Cross-chain bridges, infrastructuur waarmee activa tussen afzonderlijke blockchain-netwerken kunnen worden verplaatst, hebben in mei 2026 bij acht afzonderlijke incidenten in totaal 328,6 miljoen dollar aan aanvallers verloren.
De schade door crypto-bridge-exploits bedroeg in mei 328,6 miljoen dollar; Peckshield registreerde acht grote incidenten
GESCHREVEN DOOR
DELEN
Belangrijkste conclusies
Het slechtste jaar voor crypto wat betreft cross-chain hacks
Blockchain-beveiligings- en data-analysebedrijf Peckshield publiceerde half mei een overzicht van acht bridge-gerelateerde exploits die dit jaar tot nu toe in totaal 328,6 miljoen dollar uit cross-chain-protocollen hebben weggehaald. Dit cijfer draagt bij aan wat de ergste periode ooit is geworden voor gedecentraliseerde financiering (DeFi), terwijl het tegelijkertijd een systemische kwetsbaarheid blootlegt die de sector nog niet volledig heeft opgelost.
Cross-chain bridges werken door tokens op de ene blockchain te vergrendelen en gelijkwaardige activa op een andere te mint, waardoor hoogwaardige aanvalsoppervlakken ontstaan waar exploiters alleen het verificatiemechanisme van de bridge hoeven te compromitteren om toegang te krijgen tot de gepoolde liquiditeit. Het structurele risico werd onmiskenbaar in april 2026, de maand met de meeste crypto-hacks
ooit, met 30 afzonderlijke incidenten, een tempo van bijna één aanval per dag.Twee van de grootste aanvallen volgden elkaar die maand snel op. De Layerzero V2 rsETH-route van KelpDAO werd op 18 april misbruikt voor ongeveer 300 miljoen dollar, waarbij een aanvaller 116.500 rsETH uit de OFT-adapter van Ethereum haalde zonder tokens op de bronketen te verbranden. Uit een onderzoek van Chainalysis bleek dat Layerzero een lage standaard RPC-quorum van 1-1 had ingesteld, wat betekent dat één enkele besmette node frauduleuze cross-chain-berichten kon autoriseren. KelpDAO migreerde vervolgens naar de Cross-Chain Token-standaard van Chainlink en gaf Layerzero publiekelijk de schuld van de infrastructuurstoring.
Enkele dagen later werd Drift Protocol het slachtoffer van een exploit van meer dan 200 miljoen dollar op zijn op Solana gebaseerde infrastructuur. Een analist van CertiK merkte op dat de incidenten een ingrijpende verschuiving weerspiegelden in de strategie van cross-chain cybercriminaliteit, waarbij aanvallers steeds geavanceerder te werk gaan bij het identificeren en uitbuiten van zwakke plekken in de verificatie van bruggen.
Dood door duizend sneden
In de maanden ervoor en zelfs daarna hebben zich tal van kleinere incidenten voorgedaan, waarbij de bridge van IoTeX in februari voor ongeveer 2 miljoen dollar werd getroffen door een exploit van een privésleutel. Vervolgens verloor TAC Protocol begin mei 2,8 miljoen dollar in wat later werd geclassificeerd als een white hat-incident, nadat de hacker een beloning van 10% had opgeëist.
Transit Finance, een cross-chain aggregatieprotocol, werd op 13 mei leeggehaald voor 1,88 miljoen dollar en recentelijk verloor de Verus-Ethereum-bridge ongeveer 11,5 miljoen dollar, waarbij de wallet van de aanvaller werd getraceerd naar een Tornado Cash-seed.
Uit gegevens van Peckshield bleek al dat de totale hackverliezen alleen al in de eerste twee maanden van 2026 112,5 miljoen dollar bedroegen, voordat de stijging in april de cumulatieve verliezen tot half april boven de 750 miljoen dollar duwde. Nu de incidenten van mei aan dat cijfer worden toegevoegd, ligt 2026 op koers om eerdere records voor DeFi-verliezen te overtreffen.
