Crypto-hacks in 2025 en begin 2026 exceeded alle eerdere jaarlijkse records in dollarwaarde, met verliezen tot maar liefst 3,4 miljard dollar, verspreid over smartcontractbugs, supply-chain-compromissen, orakelmanipulatie, sleuteldiefstal en politiek gemotiveerde sabotage, die samen blootlegden hoe geconcentreerde vertrouwenspunten — niet alleen slechte code — nog steeds de gevaarlijkste kwetsbaarheid van de sector vormen.
De stand van zaken rond crypto-hacks in 2025–2026
De cijfers zijn moeilijk te betwisten, al verschillen ze per methode.
Chainalysis estimated dat de totale cryptodiefstal in 2025 uitkwam op 3,4 miljard dollar, waarmee het het slechtste jaar ooit werd. TRM Labs en TechCrunch reported afzonderlijk een bedrag van 2,7 miljard dollar. CertiK published zijn H1 2025-telling op 2,47 miljard dollar over 344 incidenten, waarmee het al het totaal van 1,98 miljard dollar nettoverlies in heel 2024 overtrof.
Ter vergelijking: TRM Labs had calculated dat over heel 2024 in totaal 2,2 miljard dollar werd gestolen. Dat betekent dat alleen al de eerste zes maanden van 2025 het volledige vorige jaar overtroffen.
Wat deze periode onderscheidt, is niet het aantal incidenten. Het is de concentratie.
Immunefi reported dat Q1 2025 het slechtste kwartaal voor crypto-hacks in de geschiedenis was, met 1,64 miljard dollar verlies over slechts 40 gebeurtenissen — een toename van 4,7x ten opzichte van Q1 2024. Twee incidenten, Bybit en Cetus, waren samen goed voor ongeveer 1,78 miljard dollar, of 72 procent van CertiK’s H1-totaal.
De categorieën aanvallen zijn niet veel veranderd. Smartcontract-exploits, orakelmanipulatie, compromittering van private keys, operationele fouten bij beurzen en door staten gesteunde cyberaanvallen komen allemaal voor. Wat veranderde is de schaal. De gemiddelde hackgrootte verdubbelde in H1 2025 ten opzichte van dezelfde periode een jaar eerder, en de schade concentreerde zich sterk in een handvol catastrofale gebeurtenissen.
De rode draad die de ergste gevallen hieronder verbindt, is niet complexiteit. Het is vertrouwen — geconcentreerd in enkele sleutels, enkele leveranciers, enkele governance-structuren of enkele liquiditeitslocaties.
Ook interessant: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: hoe een ongedekte mint een stablecoin in een balanscrisis veranderde
Op 22 maart 2026 compromitteerde een aanvaller een bevoorrechte private key die was opgeslagen in de AWS Key Management Service van Resolv, en gebruikte die om twee sterk opgeblazen mint-operaties op de USR-stablecoin van het protocol te autoriseren.
De eerste creëerde 50 miljoen USR tegen een storting van ongeveer 100.000 dollar in USDC (USDC). De tweede mintte nog eens 30 miljoen.
In totaal kwamen ongeveer 80 miljoen ongedekte tokens entered in omloop. De mint-sleutel was één enkele extern beheerde account — geen multisig — en het contract had geen maximale mint-limieten, oracle-controles of hoeveelheidvalidatie.
De aanvaller converteerde gemint USR via wstUSR en stablecoins naar ongeveer 11.400 Ether (ETH), ter waarde van ruwweg 24 tot 25 miljoen dollar. De prijs van USR crashed op Curve Finance binnen 17 minuten naar slechts 0,025 dollar — een daling van 97,5 procent.
Wat stablecoin-exploits bijzonder schadelijk maakt, is dat ze onmiddellijk onthullen of de onderliggende collateral echt of fragiel is.
De oorspronkelijke collateral-pool van het protocol van ongeveer 95 miljoen dollar bleef technisch intact, maar met 80 miljoen nieuwe ongedekte tokens in omloop bleef Resolv achter met ongeveer 95 miljoen dollar aan activa tegenover circa 173 miljoen dollar aan verplichtingen. DeFi-protocollen zoals Aave, Morpho, Euler, Venus en Fluid namen voorzorgsmaatregelen om hun blootstelling te isoleren.
