De Schokkende Waarheid Over Crypto Bots Die Diefstal Voorkomen Maar Terugbetalingen Beheersen

In een recent voorval heeft Makina Finance te maken gekregen met een verlies van 1,299 ETH, dat ongeveer $4,13 miljoen vertegenwoordigt, als gevolg van een exploit waarbij een flash-loan en manipulatie van orakels werd gebruikt. De aanvaller wist de fondsen van het protocol te onttrekken en verspreidde de transactie in de publieke mempool van Ethereum, waar deze normaal gesproken door validators opgepikt en in de volgende block zou worden opgenomen.

Wat echter gebeurde, was dat een MEV-bouwer, geïdentificeerd als het adres 0xa6c2, de transactie voorafging, waardoor het merendeel van de fondsen naar een door de bouwer gecontroleerde portefeuille werd omgeleid voordat de hacker ze kon verplaatsen naar het externe netwerk. Hierdoor mislukte de transactie van de hacker en belandden de fondsen in twee adressen die aan de MEV-bouwer gekoppeld zijn. Het directe gevolg hiervan is dat de gebruikers van Makina een totale verliezen hebben weten te vermijden. De diepere implicatie ligt echter in de vraag wie uiteindelijk de fondsen in handen krijgt en wat dit betekent voor de opkomende infrastructuur voor noodrespons in de crypto-wereld.

De belangrijkste speler in dit verhaal is niet de aanvaller of het protocol, maar de blockchain-bouwketen die de exploit onderschepte en nu bepaalt of en hoe snel gebruikers hun fondsen terugkrijgen. MEV-bots en -bouwers fungeren steeds meer als de laatste verdedigingslinie binnen de crypto-wereld, niet uit noodzaak, maar als gevolg van hun structurele positie. Dit vormt een probleem, aangezien de reddingscapaciteit geconcentreerd is in de handen van winstmaximaliserende tussenpersonen die opereren zonder duidelijke verantwoordelijkheden.

Het incident bij Makina is geen op zichzelf staand geval. Chainalysis heeft een soortgelijke dynamiek geobserveerd tijdens de exploit van Curve en Vyper in 2023, waarbij ethische hackers en MEV-botoperators hielpen met het terugvorderen van fondsen, wat de gerealiseerde verliezen verlaagde ten opzichte van de aanvankelijke schattingen. Het patroon is mechanisch: zolang exploits of redpogingen zichtbaar zijn in publieke transactiestromen, kunnen verfijnde zoekers en bouwers concurreren om transacties te herschikken.

Dit leidt er soms toe dat ze fondsen weten te redden, maar in andere gevallen vangen ze die zelf. Hoe dan ook, ze functioneren als een de facto noodresponslaag. Zodra een exploittransactie in de publieke mempool binnenkomt, monitoren MEV-zoekers op winstgevende kansen. Het is mogelijk voor een zoeker om een concurrerende transactie op te stellen die eerder wordt uitgevoerd, waardoor de fondsen naar een ander adres worden omgeleid.

Deze zoeker bundelt de transactie en dient deze in bij een block-builder, die deze opneemt als de winst hoger is dan de concurrerende biedingen. Wanneer de block van de bouwer wordt gekozen door een validator, wordt de transactie van de zoeker uitgevoerd en de transactie van de hacker mislukt. Dit proces is in wezen winstextractie met een gunstig neveneffect, maar het is ook de meest betrouwbare methode die crypto tot nu toe heeft ontwikkeld om exploits in real-time te onderscheppen, omdat het opereert op het niveau van transactievolgorde in plaats van te vertrouwen op protocollaire beveiligingen of governance-interventies.

Het probleem met MEV-gebaseerde reddingsoperaties is dat ze de noodresponscapaciteit concentreren binnen een sterk geintermediairde pijplijn. Op Ethereum domineert MEV-Boost de productie van blocks. Huidige gegevens laten zien dat ongeveer 93,5% van de recente blocks via MEV-Boost zijn gerouteerd, in tegenstelling tot slechts 6% via de standaard blockproductie.

Binnen MEV-Boost is de marktaandeel verder geconcentreerd: Ultra Sound Money vertegenwoordigt ongeveer 29,84% van de relay-verkeer, terwijl Titan ongeveer 24,24% voor zijn rekening neemt. Samen zijn deze twee grootste relay-operators goed voor meer dan 54% van de blockproductie. Dit betekent dat de reddingslaag structureel afhankelijk is van een klein aantal tussenpersonen, wat snel kan leiden tot governanceproblemen.

Als een builder de geredde fondsen in handen heeft, wie geeft dan autorisatie voor de bewaring? Wie stelt de beloning vast? En wat voorkomt afpersing of eisen voor losgeld? Wat als de builder offshore is, anoniem, of opereert vanuit een jurisdictie met zwakke handhaving? Het geval van Makina illustreert dit probleem. De fondsen zijn in de bewaring van de builder, maar er zijn geen publieke service-level agreements (SLA’s), vooraf gedefinieerde beloningen of duidelijke mechanismen om de fondsen terug te bezorgen aan Makina of zijn gebruikers.

