Crypto beveiliging vereist meer dan alleen audits om verliezen te voorkomen

Audits verminderen codefouten, maar de grootste cryptoverliezen komen nu vaak door keys, governance en operationele fouten. Waarom een bredere beveiligingsaanpak nodig is, lees je hier.

Korte samenvatting

• Het aantal code-audits in crypto is sinds 2022 verdrievoudigd, maar verliezen door hacks en exploits blijven hoog.
• Volgens Oak Security richten traditionele audits zich vooral op code, terwijl aanvallers steeds vaker private keys, governance en operationele zwakheden misbruiken.
• De sector heeft naast audits een bredere beveiligingsaanpak nodig, met sterk key management, realtime monitoring en training van personeel.

De cryptomarkt kampt al jaren met ernstige beveiligingsproblemen. Hoewel het aantal code-audits sinds 2022 is verdrievoudigd, blijven de verliezen door hacks en exploits hoog. Onderzoek van Oak Security wijst uit dat traditionele audits vooral kwetsbaarheden in de code aanpakken, terwijl aanvallers steeds vaker menselijke en operationele zwakheden benutten. Hierdoor blijft het aantal incidenten en de omvang van de verliezen onverminderd groot.

Grenzen van traditionele code-audits

De kwaliteit van code-audits is de afgelopen jaren sterk verbeterd. Beveiligingsbedrijven gebruiken geavanceerde tools om fouten in smart contracts vroegtijdig te ontdekken, wat heeft geleid tot minder aanvallen op basis van codefouten. Toch zijn de grootste verliezen tegenwoordig het gevolg van gecompromitteerde private keys, manipulatie van governance, insider threats, kwaadaardige updates van afhankelijkheden en operationele fouten. Deze kwetsbaarheden vallen buiten het bereik van traditionele audits, die zich voornamelijk richten op de code zelf.

Het is duidelijk dat zelfs de beste code weinig helpt als de onderliggende operationele infrastructuur kwetsbaar is. Een voorbeeld hiervan is de toename van aanvallen gericht op menselijke factoren, zoals phishing, die audits niet kunnen voorkomen. Hierdoor ontstaan grote financiële schadeposten die de industrie tot nu toe onvoldoende heeft weten te beperken. In de praktijk draait het daarom steeds vaker om bredere beveiliging, zoals bij de Amerikaanse aanpak tegen cryptodiefstal, waar preventie en opsporing samenkomen.

Illusie van veiligheid door audits

Veel crypto-projecten promoten hun veiligheid door te wijzen op het aantal en de reputatie van uitgevoerde audits. Dit creëert echter een vals gevoel van veiligheid. Een audit is een momentopname van een specifieke codebase binnen een bepaalde scope en biedt geen garantie voor toekomstige veiligheid, zeker niet wanneer protocollen worden aangepast, governance verandert of operationele processen worden herzien.

Deze misvatting kan leiden tot onderschatting van risico’s buiten de code, terwijl juist daar de ernstigste bedreigingen schuilen. Gebruikers en teams kunnen hierdoor denken dat beveiliging al is opgelost, terwijl de echte zwakke plekken elders liggen.

Naar een bredere beveiligingsaanpak

De sector kan massale adoptie moeilijk verwachten zolang het vertrouwen door herhaalde beveiligingsincidenten onder druk staat. Naast audits is een diepere beveiligingsstrategie nodig die menselijke en operationele risico’s adresseert. Dit omvat onder meer sterkere key management systemen, decentralisatie van ondertekenaars, beperkingen in governance, realtime monitoring en circuit breakers.

Crypto-platformen zijn levende organisaties met menselijke zwakke plekken, niet alleen softwareproducten. Aanvallers hebben hun tactieken aangepast en zoeken actief naar kwetsbaarheden in menselijke systemen. De volgende stap in cryptobeveiliging vereist daarom een integrale aanpak die verder gaat dan code alleen en zich richt op het hele ecosysteem van mensen, processen en technologie.

Relevantie voor Europese cryptogebruikers

Voor Europese gebruikers en projecten is het belangrijk te beseffen dat beveiliging niet stopt bij een positieve audit. Operationele risico’s en menselijke factoren kunnen ook hier grote impact hebben, zeker gezien de complexiteit van regelgeving en governance in Europa. Het benadrukt de noodzaak voor Europese cryptobedrijven om naast technische audits ook te investeren in robuuste operationele beveiliging en training van personeel om zo het vertrouwen van gebruikers te versterken.