De meeste crypto-exploits in het komende jaar worden niet veroorzaakt door een zero-day bug in je favoriete protocol, zeggen crypto-beveiligingsexperts. Het wordt veroorzaakt door jou.
Dat komt omdat 2025 heeft aangetoond dat de meeste hacks niet beginnen met kwaadaardige code; ze beginnen met een gesprek, vertelde Nick Percoco, chief security officer van crypto-exchange Kraken, aan Cointelegraph.
Van januari tot begin december 2025 tonen gegevens van Chainalysis aan dat de crypto-industrie getuige was van meer dan $3,4 miljard aan diefstal, waarbij de compromittering van Bybit in februari bijna de helft van dat totaal uitmaakte.
Meer dan $3,4 miljard werd dit jaar gestolen door kwaadwillenden. Bron: ChainalysisTijdens de aanval kregen kwaadwillenden toegang via social engineering, injecteerden een kwaadaardige JavaScript-payload waarmee ze transactiedetails konden wijzigen en geld konden wegsluizen.
Wat is social engineering?
Social engineering is een cyberaanvalsmethode die mensen manipuleert om vertrouwelijke informatie te onthullen of acties uit te voeren die de beveiliging in gevaar brengen.
Percoco zei dat het strijdtoneel voor crypto-beveiliging in de geest zal zijn, niet in cyberspace.
Tip 1: Gebruik waar mogelijk automatisering
Supply chain-compromissen zijn dit jaar ook een belangrijke uitdaging gebleken, aldus Percoco, aangezien een ogenschijnlijk kleine inbreuk later verwoestend kan blijken te zijn, omdat "het een digitale Jenga-toren is, en de integriteit van elk afzonderlijk blok ertoe doet."
In het komende jaar beveelt Percoco aan om menselijke vertrouwenspunten te verminderen door acties zoals het automatiseren van verdedigingen waar mogelijk en het verifiëren van elke digitale interactie door authenticatie in een "verschuiving van reactieve verdediging naar proactieve preventie."
"Vooral in crypto blijft menselijk vertrouwen de zwakste schakel, versterkt door hebzucht en FOMO. Dat is de barst die aanvallers elke keer exploiteren. Maar geen enkele technologie vervangt goede gewoonten," voegde hij toe.
Tip 2: Compartimenteer infrastructuur
Lisa, de security operations lead van SlowMist, zei dat kwaadwillenden dit jaar steeds meer developer-ecosystemen viseerden, wat in combinatie met cloud-credential lekken mogelijkheden creëerde om kwaadaardige code te injecteren, geheimen te stelen en software-updates te vergiftigen.
"Ontwikkelaars kunnen deze risico's beperken door afhankelijkheidsversies vast te pinnen, package-integriteit te verifiëren, build-omgevingen te isoleren en updates te beoordelen vóór implementatie," zei ze.
Met het oog op 2026 voorspelt Lisa dat de belangrijkste dreigingen waarschijnlijk zullen voortkomen uit steeds geavanceerdere credential-diefstal en social engineering-operaties.
Bron: SlowMist"Dreigingsactoren maken al gebruik van AI-gegenereerde deepfakes, op maat gemaakte phishing en zelfs nep-ontwikkelaar wervingstests om wallet-sleutels, cloud-credentials en signing tokens te verkrijgen. Deze aanvallen worden steeds geautomatiseerder en overtuigender, en we verwachten dat deze trend zich zal voortzetten," zei ze.
Om veilig te blijven, is Lisa's advies voor organisaties om sterke toegangscontrole, key rotation, hardware-ondersteunde authenticatie, infrastructuur-segmentatie en anomalie-detectie en monitoring te implementeren.
Individuen moeten vertrouwen op hardware wallets, vermijden om te communiceren met niet-geverifieerde bestanden, identiteiten cross-checken via onafhankelijke kanalen en ongevraagde links of downloads met voorzichtigheid behandelen.
Tip 3: Proof of personhood om AI deepfakes te bestrijden
Steven Walbroehl, medeoprichter en chief technology officer van blockchain-cybersecurity bedrijf Halborn, voorspelt dat AI-verbeterde social engineering een belangrijke rol zal spelen in de playbooks van crypto-hackers.
In maart meldden minstens drie crypto-oprichters dat ze een poging van vermeende Noord-Koreaanse hackers hadden verijdeld om gevoelige gegevens te stelen via nep-Zoom-gesprekken die deepfakes gebruikten.