De kettingreactie — exploit, gedwongen verkopen, depeg, gat in de balans, paniek — voltrok zich in minder dan een dag.
Ook interessant: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: de megabreuk van 1,5 mrd dollar die het jaar definieerde
Geen enkele gebeurtenis in de geschiedenis van cryptodiefstal kan in dollartermen tippen aan wat er op 21 februari 2025 happened bij Bybit.
On-chain-onderzoeker ZachXBT signaleerde als eerste verdachte uitgaande transacties van meer dan 1,46 miljard dollar uit de Ethereum-(ETH)-cold wallet van de beurs. De FBI attributed de diefstal later aan de TraderTraitor-cluster van Noord-Korea, onderdeel van de Lazarus Group, en stelde het bedrag op circa 1,5 miljard dollar.
Er werd ongeveer 401.347 ETH gestolen. Dat overtrof de gezamenlijke totalen van de Ronin Network- en Poly Network-hacks, voorheen de twee grootste in de crypto-geschiedenis.
De inbreuk was geen falen van Bybit’s eigen code. Forensische onderzoeken door Sygnia en Verichains traced de hoofdoorzaak terug naar een supply-chain-compromis van Safe{Wallet}, een externe multisig-omgeving. Aanvallers compromitteerden al op 4 februari de macOS-werkplek van een Safe-ontwikkelaar, stalen AWS-sessietokens en injected op 19 februari kwaadaardige JavaScript in de webinterface van Safe.
De code werd alleen geactiveerd wanneer de specifieke Ethereum-cold wallet van Bybit een transactie initieerde. Drie van de zes multisig-ondertekenaars keurden de transactie goed zonder de manipulatie te ontdekken.
Bybit-CEO Ben Zhou confirmed dat de beurs solvabel bleef, ondersteund door pre-hackreserves van meer dan 16 miljard dollar. Binnen 72 uur replenished Bybit zijn ETH-reserves via noodleningen van Galaxy Digital, FalconX, Wintermute en Bitget. Maar tegen 20 maart was circa 86 procent van de gestolen ETH geconverteerd naar Bitcoin (BTC) over bijna 7.000 wallets.
De les is helder. Eén venue, één inbreuk, één gebeurtenis — en het jaarlijkse verliesprofiel van de sector verschuift volledig. Sommige van de ergste cryptomislukkingen gebeuren juist daar waar gebruikers aannemen dat schaal gelijkstaat aan veiligheid.
Also Read: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus op Sui: hoe een exploit van 223 mln dollar een vlaggenschip-DEX bevroor
In mei 2025 werd Cetus, de grootste gedecentraliseerde beurs op het Sui-(SUI)-netwerk, hit door een exploit die ongeveer 223 miljoen dollar uit zijn liquiditeitspools wegzoog. De hoofdoorzaak was een integer overflow-bug in de geconcentreerde-liquiditeitsmath-library van het protocol.
Een functie compared waarden met een drempel die één bit verkeerd was, waardoor de aanvaller één token kon storten maar liquiditeitsposities ter waarde van miljoenen kon ontvangen.
Sui-validators took de uitzonderlijke stap om ongeveer 162 miljoen dollar aan gestolen fondsen on-chain te bevriezen, een maatregel die via een governance-stemming met 90,9 procent steun werd goedgekeurd. Ongeveer 60 miljoen dollar was al naar Ethereum gebridged vóór de bevriezing.
Cetus resumed de activiteiten na een uitval van 17 dagen, waarbij pools werden aangevuld met teruggewonnen fondsen, 7 miljoen dollar uit de eigen kasreserves en een USDC-lening van 30 miljoen dollar van de Sui Foundation.
Wanneer een vlaggenschip-liquidity venue breekt, krijgt de geloofwaardigheid van de hele chain een klap. Tokenprijzen, ketenreputatie, gebruikersvertrouwen en de noodzaak van noodinterventie door ecosysteemspelers — de schokgolf reikt veel verder dan het protocol zelf.
