Een server van $3.000 en $70 miljard aan risico: wat de Aptos-bug zegt over de fragiele staat van crypto
Een aanval van $3.000 kon $70 miljard aan crypto raken. Wat de Aptos-bug zegt over de fragiliteit van het ecosysteem in 2026.
Voor 3.000 dollar aan servercapaciteit simuleerden onderzoekers een aanval op de Aptos-blockchain met een succesratio van meer dan 90%. De inzet: tot 70 miljard dollar aan digitale activa die systemisch risico liepen. Dit keer ving een ethische hacker het op. Maar de verhouding tussen aanvalskosten en potentiële schade vertelt een verhaal dat verder gaat dan één blockchain.
De bug die 70 miljard dollar risico opende
Beveiligingsbedrijf Hexens ontdekte begin dit jaar een kritieke kwetsbaarheid in de Aptos-blockchain, een layer-1 netwerk gebouwd op de smart-contracttaal Move. Die taal stamt uit het stopgezette Diem-project van Meta en wordt ook gebruikt door concurrent Sui. De fout zat niet in een applicatie bovenop de keten, maar dieper: in de Aptos Move virtual machine, de kern die smart contracts uitvoert.
Hexens omschreef het als een "stale-cache bug" die leidt tot een type-confusion-kwetsbaarheid. In de praktijk betekent dat: software wordt misleid om het ene type on-chain resource als een ander type te behandelen. Een kwaadwillende partij had daar gebruik van kunnen maken om stablecoins, cross-chain bridges en andere vergrendelde activa aan te tasten.
De onderzoekers testten hoe ernstig het probleem was. Hun testopstelling kostte 3.000 dollar en bootste ongeveer een derde van het validatornetwerk na. Onder realistische netwerkomstandigheden slaagde de aanval in meer dan 9 van de 10 simulaties. Geen insider-kennis vereist, geen speciale rechten.
Op 25 februari meldde Hexens de kwetsbaarheid via de emergency security channels aan Aptos Labs. Via het bug bounty-programma werd de patch binnen enkele dagen uitgerold. Er ging geen geld verloren.
Dat is het goede nieuws. Het slechte nieuws is dat de aanvalsstructuur zelf niets buitengewoons vereiste.
Q2 2026: recordkwartaal, recordschade
De Aptos-casus is bijzonder omdat de kwetsbaarheid in de onderliggende chain-VM zat, niet in een applicatielaag. De meeste grote hacks exploiteren validator-key-compromittering, oracle-manipulatie of logische fouten in smart contracts. Een fout op dit diepere niveau is zeldzamer en potentieel verstrekkender.
Tegelijk is het incident onderdeel van een breder patroon dat in 2026 steeds zichtbaarder wordt. In het tweede kwartaal van dit jaar werden 85 crypto-incidenten geregistreerd, bijna 2,5 keer zoveel als de 36 in het eerste kwartaal. Het totale verlies over Q2 bedroeg circa 775 miljoen dollar, een record qua frequentie. Twee aanvallen namen het leeuwendeel voor hun rekening: Drift Protocol en KelpDAO verloren samen bijna 577 miljoen dollar, beide in april.
Cumulatief zijn in 2026 al 121 protocollen of platforms geraakt, met een totaalverlies van bijna 942 miljoen dollar. De DeFi-sector voelt dit ook in de fundamentals: de total value locked daalde van circa 115 miljard dollar aan het begin van het jaar naar circa 70 miljard dollar nu. Dat is een krimp van bijna 40%.
Bridges blijven het zwakste punt
Cross-chain bridges zijn historisch het meest lucratieve doelwit voor aanvallers. De reden is structureel: bridges houden custody over vergrendelde activa in smart contracts of multisig-wallets, soms miljarden tegelijk. Dat maakt ze aantrekkelijker naarmate ze succesvoller worden. De grootste verliezen uit de sector stammen voor een groot deel uit bridge-aanvallen: de Ronin-bridge verloor 625 miljoen dollar in 2022, Wormhole 320 miljoen dollar en Nomad 190 miljoen dollar, alle drie in hetzelfde jaar.
De logica van bridges is het probleem. Een bridge is per definitie een vertrouwensconstructie tussen twee ketens met eigen veiligheidsmodellen. Elke schakel in die constructie, validators, oracles, sleutelbeheer, contractlogica, is een potentieel aanvalsvlak. Hoe complexer de interoperabiliteit, hoe groter het aanvalsoppervlak.
De Aptos-kwetsbaarheid raakte ook bridges: de bug had cross-chain posities kunnen destabiliseren via de VM-laag, een niveau dieper dan waar traditionele bridge-aanvallen plaatsvinden.
De veiligheidsmarge is smaller dan gedacht
Wat de Aptos-casus structureel illustreert, is een ongemakkelijke asymmetrie. De cryptosector groeit in complexiteit, in aaneengesloten protocollen en in vergrendeld kapitaal. De aanvalskosten blijven laag: 3.000 dollar is minder dan een tweedehands auto. De potentiële opbrengst van een geslaagde aanval is tientallen miljoenen tot miljarden.
Bug bounty-programma's zijn een gedeeltelijk antwoord op die asymmetrie. Aptos Labs en andere netwerken betalen ethische hackers om kwetsbaarheden te melden vóór kwaadwillenden ze vinden. Dat werkte hier. Maar het systeem is afhankelijk van toeval: de juiste onderzoeker moet de juiste bug vinden, en dat vóór iemand anders dat doet.
De stijging van het aantal incidenten in Q2, van 36 naar 85 in één kwartaal, suggereert dat het aanvalslandschap sneller groeit dan het defensieve vermogen van de sector. Meer protocollen, meer bridges, meer kapitaal en, zo blijkt, meer kwetsbaarheden.
Vooruitblik
Voor de komende maanden zijn twee ontwikkelingen relevant. Ten eerste zal Aptos Labs nadere technische documentatie publiceren over de patch en de aard van de kwetsbaarheid. Ten tweede staat de bredere DeFi-sector voor een structurele vraag: hoe verhoud je de snelheid van protocol-innovatie tot de tijd die grondige veiligheidsaudits vereisen? De Q2-cijfers laten zien dat die spanning nog lang niet is opgelost. Het volgende incident wacht niet op een antwoord.
Bronnen: Hexens, Aptos Labs, DeFiLlama, Immunefi
Cryptovaluta zijn niet gereguleerd en zeer volatiel. Je kunt je volledige inleg verliezen.
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiële beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.