De eerste drie maanden van 2025 waren rampzalig voor de cryptosector. In totaal werd er wereldwijd voor meer dan $2 miljard buitgemaakt door hackers. De grootste klap viel bij Bybit, waar alleen al $1,4 miljard verdween door een lek in de toegangsbeveiliging.

De zwakke plekken zitten niet in de blockchain

Hoewel veel mensen denken dat hackers zich vooral richten op fouten in slimme contracten (smart contracts), blijkt de realiteit anders. Volgens het cybersecuritybedrijf Hacken komt het grootste deel van de schade juist door gebrekkige toegangscontrole. Slecht ingerichte rechten, zwakke beveiliging van accounts en fouten in interfaces maken het hackers vaak té makkelijk.

De Bybit-hack is daar een schoolvoorbeeld van. Criminelen wisten via een lek in de Safe{Wallet}-interface miljarden weg te sluizen. Naar verluidt gaat het om een groep Noord-Koreaanse hackers die meer dan 11.000 wallets gebruikt om het gestolen geld wit te wassen.

Wat het extra wrang maakt: in heel 2024 werd er in totaal voor $2,25 miljard gestolen. In één kwartaal zitten we daar nu al bijna aan.

Multisig-wallets: veiligheid die averechts werkt?

Opvallend is dat dit al het derde kwartaal op rij is waarin een multisig-wallet betrokken is bij de grootste hack. Zo’n wallet vraagt normaal om meerdere goedkeuringen voor een transactie — een extra laag beveiliging dus. Maar als de implementatie niet klopt, of de front-end slecht beveiligd is, kan het juist een zwakke plek worden.

Ook Radiant Capital en WazirX werden eerder al op vergelijkbare wijze getroffen. De les? Een wallet met meerdere sleutels is alleen veilig als het hele systeem klopt — van interface tot machtigingen.

Scams zijn steeds professioneler

Naast technische hacks blijft ook oplichting een grote bedreiging. In Q1 2025 werd er $96 miljoen buitgemaakt via phishing en nog eens $300 miljoen via zogeheten rug pulls, waarbij ontwikkelaars van projecten plotseling met het geld van investeerders verdwijnen.

Wat echt zorgen baart, is hoe professioneel sommige scam-netwerken te werk gaan. Ze werken met trainingsprogramma’s, targets en complexe witwasconstructies via platforms zoals Huione Pay. Die site — inmiddels berucht als digitale marktplaats voor criminele diensten — zag zijn geldstromen het afgelopen halfjaar met meer dan 50% stijgen, mede dankzij een eigen stablecoin.

Veel van deze scams, waaronder de bekende pig butchering-oplichting (waarbij slachtoffers langdurig worden gemanipuleerd), komen uit Zuidoost-Azië. Criminele bendes in landen als Cambodja, Laos en Myanmar zetten vaak jonge mensen uit armere landen in — vaak onder dwang of valse beloftes.

Wat kun je als crypto-investeerder doen?

De grote les uit dit kwartaal? Het maakt niet uit hoe groot of professioneel een platform is — als de beveiliging rammelt, ben je kwetsbaar. Eén fout in een interface of een verkeerd ingestelde wallet kan genoeg zijn om miljoenen te verliezen.

Wil je zelf veiliger omgaan met crypto? Let dan niet alleen op de technologie achter je wallet, maar vooral op je toegangsbeveiliging, machtigingen, en de tools die je gebruikt. Vertrouw niet blind op platforms en wees kritisch op alles wat met je crypto te maken heeft.