Wereldwijd verloor de cryptosector in het eerste kwartaal van 2026 circa 464 miljoen dollar door hacks en oplichting. Het gaat om incidenten bij beurzen, wallets en vooral DeFi‑protocollen. Aanvallen worden complexer en verlopen vaak geautomatiseerd. De Europese AI‑verordening en MiCA bepalen intussen de gevolgen voor overheid en aanbieders in de EU.
Hacks kosten 464 miljoen
In drie maanden liep de schade op tot ongeveer 464 miljoen dollar aan digitale activa. Het gaat om diefstal via kwetsbaarheden in smart contracts, phishing en misbruik van beheersleutels. Ook cross‑chain bridges bleken opnieuw een doelwit. Deze bruggen verbinden blockchains, maar vergroten ook het aanvalsoppervlak.
Een deel van de fondsen wordt snel verplaatst via mixers en meerdere netwerken. Dat belemmert opsporing en bevriezing. Stablecoin‑uitgevers en beurzen kunnen soms tokens blokkeren. Volledig herstel van schade blijft echter zeldzaam.
Analyses komen uit openbare incidentdatabases en forensische tools. De “REKT”‑database van De.Fi bundelt bijvoorbeeld bekende hacks en rug pulls. Zulke overzichten geven trends, maar missen soms kleinere of nog niet gemelde zaken. Het werkelijke bedrag kan daarom hoger liggen.
In Q1 2026 ging circa 464 miljoen dollar aan cryptovermogen verloren door hacks en scams.
DeFi blijft grootste risico
Decentrale financiële apps (DeFi) leunen op smart contracts, geautomatiseerde code op de blockchain. Fouten in die code leiden direct tot verlies van tegoeden. Audits helpen, maar dekkingsgraad en kwaliteit verschillen. Hergebruik van kwetsbare code vergroot het risico.
Cross‑chain bridges voegen complexiteit toe. Elke extra keten introduceert nieuwe afhankelijkheden. Aanvallers zoeken naar kleine fouten in validatie of sleutelbeheer. Eén lek kan miljoenen verplaatsen in minuten.
Ook oracles en governance spelen mee. Oracles leveren prijsdata; manipulatie kan leningen of liquidaties verstoren. Bij governance‑aanvallen misbruiken aanvallers stemrechten of tijdsloten. Zo worden parameters aangepast voordat iemand het merkt.
Een veelgebruikte techniek is de flash loan. Dit is een lening die binnen één transactie wordt terugbetaald. Aanvallers combineren zo grote tijdelijke liquiditeit met een kwetsbare prijsfeed. Het resultaat is snelle winst en lege kluizen.
Europa scherpt regels aan
MiCA is in de EU van kracht en legt eisen op aan aanbieders van cryptodiensten (CASP’s). Denk aan beurzen en wallet‑providers die in Nederland onder toezicht van DNB en de AFM vallen. Zij moeten risico’s beheersen, klanten beschermen en incidenten melden. Niet‑nakomen kan leiden tot sancties en verlies van vergunningen.
De DORA‑verordening geldt voor financiële instellingen sinds 2025. Deze wet verplicht sterk ICT‑risicobeheer, penetratietests en rapportage van grote storingen en cyberaanvallen. Samen met TIBER‑EU‑tests moeten organisaties hun weerbaarheid aantonen. Dit raakt ook partijen die crypto‑diensten aan banken leveren.
NIS2 breidt cybersecurity‑plichten uit naar meer sectoren, inclusief digitale aanbieders. Bedrijven moeten ernstige incidenten snel melden en basismaatregelen aantoonbaar op orde hebben. In Nederland is naleving verplicht via nieuwe wetgeving. Niet melden kan hoge boetes opleveren.
De Europese AI‑verordening raakt toezicht en opsporing wanneer algoritmen beslissingen sturen. Voor overheid en toezichthouders betekent dit transparantie en menselijk toezicht bij hoog risico. Bedrijven die AI inzetten voor fraudedetectie moeten uitleg kunnen geven. Dat geldt ook voor de gevolgen voor overheid en burgers bij geautomatiseerde screening.
Snellere detectie met algoritmen
Blockchain‑analysebedrijven gebruiken machine learning om verdachte stromen te herkennen. Chainalysis (Reactor), TRM Labs en Elliptic leveren tools die adressen scoren en netwerken in kaart brengen. Beurzen koppelen deze signalen aan realtime screening. Zo kunnen ze opnames pauzeren en onderzoek starten.
De kern is graafanalyse: verbanden tussen adressen worden als netwerk bekeken. Heuristieken groeperen wallets die waarschijnlijk bij één partij horen. Zo ontstaat een kaart van geldstromen na een hack. Dit ondersteunt opsporing en civiele claims.
De methode heeft grenzen. Mixers, privacy‑munten en cross‑chain swaps vervagen sporen. Snelle arbitrage over meerdere ketens versnelt witwassen. Daardoor blijft een deel van de buit buiten bereik.
Toch groeit de samenwerking met toezichthouders en opsporingsdiensten. Sanctielijsten en bevriezingsfuncties bij stablecoins maken het lastiger om buit te verplaatsen. Herstelpercentages stijgen bij snelle melding en blokkade. Volledige compensatie is echter niet gegarandeerd.
Wat bedrijven nu moeten doen
Zet sleutelbeheer op orde met multi‑sig of MPC‑oplossingen. Scheid beheersleutels van productie en beperk rechten. Monitor alle transacties en stel limieten in. Oefen incidentrespons met realistische scenario’s.
Investeer in veilige ontwikkeling en onafhankelijke audits. Partijen als OpenZeppelin, Trail of Bits en CertiK testen code en infrastructuur. Gebruik tools zoals Slither, Echidna of Certora voor formele verificatie. Automatiseer checks in de build‑pipeline.
Start een bug bounty via platforms als Immunefi. Beloners trekken ethische hackers aan en verlagen de kans op stille exploits. Leg een helder responsproces vast met contactpunten en tijdslijnen. Bewaar forensische logs versleuteld en onveranderlijk.
Regel de compliance‑basis voor de EU. Meld ernstige incidenten snel bij de juiste autoriteit (op het moment van schrijven: DNB/AFM, CSIRT‑knooppunt of toezichthouder onder DORA/NIS2). Documenteer beslissingen van AI‑gestuurde detectie voor controle achteraf. Werk samen met politie en verzekeraars om herstel te versnellen.
Nederlandse impact en toezicht
Voor Nederlandse aanbieders geldt registratie en vergunningplicht onder MiCA. De Nederlandsche Bank en de Autoriteit Financiële Markten houden toezicht. Dat vraagt om aantoonbare klantbescherming, risicobeheer en transparantie. Zonder deze basis mogen diensten niet worden aangeboden.
Publieke instellingen die crypto bewaren of verwerken vallen onder de AVG. Dataminimalisatie en versleuteling zijn verplicht. Bij een datalek kan naast financieel verlies ook privacyschade ontstaan. Meldplichten richting Autoriteit Persoonsgegevens blijven gelden.
Overheden die AI inzetten voor handhaving moeten voldoen aan de AI‑verordening. Transparantie, uitlegbaarheid en menselijk toezicht zijn kernpunten. Inkoop van algoritmen vraagt daarom extra due diligence. Dit vermindert juridische risico’s en verhoogt vertrouwen bij burgers.
De optelsom is duidelijk. Financiële schade door hacks blijft hoog, maar is te beperken met solide techniek en strakker toezicht. Europese kaders als MiCA, DORA, NIS2 en de AI‑verordening dwingen die beweging af. Wie nu investeert in weerbaarheid, staat sterker bij het volgende incident.
