Phantom-wallet onder vuur: hoe één lek een hele memecoin liet crashen
Phantom, de populairste Solana-wallet, ligt onder vuur na een hack waarbij voor meer dan $500.000 aan WIENER-tokens werd gestolen. Volgens een groep gedupeerde investeerders komt dat door een ernstig beveiligingslek in de wallet zelf. Ze eisen nu ruim $3,1 miljoen aan schadevergoeding.
Sleutels opgeslagen in je browser?
De aanklagers, onder wie crypto-advocaat Thomas Liam Murphy, stellen dat Phantom privésleutels opslaat in het actieve geheugen van je browser. Zonder encryptie. Daardoor zou malware eenvoudig toegang krijgen tot je wallet, zonder dat er extra beveiliging — zoals tweefactorauthenticatie — nodig is.
Volgens de aanklacht gebruikte een hacker precies dat lek om toegang te krijgen tot Murphy’s drie gekoppelde Phantom-wallets. De aanvaller wist zijn privésleutel uit het RAM-geheugen van zijn browser te trekken en kon zo zonder drempels aan de haal met zijn crypto.
$500.000 aan WIENER-tokens verkocht voor een prikkie
De schade bleef niet beperkt tot één wallet. De hacker gebruikte de ingebouwde Swapper van Phantom om alle WIENER-tokens om te zetten naar SOL. Het resultaat: ruim een half miljoen dollar aan tokens werd in één klap geliquideerd voor slechts $37.000.
Daardoor kelderde de hele marktwaarde van het WIENER-project, dat ooit een piek van $3,1 miljoen bereikte. Volgens de aanklacht heeft Phantom geen systemen om verdachte transacties, plotselinge liquidaties of vreemde locaties te herkennen en blokkeren.
Phantom: “Niet onze schuld”
Murphy schakelde direct Phantom in, maar kreeg te horen dat hij als gebruiker zelf verantwoordelijk is voor zijn sleutels. De wallet is immers non-custodial, wat betekent dat Phantom de crypto niet voor je beheert. Wat je ermee doet — of kwijtraakt — ligt dus bij jou.
Toch stellen de aanklagers dat Phantom zijn beveiliging veel rooskleuriger presenteert dan die in werkelijkheid is. Ze noemen het misleidend dat er nergens melding wordt gemaakt van deze fundamentele kwetsbaarheid.
OKX ook genoemd in aanklacht
De rechtszaak noemt ook OKX, een crypto-exchange waarmee Phantom sinds november 2024 samenwerkt. Volgens de eisers heeft Phantom die samenwerking niet voldoende duidelijk gecommuniceerd, terwijl OKX recent nog schuldig pleitte in een Amerikaanse zaak rond $5 miljard aan verdachte transacties.
De groep vindt dat Phantom functioneert als een handelsplatform — zonder zich aan de bijbehorende regelgeving te houden. Ze beschuldigen het bedrijf van schijnbare decentralisatie om toezicht te omzeilen.
Phantom reageert afwijzend
In een korte reactie laat Phantom weten de aanklacht “volledig ongegrond” te vinden. Het bedrijf benadrukt dat gebruikers volledige controle hebben over hun crypto, en dat het regelmatig samenwerkt met opsporingsdiensten bij criminele activiteiten. Ook biedt de app volgens hen educatie over veilig gebruik van crypto.
Een inhoudelijke reactie op de beschuldigingen is er nog niet. OKX heeft vooralsnog ook niet gereageerd.
Wat is een non-custodial wallet?
Bij een non-custodial wallet beheer je zelf je privésleutels. Je hebt de volledige controle over je crypto — maar dus ook alle verantwoordelijkheid. Wordt je sleutel gestolen of raak je ’m kwijt? Dan ben je je coins kwijt, zonder vangnet.
