Top crypto-hacks van 2025: incidenten die de zwakke punten van de industrie blootlegden

2025 was een belangrijk jaar voor de crypto-industrie, maar het kwam als een tweesnijdend zwaard als je naar het grotere geheel kijkt.

Enerzijds is de sector volwassen geworden qua institutionele adoptie, met een recordaantal fusies en overnames.

Er waren 267 deals ter waarde van in totaal 8,6 miljard dollar, wat het een winstgevend jaar maakte voor degenen die aan de juiste kant van de handel stonden.

Aan de andere kant bereiken verliezen door hacks en exploits een recordhoogte, wat blootlegt hoe ver de sector nog moet gaan op het gebied van beveiliging.

Gegevens van beveiligingsbedrijven zoals SlowMist en CertiK meldden dat het aantal beveiligingsincidenten met 50% daalde ten opzichte van het jaar, van meer dan 400 in 2024 tot ongeveer 200 in 2025.

Maar de omvang van de financiële verliezen vertelt een ander verhaal. Het totaal aantal gestolen fondsen steeg met 55% ten opzichte van het voorgaande jaar, tot meer dan 3,4 miljard dollar.

Hoewel basisbeveiligingshygiëne, zoals routinematige smart contract-audits en geautomatiseerde bugdetectie, met succes het laaghangende fruit elimineert dat amateurhackers vroeger als doelwit hadden, is de aard van aanvallen fundamenteel veranderd.

Moderne aanvallers zoeken niet langer breed naar kleine protocolkwetsbaarheden.

In plaats daarvan besteden geprofessionaliseerde groepen, met name de Noord-Koreaanse Lazarus Group, maanden aan verkenning en infrastructuurinfiltratie om enkele, catastrofale aanvallen uit te voeren.

De industrie kampt nu met een kwaliteitscrisis boven kwantiteit, waarbij minder aanvallen plaatsvinden, maar de aanvallen die wel plaatsvinden veel schadelijker zijn.

Nu 2026 begint, volgt hier een terugblik op vier van de grootste beveiligingsincidenten van 2025, die veel van de zwakke punten van de sector blootlegden.

Bybit Exchange: $1,5 miljard

Het grootste incident van het jaar vond plaats bij de in Dubai gevestigde crypto exchange Bybit, die de grootste bevestigde diefstal ooit werd die werd gelinkt aan de door de staat gesteunde Lazarus Group van Noord-Korea.

Aanvallers brachten maanden door met het opbouwen van vertrouwen bij een ontwikkelaar bij Safe{Wallet}, een toonaangevende multisig-infrastructuurprovider, voordat ze erin slaagden een kwaadaardig Docker-project te introduceren dat stilletjes een persistent achterdeurtje vestigde.

Eenmaal binnen injecteerden de aanvallers kwaadaardige JavaScript in de frontendcode van de Safe wallet-interface die wordt gebruikt door het interne ondertekeningsteam van Bybit.

Terwijl Bybit-bestuurders inlogden om wat op routinematige interne transacties leek te ondertekenen, toonde de gebruikersinterface de juiste walletadressen en bedragen.

Op codeniveau werd het bestemmingsadres echter stilletjes verwisseld voor door aanvallers gecontroleerde wallets.

Ongeveer $1,46 tot $1,5 miljard aan ETH werd verbruikt, wat een groot aantal gebruikers trof die werden blootgesteld aan een van de ernstigste beveiligingsfouten die de sector ooit heeft gezien.

Het incident bracht een cruciaal zwakke plek in de industrie aan het licht rond UI-vertrouwen, en benadrukte dat hardwarewallets en multisig-drempels weinig bescherming bieden als de softwarelaag die de transactiedetails presenteert is gecompromitteerd.

En Bitcoin-walvis: $330 miljoen

In april werd een Bitcoin-walvis uit het Satoshi-tijdperk, die zijn munten al meer dan tien jaar onaangeroerd hield, het slachtoffer van een verwoestende social engineering-aanval die resulteerde in het verlies van 3.520 BTC, destijds ter waarde van ongeveer 330,7 miljoen dollar.

Het incident werd de geschiedenis in geschreven als de grootste individuele diefstal in de geschiedenis van de industrie, zoals werd gekaderd door de on-chain speurder ZachXBT.

In tegenstelling tot aanvallen die code targeten, gebruikte deze AI-gestuurde deepfakes en stemklonen als wapen om de psychologische verdediging van het slachtoffer over een periode van enkele maanden te omzeilen.

