De Web3-sector heeft in het eerste kwartaal van 2026 in totaal 464,5 miljoen dollar verloren door hacks en oplichting. Dat blijkt uit een rapport van blockchainbeveiligingsbedrijf Hacken. De extreem grote hacks van miljarden dollars bleven uit, maar het aantal middelgrote incidenten nam juist toe. Opvallend: niet technologie maar mensen waren de zwakste schakel.
Phishing en social engineering waren verantwoordelijk voor 306 miljoen dollar aan verliezen, ruim twee derde van het totaal. Bij deze aanvallen worden gebruikers misleid via nepberichten, valse investeringsgesprekken of nagemaakte websites.
Eén incident in januari sprong eruit. Een aanval gericht op gebruikers van hardware wallets, apparaten die juist bedoeld zijn om crypto extra veilig te bewaren, was goed voor 282 miljoen dollar. Dat ene incident vormde daarmee meer dan de helft van alle schade in het hele kwartaal.
Naast oplichting speelden ook technische fouten een rol. Kwetsbaarheden in smart contracts veroorzaakten 86,2 miljoen dollar aan schade. Problemen met toegangsbeheer, zoals gestolen sleutels of gehackte cloudsystemen, leidden tot nog eens 71,9 miljoen dollar aan verliezen.
Opvallend is dat ook projecten die meerdere beveiligingsaudits hadden doorlopen kwetsbaar bleken. Zes gecontroleerde projecten waren samen goed voor 37,7 miljoen dollar aan verliezen. Truebit verloor 26,4 miljoen door een verouderde softwarefout. Venus Protocol werd getroffen door een al langer bekende kwetsbaarheid. Resolv Labs raakte 25 miljoen kwijt via een lek in een cloudbeheersysteem.
Een audit is dus geen garantie. Grotere projecten met veel kapitaal trekken volgens Hacken juist geavanceerdere aanvallen aan.
Noord-Koreaanse hackersgroepen vormen nog altijd een van de grootste bedreigingen voor de sector. Zij gebruiken steeds geavanceerdere methodes, waaronder nep-investeringsdeals en gemanipuleerde videogesprekken. Een aanval op Step Finance leidde tot een verlies van 40 miljoen dollar.
In 2025 zouden Noord-Koreaanse groepen al meer dan 2 miljard dollar hebben buitgemaakt. De recente hack bij DeFi-platform Drift, waarbij bijna 300 miljoen dollar werd gestolen via maandenlange sociale infiltratie op conferenties, past in datzelfde patroon.
Ondanks het hoge totaalbedrag behoort dit kwartaal tot de minst schadelijke eerste kwartalen sinds 2023. Dat komt vooral doordat een megahack zoals bij Bybit in 2025, waarbij 1,46 miljard dollar verdween, uitbleef.
Maar de trend is duidelijk. Aanvallers richten zich steeds minder op de blockchain zelf en steeds meer op mensen en ondersteunende systemen. De duurste incidenten vinden plaats buiten de codelaag: in IT-infrastructuur, operationele processen en bij medewerkers die worden misleid.
Volgens Hacken moeten bedrijven incidenten binnen 24 uur herkennen, binnen 4 uur analyseren en binnen 30 seconden blokkeren. De sector wordt professioneler, maar de aanvallers ook.
De voormalig CTO van Ripple waarschuwt voor ‘de ergste beveiligingsfout’ die hij hooit heeft gezien met grote gevaren voor crypto.
Cybercriminelen gebruiken kunstmatige intelligentie (AI) steeds vaker voor geavanceerde digitale aanvallen.
Kort na de aanval stuurde Renegade.fi een on-chain bericht naar de hacker met het verzoek om 90% van de gestolen fondsen terug te geven.
MSC laat zijn grote containerschepen de Straat van Hormuz mijden door in Jeddah te lossen. Vrachtwagens overbruggen vervolgens 1.300 kilometer over land.
Met 1.000 euro in ASML-aandelen een jaar geleden had je nu ongeveer 2.100 euro. Het aandeel verdubbelde door aanhoudende AI-vraag.
Eerst min 10 procent, nu in de plus: olieprijs reageert direct op WSJ-bericht dat Iran het Hormuz-voorstel afwijst.
