incident response‑capaciteiten.

De afwezigheid van deze indicatoren moet fungeren als expliciete rode vlaggen, ongeacht de auditgeschiedenis.

Also Read: From Joke To ETF? PEPE's Wall Street Moment Raises Big Questions

Conclusie

Het crypto‑beveiligingslandschap van 2025 en 2026 onthult een paradox. De technologie wordt steeds veiliger, terwijl de sector meer geld verliest dan ooit.

Verliezen door smart contract‑exploits zijn afgenomen doordat de kwaliteit van on‑chain code is verbeterd via betere tooling, meer audits, competitieve reviewplatforms en security‑gerichte taald ontwerpen zoals Vyper. Maar deze vooruitgang is overschaduwd door een snelle toename van infrastructuur‑ en operationele aanvallen.

Beveiligingsmodellen die uitsluitend rond code review zijn opgebouwd, dekken nu ruwweg 12% van de daadwerkelijke verliesblootstelling af. De overige 88% zit in laptops van ontwikkelaars, AWS‑inloggegevens, domeinregistrars, multisig‑signerapparaten, wervingsprocessen voor personeel en frontend‑deploymentpijplijnen. Dit zijn Web2‑problemen die Web2‑verdediging vereisen, toegepast op Web3‑organisaties die vaak de institutionele securitycultuur missen om ze te implementeren.

De protocollen die de volgende golf van door staten gesteunde aanvallen overleven, zijn die welke niet alleen hun code beveiligen, maar ook hun mensen, hun infrastructuur en hun vertrouwens­aanname als één verbonden systeem. Alles daaronder is securitytheater, vermomd als decentralisatie‑branding.

Read Next: The U.S. Is Redefining Stablecoins — Here's What The New Rules Do

Disclaimer en risicowaarschuwing: De informatie in dit artikel is uitsluitend voor educatieve en informatieve doeleinden en is gebaseerd op de mening van de auteur. Het vormt geen financieel, investerings-, juridisch of belastingadvies. Cryptocurrency-assets zijn zeer volatiel en onderhevig aan hoog risico, inclusief het risico om uw gehele of een substantieel deel van uw investering te verliezen. Het handelen in of aanhouden van crypto-assets is mogelijk niet geschikt voor alle beleggers. De meningen die in dit artikel worden geuit zijn uitsluitend die van de auteur(s) en vertegenwoordigen niet het officiële beleid of standpunt van Yellow, haar oprichters of haar leidinggevenden. Voer altijd uw eigen grondig onderzoek uit (D.Y.O.R.) en raadpleeg een gelicentieerde financiële professional voordat u een investeringsbeslissing neemt.
Gerelateerde onderzoeksartikelen
De grootste crypto-exploits van 2025–2026: wat er echt misging
Overzicht van de grootste crypto-hacks in 2025–2026, hoe ze gebeurden, welke patronen terugkeren en wat dit onthult over kwetsbare vertrouwenspunten.
Waarom DEX-exploits in 2025 $3,1 miljard kosten: analyse van 12 grote hacks
Oct 27, 2025
Analyse van grote DEX-exploits in 2025, waarom audits tekortschieten, hoe aanvallers code misbruiken en welke veiligheidslessen volgen.
Off-chain versus on-chain trading: wat verschuift crypto van CEX's naar DEX's?
DEX-marktaandeel groeit fors door goedkope Layer 2's en falende CEX-beveiliging, terwijl on-chain en off-chain modellen om liquiditeit strijden.
Crypto-fraude in 2025 bereikt recordhoogten: Van YouTube deepfakes tot Pig Butchering scams
Crypto scams in 2025 nemen toe met AI deepfakes, phishing en Ponzi-schema's. Ontdek hoe deze bedreigingen worden geëvolueerd.
De verborgen economie van memecoin-giveaway farming
Uitleg over hoe goedkope Solana-transacties massale memecoin-airdrops mogelijk maken, engagement en hype voeden en tegelijk grote phishingrisico’s creëren.
De beveiligingscrisis van Web3 in 2026: waarom de grootste hacks niet langer alleen smartcontract-bugs zijn | Yellow.com