De daders, vermoedelijk een georganiseerd syndicaat dat opereerde vanuit een geavanceerd callcenter in Camden, VK, onder aliassen als "Nina" en "Mo", bouwden een vals gevoel van veiligheid op bij het oudere slachtoffer door zich voor te doen als vertrouwde juridische en technische adviseurs.

Uiteindelijk stuurden de aanvallers het slachtoffer naar een nep "beveiligingsverificatie"-portaal dat de officiële supportsite van een bekende walletprovider nabootste, waar het slachtoffer werd gemanipuleerd om zijn privégegevens in te voeren of een specifieke transactie op zijn hardwareapparaat te ondertekenen onder het mom van een "accountupgrade". De fondsen werden direct overgeplaatst.

Fondsen werden snel witgewassen via "peel chains" en omgezet in de privacymunt Monero (XMR), wat leidde tot een prijsstijging van 50% in Monero door de plotselinge, enorme vraag.

Het incident bracht uiteindelijk de extreme kwetsbaarheid bloot van vermogende personen zonder institutionele voogdijdiensten, en toonde aan dat geen enkele hoeveelheid encryptie activa kan beschermen als de menselijke laag effectief wordt gemanipuleerd.

Cetus Protocol exploit: $223 miljoen

Het Cetus-protocol, het grootste gedecentraliseerde netwerk op het Sui-netwerk, werd in mei misbruikt vanwege een technisch defect in de smart contract-logica.

De exploiter identificeerde een kritieke rekenkundige fout in een gedeelde open-source wiskundige bibliotheek die wordt gebruikt voor liquiditeitsberekeningen, waardoor ze ongeveer $223 miljoen aan liquiditeitsactiva konden aftappen.

Specifiek was de functie ontworpen om vaste kommataltalen veilig te schalen door ze 64 bits naar links te verschuiven.

Echter, het bevatte een logische fout in zijn overflowcontrole. De vergelijking gebruikte een masker dat te groot was, waardoor bitgewijze verschuivingen mogelijk waren die eigenlijk afgewezen hadden moeten worden.

Door een flashlening te gebruiken om een liquiditeitsaanbiederpositie te creëren met een extreem smal tick-bereik, veroorzaakte de aanvaller een rekenkundige overflow, meer precies een bitwise afkap, waardoor het contract een vereiste storting van slechts 1 eenheid van een token berekende, terwijl de aanvaller nog steeds enorme liquiditeit kreeg.

De aanvaller verwijderde vervolgens simpelweg de liquiditeit en claimde de reële reserves van de pool op basis van de valselijk opgeblazen boekhouding.

Hoewel Sui-validatoren erin slaagden een noodbevriezing van $162 miljoen van de activa te coördineren voordat ze konden worden overbruggd, bleef het nettoverlies in 2025 een van de grootste behoren.

Het bewees aan het gedecentraliseerde financiële ecosysteem dat moderne, op veiligheid gerichte talen zoals Move niet van nature immuun zijn voor wiskundige bugs, en bevestigde dat wiskundige strengheid een niet-onderhandelbare vereiste blijft in protocolontwerp.

Balancer V2: $128 miljoen

Balancer kreeg in november een geavanceerde economische engineering-exploit te verwerken over meerdere ketens (Ethereum, Arbitrum en Base), toen een aanvaller erin slaagde een klein verschil in de manier waarop het protocol precisie-afronding tijdens interne swaps omging als wapen te gebruiken.

De Composable Stable Pools van Balancer maakten gebruik van verschillende afrondingsrichtingen voor het op- en afschalen van tokenbedragen om de Invariant van het protocol te beschermen, die dient als wiskundig anker voor het StableSwap-algoritme, zodat de pool een constante totale waarde en evenwicht behoudt tijdens activa-uitwisselingen.

De aanvaller ontdekte dat door poolbalansen in een specifiek 8 tot 9 Wei-bereik te plaatsen, ze de gehele deling tot 10% van de waarde konden laten dalen door afrondingsfouten.

Vervolgens initieerde de aanvaller met een geautomatiseerd contract een enkele transactie met meer dan 65 micro-swaps.

Elke ruil haalde herhaaldelijk een paar Wei van waarde af, waardoor het precisieverlies werd versterkt totdat de interne boekhouding van de pool volledig verstoord was.

Daardoor konden ze profiteren van het samengestelde precisieverlies totdat de interne boekhouding van de pool volledig verstoord was, waarna ze LP-tokens konden slaan tegen een onderdrukte prijs en deze direct voor hun volledige waarde konden inwisselen, miljoenen konden ophalen zonder een van de veiligheidscontroles van het protocol te activeren.