Hack bij Foom Cash: white hat redt miljoenen na fout in zero-knowledge code

De hack bij Foom Cash laat opnieuw zien hoe kwetsbaar DeFi kan zijn, maar ook hoe snel de sector reageert. Het anonieme loterijprotocol verloor $2,26 miljoen door een technische fout in de code. Dankzij een white hat hacker kreeg het project uiteindelijk $1,84 miljoen terug. Dat is ruim 80% van het gestolen bedrag.

Voor crypto-investeerders is dit meer dan een incident. Het onderstreept hoe belangrijk beveiliging, bug bounties en snelle interventie zijn in de wereld van decentralized finance.

Wat gebeurde er bij Foom Cash?

Foom Cash is een gedecentraliseerd en anoniem loterijprotocol dat gebruikmaakt van zero-knowledge proofs. Dat is een cryptografische techniek waarmee iemand kan bewijzen dat iets klopt zonder de onderliggende gegevens te onthullen. In dit geval maakt het anonieme deelname aan een loterij mogelijk.

De exploit ontstond door een fout tijdens de implementatie van een zogeheten Groth16-verifier. Groth16 is een veelgebruikte methode om zero-knowledge proofs te controleren. Tijdens de zogenoemde Phase 2 trusted setup werd een cruciale stap overgeslagen in de command-line interface. Daardoor bleven belangrijke cryptografische parameters op een standaardwaarde staan.

Die fout gaf een aanvaller de mogelijkheid om vervalste bewijzen aan te leveren die het protocol toch accepteerde. Het systeem controleerde de proofs, maar deed dat op basis van niet goed gerandomiseerde parameters. Foom Cash sprak zelf van een fatale implementatiefout.

Hoe de white hat ingreep

De situatie had erger kunnen aflopen. Een pseudonieme white hat hacker met de naam Duha ontdekte de kwetsbaarheid op tijd. In plaats van deze te misbruiken, beveiligde hij fondsen op Base voordat kwaadwillenden dat konden doen.

Bron: Foom Cash

Een white hat hacker is een ethische hacker die zwakke plekken opspoort en meldt in ruil voor een beloning. Veel crypto-projecten werken met een bug bounty-programma, waarbij ze hackers betalen voor het vinden van kwetsbaarheden.

Naast Duha hielp beveiligingsplatform Decurity bij het terughalen van fondsen op Ethereum. Samen wisten zij $1,84 miljoen veilig te stellen. Foom Cash betaalde Duha een beloning van $320.000. Decurity ontving $100.000 voor zijn rol in het herstelproces.

Dat Foom Cash de bounty daadwerkelijk uitbetaalde, versterkt het vertrouwen in het project. Het laat zien dat het team beveiliging serieus neemt en samenwerkt met security-onderzoekers.

White hats spelen steeds grotere rol in DeFi

DeFi blijft een aantrekkelijke doelgroep voor hackers. Aanvallers verplaatsen gestolen crypto vaak razendsnel via bridges of privacytools naar andere blockchains. Snelle detectie maakt dan het verschil tussen volledig verlies en gedeeltelijk herstel.

In augustus 2023 richtte beveiligingsonderzoeker Samczsun samen met andere experts het collectief SEAL op, wat staat voor Security Alliance. Binnen het eerste jaar behandelde die groep al honderden hack-gerelateerde zaken.

Op 10 februari 2026 sloot de Ethereum Foundation zich aan bij SEAL voor het initiatief Trillion Dollar Security. Daarmee willen zij onder meer wallet drainers aanpakken. Dat zijn schadelijke programma’s die ongemerkt cryptowallets leegtrekken.

De sector professionaliseert dus zichtbaar. Toch blijft elke nieuwe exploit een reminder dat één fout in de code miljoenen kan kosten.

Wat betekent dit voor crypto-investeerders?

Voor beleggers draait dit verhaal om risicobeheer. Technisch complexe protocollen brengen altijd kwetsbaarheden met zich mee. Zelfs een kleine fout tijdens een implementatie kan grote gevolgen hebben.

Tegelijkertijd laat dit incident zien dat sterke bug bounty-programma’s en actieve securityteams echt verschil maken. Een goed georganiseerd ecosysteem kan schade beperken en vertrouwen herstellen.

Wie in DeFi investeert, doet er verstandig aan te kijken naar audits, bug bounties en hoe een project communiceert bij incidenten. Transparantie en snelle actie zijn minstens zo belangrijk als hoge rendementen.

Conclusie

De hack bij Foom Cash kostte miljoenen, maar dankzij een white hat hacker kwam het grootste deel van het geld terug. Het incident benadrukt hoe kwetsbaar DeFi blijft, maar ook hoe volwassen de beveiligingsaanpak wordt.

Voor Nederlandse crypto-investeerders blijft de les helder: innovatie en risico gaan hand in hand. Goede beveiliging maakt het verschil tussen een fataal verlies en een beheersbare crisis.

Veelgestelde vragen

Wat is een zero-knowledge proof?
Een zero-knowledge proof is een cryptografische methode waarmee iemand kan aantonen dat een bewering klopt zonder gevoelige informatie prijs te geven. Het wordt veel gebruikt in privacygerichte crypto-projecten.

Wat is een bug bounty?
Een bug bounty is een beloningsprogramma waarbij projecten hackers betalen om beveiligingsfouten te vinden en te melden. Zo stimuleren ze verantwoord onderzoek in plaats van misbruik.

Is DeFi veilig na zulke hacks?
DeFi blijft risicovol door de technische complexiteit. Tegelijkertijd investeren projecten steeds meer in audits, bug bounties en samenwerkingen met securityteams om risico’s te verkleinen.