Finst

Private keys veroorzaken 40% van crypto-hackschade

Nieuwe sectorcijfers van CertiK wijzen op key management als grootste risico, met MPC-wallets en social recovery in opkomst als antwoord op diefstal van private keys.

Private keys veroorzaken 40% van crypto-hackschade

Korte samenvatting

  • Ongeveer 40% van de $16,69 miljard aan cryptoschade komt door gelekte of gestolen private keys.
  • CertiK ziet operationele incidenten toenemen, terwijl smart contract-exploits juist afnemen.
  • De sector zet meer in op MPC wallets, account abstraction, hardware wallets en strenger key management.

Crypto-projecten verliezen nog altijd miljoenen door hacks en exploits, maar volgens nieuwe sectorcijfers zit het grootste probleem niet in de blockchain zelf. Van de in totaal $16,69 miljard (€14,6 miljard) aan schade door hacks, DeFi-exploits en bridge-aanvallen is ongeveer 40% terug te voeren op het lekken of stelen van een private key. Daarmee is key management een van de zwakste schakels in de cryptosector, terwijl smart contracts relatief minder vaak de directe oorzaak zijn.

Private keys blijven de zwakke plek

Een private key werkt in de praktijk als een wachtwoord voor een crypto wallet. Wie die sleutel in handen krijgt, kan bij de fondsen, zonder bankachtige hersteloptie of fraudedienst die de transactie nog kan terugdraaien. Volgens CertiK verschuift de dreiging bovendien: operationele incidenten nemen toe, terwijl smart contract-exploits juist afnemen.

Dat beeld past bij de manier waarop veel aanvallen ontstaan. Soms gaat het om brute-forcepogingen, maar vaak is niet eens duidelijk hoe de sleutel precies is gelekt. In beide gevallen is de uitkomst hetzelfde: de aanvaller krijgt toegang tot de wallet en kan de assets verplaatsen.

De sector kent intussen ook een lange geschiedenis van grote diefstallen, van de vroege Mt. Gox-hack tot de LuBian mining pool-hack in 2020, die laat zien hoe groot de schade kan zijn wanneer toegangssleutels of beheerprocessen falen. Ook fysieke aanvallen op cryptobezitters namen in 2025 scherp toe, wat onderstreept dat beveiliging niet alleen digitaal speelt. Dat sluit aan bij bredere waarschuwingen dat crypto-beveiliging meer vraagt dan alleen audits, omdat menselijke en operationele zwaktes vaak zwaarder wegen dan fouten in de code.

Beveiliging verschuift naar sleutelbeheer

Volgens Wish Wu, medeoprichter en CEO van Pharos, probeert de industrie de private-keyzwakte nu wel aan te pakken, maar nog niet gelijkmatig. Hij noemt onder meer MPC wallets, account abstraction met social recovery, passkey-logins, hardware wallets en strengere key-managementprocedures als oplossingen die terrein winnen. Tegelijk waarschuwt hij dat veel van die maatregelen nog als optionele extra worden toegevoegd in plaats van als basis van het protocol.

Cysic-oprichter Le Fan vat het probleem scherper samen: het is volgens hem geen cryptografisch falen, maar een fout in key management. De wiskunde achter de curve is niet het probleem; de manier waarop sleutels worden opgeslagen, gebruikt en beheerd wel.

Wat dit betekent voor Europese lezers

Voor Europese crypto-investeerders is dit relevant omdat beveiliging steeds vaker draait om operationele discipline, niet alleen om code-audits. Dat geldt ook voor platforms, custody-oplossingen en gebruikers die hun crypto zelf beheren. De opkomst van multi-signature wallets en andere vormen van gespreide goedkeuring kan daarbij belangrijk worden, zeker voor grotere tegoeden waar één enkele sleutel een te groot risico vormt.


Disclaimer: Deze inhoud is uitsluitend bedoeld voor informatieve doeleinden en vormt geen financieel, beleggings-, juridisch of fiscaal advies. De verstrekte informatie kan onvolledig, onjuist of verouderd zijn en mag niet als zodanig worden gebruikt. Niets op deze website mag worden beschouwd als een aanbeveling om cryptocurrency te kopen, verkopen of aan te houden. Investeren in crypto-activa brengt risico op verlies met zich mee.