Web3 Chaos slaat hard toe: miljoenen weggesluisd in slechts twee weken van 2026 – Rapport

Extropy rapporteert grote crypto-hacks in januari 2026. Truebit verliest $26M, Ledger-datalek stelt gebruikers bloot, en phishing-aanvallen nemen toe.

De eerste twee weken van 2026 brachten een golf van beveiligingsincidenten op Web3-platforms. 

Extropy publiceerde zijn Security Bytes-rapport waarin deze gebeurtenissen worden gedocumenteerd. De bevindingen schetsen een verontrustend beeld van het huidige dreigingslandschap.

Volgens het rapport zetten aanvallers hun operaties voort tijdens het vakantieseizoen. De schade varieerde van miljoenen dollars kostende exploits tot geavanceerde phishing-campagnes.

Truebit Protocol verliest $26 miljoen door fout in legacy code

Het eerste grote incident van het jaar trof Truebit Protocol op 8 januari. Een aanvaller tapte ongeveer $26 miljoen af in wat Extropy een "zombie code"-exploit noemt.

De kwetsbaarheid vloeide voort uit een integer overflow in legacy smart contracts. Deze oudere contracten misten de native overflow-bescherming van moderne Solidity. De aanvaller muntte miljoenen TRU-tokens tegen vrijwel geen kosten.

Eenmaal aangemaakt, stroomden de tokens terug het protocol in. Alle beschikbare liquiditeit verdween binnen enkele uren. De TRU-tokenprijs stortte in slechts 24 uur met bijna 100% in.

Extropy merkt op dat de aanvaller onmiddellijk 8.535 ETH via Tornado Cash verplaatste. Beveiligingsbedrijven koppelden de wallet later aan een eerdere Sparkle Protocol-exploit. Dit suggereert een herhalingsdader die specifiek gericht is op verlaten contracten.

Het rapport waarschuwt dat legacy contracten een kritieke kwetsbaarheid blijven. Projecten moeten oude code actief monitoren of afschaffen.

TMXTribe ziet $1,4M weglopen gedurende 36 uur

Tussen 5 en 7 januari leed TMXTribe een langzamere maar even verwoestende aanval. De GMX-fork op Arbitrum verloor $1,4 miljoen gedurende 36 continue uren.

Extropy beschrijft de exploit als mechanisch eenvoudig. Een lus muntte LP-tokens, wisselde ze voor stablecoins en unstakte vervolgens herhaaldelijk. De niet-geverifieerde contracten verhinderden publieke analyse van de exacte fout.

Wat onderzoekers het meest verontrustte was de reactie van het team. Volgens het rapport bleven ontwikkelaars tijdens de hele aanval on-chain actief. Ze implementeerden nieuwe contracten en voerden upgrades uit tijdens de drain.

Ze activeerden echter nooit een noodpauze-functie. In plaats daarvan stuurde het team een on-chain bounty-bericht naar de aanvaller. De dief negeerde het, overbrugde fondsen naar Ethereum en waste ze wit via Tornado Cash.

Extropy vraagt zich af of dit nalatigheid vertegenwoordigt of iets ergers. Het rapport benadrukt dat niet-geverifieerde contracten dienen als rode vlaggen voor gebruikers.

Ledger-klanten worden geconfronteerd met fysieke veiligheidsrisico's

Op 5 januari bevestigde Ledger een datalek dat zijn klantenbestand trof. Het lek was afkomstig van betalingsverwerker Global-e, niet van Ledgers hardware.

Klantnamen, verzendadressen en contactgegevens werden gecompromitteerd. Extropy waarschuwt dat dit scenario's creëert die beveiligingsexperts "wrench attack"-scenario's noemen. Aanvallers beschikken nu over een lijst van eigenaren van crypto-hardwarewallets en hun locaties.

Het rapport merkt een bittere ironie op. Ledger kreeg eerder kritiek voor het in rekening brengen van beveiligingsfuncties. Nu heeft hun betalingsverwerker gebruikers gratis blootgesteld aan fysiek gevaar.

Extropy adviseert gebruikers om geavanceerde phishing-pogingen te verwachten. De gestolen gegevens stellen aanvallers in staat om vals vertrouwen op te bouwen via gepersonaliseerde communicatie.

Gerelateerde lectuur: Een overzicht van beveiligingsincidenten rond Ledger Hardware Wallets

MetaMask-phishing-campagne tapt $107.000 af

Beveiligingsonderzoeker ZachXBT markeerde een geavanceerde phishing-operatie gericht op MetaMask-gebruikers. De campagne heeft meer dan $107.000 afgetapt van honderden wallets.

Slachtoffers ontvingen professionele e-mails waarin een verplichte 2026-upgrade werd geclaimd. De berichten gebruikten legitieme marketingsjablonen en bevatten een aangepast MetaMask-logo. Extropy beschrijft het "feestmuts"-vosontwerp als ontwapend feestelijk.

De oplichting vermeed het vragen om seed phrases. In plaats daarvan werden gebruikers gevraagd om contractgoedkeuringen te ondertekenen. Dit stelde aanvallers in staat om onbeperkt tokens uit slachtofferwallets te verplaatsen.

Door individuele diefstallen onder $2.000 te houden, vermeed de operatie grote waarschuwingen. Extropy benadrukt dat handtekeningen net zo gevaarlijk kunnen zijn als gelekte sleutels.

The post Web3 Chaos Hits Hard: Millions Drained in Just Two Weeks of 2026 – Report appeared first on Live Bitcoin News.