Ook interessant: Brazil Freezes Crypto Tax Rules
GMX: waarom een toonaangevend perpetuals-venue toch meer dan 42 mln verloor
In juli 2025 werd GMX exploited voor meer dan 42 miljoen dollar via een cross-contract-reentrancy-kwetsbaarheid in de V1-implementatie op Arbitrum. De functie die verantwoordelijk was voor het uitvoeren van decrease-orders accepteerde een smartcontractadres als parameter in plaats van een standaardwallet.
Tijdens de ETH-refundstap ging de uitvoering over naar het kwaadaardige contract van de aanvaller, wat reentrancy mogelijk maakte die interne prijsdata manipuleerde tot circa 57 keer onder de werkelijke marktprijs.
GMX offered een white-hat bounty van 10 procent, ter waarde van ongeveer 5 miljoen dollar, met een deadline van 48 uur en een dreiging met juridische stappen. De aanvaller gaf ongeveer $37,5 miljoen tot $40,5 miljoen in tranches terug en behield de bounty. GMX ronde later een compensatieplan van $44 miljoen af voor getroffen GLP-houders.
Dat de fondsen zijn teruggegeven, betekent niet dat het systeem heeft gewerkt. White-hatframing, bounty-aanbiedingen en gedeeltelijk herstel kunnen de marktreactie verzachten zonder de onderliggende beveiligingsfout weg te nemen.
De kwetsbaarheid was ironisch genoeg geïntroduceerd tijdens een fix in 2022 voor een eerdere bug. GMX V2 bleef onaangetast.
Ook interessant: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: Wanneer een Crypto-hack Geopolitieke Oorlogsvoering Wordt
In juni 2025 werd Nobitex, de grootste cryptobeurs van Iran, gehackt voor ongeveer $90 miljoen over meerdere blockchains, waaronder Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) en TON (TON).
De pro-Israëlische hackergroep Gonjeshke Darande, ook bekend als Predatory Sparrow, claimde de verantwoordelijkheid.
De aanval vond plaats tijdens actieve militaire vijandelijkheden tussen Israël en Iran.
Dit was geen financieel gemotiveerde diefstal. De gestolen fondsen werden verstuurd naar vanity-burneradressen met anti-IRGC-boodschappen en zonder herstelbare privésleutels — wat neerkomt op het verbranden van $90 miljoen als politiek statement.
De volgende dag publiceerden de aanvallers de volledige broncode, infrastructuurdocumentatie en interne privacy-R&D van Nobitex.
Sommige cryptohacks zijn helemaal geen winstmaximaliserende aanvallen. Het zijn sabotage, signalering of cyberoorlogvoering. Daardoor verschillen ze op vrijwel elk vlak van protocol-exploits: motivatie, methode, nasleep en de onmogelijkheid van herstel. Nobitex meldde daarna een gedeeltelijke hervatting van de activiteiten, maar het volume van inkomende transacties daalde begin juli met meer dan 70 procent jaar-op-jaar.
Ook interessant: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: De Exploit Die DeFi-leningen Raakte via GMX-Gekoppelde Cauldrons
Op 25 maart 2025 leegde een aanvaller ongeveer 6.260 ETH — zo’n $13 miljoen — uit de leenmarkten van Abracadabra Finance, de zogeheten cauldrons. De doelwitten waren cauldrons die GMX V2-liquiditypooltokens als onderpand gebruikten, en de exploit maakte gebruik van een flashloan-ondersteunde zelfliquidatietechniek die profiteerde van fouten in de toestandstracking binnen de gmCauldron-contracten.
De gestolen fondsen werden van Arbitrum naar Ethereum overbrugd. PeckShield was een van de eerste securityfirma’s die het incident signaleerde. GMX bevestigde dat zijn eigen contracten niet waren getroffen.
Abracadabra bood een bug bounty van 20 procent. Dit was de tweede grote hack van het protocol; een exploit van $6,49 miljoen had Abracadabra in januari 2024 geraakt.
