Gekaapte accounts nemen het over van smart contract-hacks als grootste DeFi-dreiging
Voor het eerst zijn gekaapte accounts verantwoordelijk voor meer dan de helft van alle DeFi-aanvallen — meer dan klassieke smart contract-exploits. Een recente governance-hack bij Bonk DAO laat zien hoe dit in de praktijk werkt.
Het karakter van DeFi-hacks is dit jaar structureel veranderd. Voor het eerst zijn gekaapte accounts verantwoordelijk voor meer dan de helft van alle DeFi-aanvallen, gemeten naar aantal incidenten — daarmee zijn ze de klassieke smart contract-exploit voorbijgestreefd als belangrijkste aanvalsvector. Alleen al in de eerste vier maanden van 2026 verloren DeFi-protocollen meer dan $750 miljoen (≈€655,9 miljoen) aan exploits; met mei en (deels) juni meegerekend loopt de teller op tot ruim $840 miljoen (≈€734,6 miljoen).
In het kort 🔓 Gekaapte accounts zijn nu goed voor >50% van alle DeFi-aanvallen — meer dan smart contract-bugs 💸 In 2026 is al ruim $840 mln (≈€734,6 mln) verloren aan DeFi-exploits 🗳️ Op 6 juli werd Bonk DAO getroffen door een gekaapte governance-stemming, goed voor ≈$20 mln (≈€17,5 mln) schade 🎭 De aanvaller verstopte een schadelijke opdracht in een stemvoorstel en kocht vooraf stemrecht op grote exchanges 🕵️ Chainalysis koppelt ≈76% van alle crypto-hackschade in 2026 aan aan de staat gelieerde actoren zoals de Lazarus Group 🛡️ Voor gebruikers wordt walletbeveiliging en waakzaamheid bij governance-stemmingen steeds belangrijker
Van smart contract-bugs naar gekaapte accounts
Jarenlang lag de nadruk in DeFi-beveiliging op het vinden van fouten in smart contract-code. Dat blijft een risico, maar 2026 laat een duidelijke verschuiving zien: meer dan de helft van alle DeFi-aanvallen dit jaar verloopt inmiddels via gekaapte of gecompromitteerde accounts, in plaats van via technische bugs in de onderliggende code. Onderzoekers van Chainalysis schrijven daarnaast ongeveer 76% van de wereldwijde crypto-hackschade in 2026 toe aan actoren die banden hebben met de Lazarus Group, een groep die wordt gelinkt aan de Noord-Koreaanse staat.
De Bonk DAO-hack als praktijkvoorbeeld
Op 6 juli 2026 werd de Bonk DAO getroffen door precies dit type aanval. Via een kwaadaardig governance-voorstel — intern aangeduid als BIP #76 — wist een aanvaller ongeveer 4.426 miljard tokens (ter waarde van circa $20 miljoen, ≈€17,5 miljoen) uit de treasury van de gemeenschap te onttrekken. De aanvaller verborg een schadelijke smart contract-opdracht in de tekst van het voorstel zelf en kocht voorafgaand aan de stemming ongeveer 88,23 miljard BONK-tokens op grote exchanges zoals Binance en Bybit om voldoende stemgewicht te verzamelen.
Deze werkwijze omzeilt de klassieke code-audit: het onderliggende smart contract kan technisch correct zijn, terwijl de aanval toch slaagt omdat de governance-stemming zelf wordt gemanipuleerd. Voor meer over veelvoorkomende crypto-scamtechnieken, zie dit artikel over pig butchering-scams.
Wat dit betekent voor gebruikers
Voor particuliere beleggers en actieve DeFi-gebruikers is de belangrijkste les dat beveiliging verder reikt dan alleen het vertrouwen op een geauditeerd smart contract. Praktische aandachtspunten:
- Wees terughoudend met het autoriseren van tokens voor onbekende of nieuwe protocollen.
- Controleer governance-voorstellen kritisch, zeker wanneer ze ongebruikelijke technische opdrachten bevatten.
- Bewaar grotere bedragen bij voorkeur in een hardware wallet in plaats van een hot wallet die gekoppeld is aan DeFi-platforms. Zie ook ons overzicht van de beste hardware wallets van 2026.
- Wees alert op phishingpogingen die inspelen op governance- of stemmingsverzoeken.
| Kerncijfer | Waarde |
|---|---|
| DeFi-verlies 2026 (t/m juni) | >$840 mln (≈€734,6 mln) |
| Aandeel aanvallen via gekaapte accounts | >50% van alle incidenten |
| Bonk DAO-schade (6 juli) | ≈$20 mln (≈€17,5 mln) |
| Toegeschreven aan Lazarus-gelinkte actoren | ≈76% van hackschade wereldwijd |
Conclusie
De verschuiving van technische smart contract-bugs naar gekaapte accounts en gemanipuleerde governance-stemmingen laat zien dat DeFi-beveiliging een breder vraagstuk is geworden dan alleen code-audits. Voor gebruikers blijft het belangrijk om risico's zorgvuldig af te wegen, kritisch te blijven bij governance-verzoeken en gevoelige bedragen waar mogelijk offline te bewaren.
Dit artikel is informatief en geen beleggingsadvies. Cryptovaluta kennen een hoog risicoprofiel; weeg altijd zelf de risico's af voordat je een beleggingsbeslissing neemt.