Walbroehl waarschuwt dat hackers AI gebruiken om zeer gepersonaliseerde, contextbewuste aanvallen te creëren die traditionele security awareness training omzeilen.
Om dit te bestrijden, stelt hij voor om cryptografisch proof-of-personhood te implementeren voor alle kritieke communicatie, hardware-gebaseerde authenticatie met biometrische binding, anomalie-detectiesystemen die normale transactiepatronen basislijn stellen, en verificatieprotocollen te vestigen met behulp van vooraf gedeelde geheimen of zinnen.
Tip 4: Houd je crypto voor jezelf
Wrench attacks, of fysieke aanvallen op crypto-houders, waren ook een prominent thema van 2025, met minstens 65 geregistreerde gevallen, volgens Bitcoin OG en cypherpunk Jameson Lopps' GitHub-lijst. De laatste bull market piek in 2021 was voorheen het slechtste jaar op record, met in totaal 36 geregistreerde aanvallen
Een X-gebruiker met de handle Beau, een voormalig CIA-officier, zei in een X-post op 2 december dat wrench attacks nog steeds relatief zeldzaam zijn, maar hij beveelt crypto-gebruikers toch aan om voorzorgsmaatregelen te nemen door niet over rijkdom te praten of crypto-bezittingen of extravagante levensstijlen online bekend te maken als begin.
Bron: BeauHij stelt ook voor om een "moeilijk doelwit" te worden door data-opschoontools te gebruiken om privé persoonlijke informatie te verbergen, zoals huisadressen, en te investeren in huisverdediging zoals beveiligingscamera's en alarmen.
Tip 5: Bespaar niet op de beproefde en betrouwbare beveiligingstips
David Schwed, een beveiligingsexpert die bij Robinhood heeft gewerkt als chief information security officer, zei dat zijn belangrijkste tip is om te blijven bij gerenommeerde bedrijven die waakzame beveiligingspraktijken tonen, inclusief rigoureuze en regelmatige beveiligingsaudits door derden van hun volledige stack, van smart contracts tot infrastructuur.
Ongeacht de technologie, zei Schwed echter dat gebruikers moeten vermijden hetzelfde wachtwoord voor meerdere accounts te gebruiken, ervoor moeten kiezen om een hardware-token te gebruiken als een multifactor-authenticatiemethode en de seed phrase moeten beschermen door deze veilig te versleutelen of offline op te slaan op een veilige, fysieke locatie.
Hij adviseert ook om een speciale hardware wallet te gebruiken voor aanzienlijke bezittingen en bezittingen op exchanges te minimaliseren.
Gerelateerd: Spear phishing is de belangrijkste tactiek van Noord-Koreaanse hackers: Hoe blijf je veilig
"Beveiliging hangt af van de interactielaag. Gebruikers moeten hyperwaakzaam blijven bij het verbinden van een hardware wallet met een nieuwe webapplicatie en moeten de transactiegegevens die op het scherm van het hardware-apparaat worden weergegeven grondig valideren voordat ze ondertekenen. Dit voorkomt 'blind signing' van kwaadaardige contracten," voegde Schwed toe.
Lisa zei dat haar beste tips zijn om alleen officiële software te gebruiken, interactie met niet-geverifieerde URL's te vermijden en fondsen te scheiden over hot, warm en cold configuraties.
Om de groeiende verfijning van oplichting zoals social engineering en phishing tegen te gaan, beveelt Kraken's Percoco "radicaal scepticisme" aan te allen tijde, door de authenticiteit te verifiëren en aan te nemen dat elk bericht een test van bewustzijn is.
"En één universele waarheid blijft bestaan: geen enkel legitiem bedrijf, dienst of kans zal ooit om je seed phrase of inloggegevens vragen. Op het moment dat ze dat doen, praat je met een oplichter," voegde Percoco toe.
Ondertussen beveelt Walbroehl aan om sleutels te genereren met behulp van cryptografisch veilige willekeurige nummergeneratoren, strikte scheiding tussen ontwikkelings- en productieomgevingen, regelmatige beveiligingsaudits en incident response planning met regelmatige oefeningen.
Magazine: Wanneer privacy- en AML-wetten conflicteren: Crypto-projecten voor een onmogelijke keuze
Bron: https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