De episode illustreert composabiliteitsrisico. Een protocol kan op zichzelf veilig lijken, maar kwetsbaar worden door integraties en afhankelijkheden.
Voor DeFi-gebruikers is wat er “onder de motorkap” zit — welke onderpandsoorten een protocol accepteert, welke externe contracten het aanroept — belangrijker dan het merk waar ze op hoog niveau in storten.
Ook interessant: CFTC And SEC Align On Crypto Haircuts
Hyperliquid en JELLY: Marktstructuurdrama en Vragen over Centralisatie
Op 26 maart 2025 opende een aanvaller een shortpositie van $4,1 miljoen op de illiquide JELLY-memecoin op Hyperliquid, naast twee compenserende longposities, en pompte de spotprijs van de token vervolgens met meer dan 400 procent.
Toen de short werd geliquideerd, erfde de geautomatiseerde HLP-vault van Hyperliquid de onder water staande positie, en het ongerealiseerde verlies van de vault liep op tot ongeveer $13,5 miljoen.
De validators van Hyperliquid sloten daarop alle JELLY-posities geforceerd, met een afrekening tegen de oorspronkelijke short-entry van de aanvaller van $0,0095 in plaats van de $0,50 die externe orakels rapporteerden.
De manoeuvre werd binnen twee minuten uitgevoerd en liet zien dat het protocol slechts vier validators per set gebruikte.
Het schandaal hier is niet alleen het verlies.
Bitget-CEO Gracy Chen noemde Hyperliquid publiekelijk “FTX 2.0”. De total value locked van het protocol stortte in van $540 miljoen naar $150 miljoen in de maand erna en de HYPE-token daalde 20 procent. Hyperliquid stapte later over op on-chain validatorstemmen voor beslissingen over het schrappen van assets.
Wat gebeurt er wanneer een gedecentraliseerde handelsplaats zich in een crisis centraal gedraagt? Die vraag is nuttig voor elk onderzoeksdoel, zelfs wanneer het dollarverlies kleiner is dan bij de grootste breaches. Het legde een geloofwaardigheidsbreuk bloot.
Ook interessant: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: Oneindig Mint-risico en Waarom Lage Liquiditeit een Grotere Bug Kan Maskeren
In juni 2025 kreeg Meta Pool te maken met een smartcontract-exploit die een aanvaller in staat stelde 9.705 mpETH te minten — ongeveer $27 miljoen waard — zonder ETH-onderpand te storten.
De kwetsbaarheid zat in de ERC‑4626-mintfunctie. De aanvaller omzeilde de normale afkoelperiode via de fast-unstakefunctionaliteit van het protocol.
Maar het gerealiseerde verlies bedroeg slechts zo’n $132.000. Door de dunne liquiditeit in de relevante Uniswap-swappools kon de aanvaller maar 52,5 ETH onttrekken.
Een MEV-bot frontrunde een deel van de aanval, haalde ongeveer 90 ETH aan liquiditeit weg en gaf die later terug aan het protocol. De 913 ETH die oorspronkelijk door gebruikers waren gestaked, bleven veilig bij SSV Network-operators.
Soms is de bug veel erger dan het gerealiseerde verlies. Het exploitpad impliceerde hier catastrofale theoretische schade, maar de zwakke liquiditeit beperkte de extractie. Dat onderscheid is belangrijk voor iedereen die DeFi-risico beoordeelt en geeft deze casus meer diepgang dan een simpele rangschikking op basis van dollarverliezen zou suggereren.
Ook interessant: UK Set To Block Crypto Donations
Cork Protocol: a16z-Backed, Toch Geëxploiteerd
Op 28 mei 2025 werd Cork Protocol geëxploiteerd voor ongeveer $12 miljoen. De aanvaller haalde 3.761 wstETH weg door misbruik te maken van fouten in de beforeSwap-logica van de Cork Hook en ontbrekende toegangscontroles.
De hoofdoorzaak was een gebrek aan inputvalidatie in combinatie met permissionless marktcreatie zonder vangrails, waardoor de aanvaller een nepmarkt kon creëren met een legitieme DS-token als aflosasset.
Cork had in september 2024 investeringen ontvangen van a16z crypto en OrangeDAO.
De les is eenvoudig. Institutionele beleggers, top-tier venturecapitalsteun en gelikte branding elimineren technisch risico niet. Lezers moeten de kwaliteit van fundraising niet verwarren met de veiligheid van een protocol, en audits — hoe grondig ook — zijn geen garanties. Alle contracten werden direct na ontdekking gepauzeerd, maar het geld was weg.
Ook interessant: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: Orakelmanipulatie als Terugkerende DeFi-zwakte
In april 2025 verloor KiloEx ongeveer $7 miljoen tot $7,5 miljoen op Base, opBNB en BNB Smart Chain nadat een aanvaller misbruik maakte van een toegangscontroledkwetsbaarheid in het MinimalForwarder-contract van het platform. Het lek stelde iedereen in staat prijsinstellingsfuncties aan te roepen.
De aanvaller manipuleerde het orakel zodat het een absurd lage prijs voor ETH rapporteerde — $100 — bij het openen van leveraged posities, en sloot vervolgens op $10.000.
KiloEx bood een white-hatbounty van 10 procent van $750.000 aan. Vier dagen later gaf de aanvaller alle gestolen fondsen terug en KiloEx kondigde aan geen juridische stappen te zullen ondernemen.
Het platform hervatte de dienstverlening na een pauze van 10 dagen en publiceerde een compensatieplan voor gebruikers van wie de trades open waren gebleven tijdens de onderbreking.
Dit is de duidelijkste casus om orakelrisico uit te leggen. Foute prijsdata kunnen aanvallers in staat stellen posities te openen en te sluiten tegen onjuiste waarden. Veel exploits die worden gepresenteerd als verfijnd, zijn nog steeds gebouwd op oude basisproblemen — slechte prijsfeeds, voorspelbare aannames, gebrekkige validatie. Orakelmanipulatie blijft een van de hardnekkigste zwaktes van DeFi.
Ook interessant: Gold's WorstWeek Since 1983
What the Pattern Reveals
De 10 bovenstaande gevallen verschillen in mechanisme, schaal en motief. Maar ze delen eenzelfde structureel patroon.
De financieel meest verwoestende incidenten — Bybit en Resolv — werden helemaal niet veroorzaakt door on-chain bugs. Het waren falen op infrastructuurniveau: in het ene geval een gecompromitteerde ontwikkelaarsmachine, in het andere een enkele, onbeschermde minting-sleutel die in cloudinfrastructuur was opgeslagen. De schade was in beide gevallen catastrofaal juist omdat er gecentraliseerde vertrouwenspunten bestonden op plekken waar gebruikers aannamen dat die er niet waren.
Protocol-level exploits zoals Cetus en GMX hadden wel te maken met codebugs, maar de omvang van de schade werd bepaald door de governance-respons — of validators tegoeden konden bevriezen, of bounty-onderhandelingen slaagden en of actoren in het ecosysteem bijsprongen met noodfinanciering.
Nobitex was in geen enkele zin een protocol-exploit; het was een daad van geopolitieke sabotage.
Het totale beeld stemt niet optimistisch. Minder incidenten betekenen niet minder schade. De gemiddelde ernst neemt toe. Noord-Korea alleen al accounted voor meer dan $2 miljard aan diefstal in 2025, een jaar-op-jaar stijging van 51 procent.
De belangrijkste security-perimeter in crypto is verschoven van on-chain logica naar off-chain infrastructuur, sleutelbeheer en menselijke operationele beveiliging.
Voor particuliere gebruikers, tokeninvesteerders en protocolteams wijst de data in dezelfde richting. De vraag is niet langer of de smart contracts van een protocol zijn geaudit. De vraag is waar de geconcentreerde vertrouwenspunten zitten — en wat er gebeurt als die breken.
Read Next: Bitcoin Mining Difficulty Falls 7.76%