Dit maakt het nog problematischer dat private routing het probleem verergert. Een academische paper uit 2025, getiteld “Sandwiched and Silent”, documenteerde de wijdverspreide private routing van transacties en ontdekte dat veel slachtoffers naar private kanalen migrate nadat ze zijn ‘sandwiched’ door MEV-bots.

Echter, private routing elimineert MEV niet; het verschuift het gewoon van publieke mempools naar private orderflowkanalen die worden gecontroleerd door builders en relays. Dit betekent voor protocollen dat publieke mempoolreddingen minder betrouwbaar worden, omdat exploittransacties steeds vaker via private kanalen worden gerouteerd die alleen toegankelijk zijn voor een subset van builders.

Safe Harbor is een kader ontwikkeld door SEAL dat probeert het model van de “toevallige MEV-bouwer als bewaker” te vervangen door erkende responders, expliciete SLA’s en begrensde prikkels. SEAL beschrijft Safe Harbor als een juridisch en technisch kader waarmee protocollen vooraf witte hoeden kunnen autoriseren om in te grijpen tijdens actieve exploits.

De kernregel is dat geredde fondsen binnen 72 uur naar officiële terugvraagadressen moeten worden gestuurd, met vooraf gedefinieerde, afdwingbare beloningen. SEAL stelt dat Safe Harbor is gemotiveerd door de Nomad-hack, waarbij ethische hackers bereid waren om te helpen maar beperkt werden door juridische ambiguïteit over de vraag of het teruggeven van fondsen kon worden vervolgd als ongeoorloofde computertoegang.

Safe Harbor verwijdert die ambiguïteit door protocollen een manier te bieden om vooraf ingrijpen te autoriseren en duidelijke voorwaarden vast te stellen. SEAL beweert dat Safe Harbor al meer dan $16 miljard beschermt, inclusief belangrijke protocollen zoals Uniswap, Pendle, PancakeSwap, Balancer en zkSync.

Immunefi, het bug bounty-platform, heeft Safe Harbor operationaliseerd met striktere voorwaarden. Immunefi beschrijft Safe Harbor als een door SEAL ontwikkeld kader dat fondsen omleidt naar een protocol-gecontroleerde kluis op Immunefi’s platform. Op de programmapagina van Immunefi’s Safe Harbor staat: “Je hebt 6 uur om de fondsen terug te transfereren.” Het niet voldoen aan deze zesuurige termijn geldt als een materieel verzuim. Dat is vier keer sneller dan de basisvereiste van 72 uur van SEAL.

Hoewel Safe Harbor de afhankelijkheid van MEV-infrastructuur niet elimineert, probeert het deze wel te formaliseren. Als een builder een exploit voorafgaat en het protocol Safe Harbor heeft aangenomen, wordt van de builder verwacht dat deze de tussenkomst als geautoriseerd beschouwt en de fondsen naar het aangewezen terugvraagadres van het protocol routes binnen de SLA. Dit gaat echter uit van de veronderstelling dat builders de registraties van Safe Harbor monitoren, de voorwaarden respecteren en compliance boven winst prioriteren.

Het scala aan scenario’s

De verwachte gebruikersherstelpercentage na een exploit kan als volgt worden gemodelleerd: het verwachte herstel is gelijk aan de kans op tussenkomst, vermenigvuldigd met één min het percentage van de beloning, vermenigvuldigd met één min het percentage van falen of lekken. Safe Harbor heeft als doel de waarschijnlijkheid van tussenkomst te verhogen door juridische ambiguïteit te reduceren en het percentage van de beloning vooraf te begrenzen.

In het basisscenario zal de adoptie van Safe Harbor naar verwachting toenemen in de komende 12 maanden. Meer protocollen zullen voorwaarden voor Safe Harbor toevoegen aan hun governance-structuren en meer witte hoeden zullen zich registreren als geautoriseerde responden. De kans op tussenkomst neemt toe omdat responders juridische duidelijkheid en vaste beloningsvoorwaarden hebben, wat ook voor hogere herstelpercentages zorgt, met name voor protocollen die strengere SLA’s aannemen, zoals de zesuurige termijn van Immunefi.

In het optimistische scenario professionaliseert de reddingslaag. Protocollen bouwen strakke kluisadressen, verkorten SLA’s tot enkele uren en onderhandelen vooraf over beloningsstructuren met bekende witte-hoedteams. Builders integreren registraties van Safe Harbor in hun transactiesystemen om automatisch geredde fondsen naar aangewezen adressen om te leiden zonder handmatige tussenkomst.

In het pessimistische scenario verhardt de afhankelijkheid van builders. Private orderflow en concentratie van relays maken reddingen minder transparant en oligopolistisch. Protocollen die geen Safe Harbor hebben aangenomen, eindigen met het onderhandelen met builders nadat de schade al is aangericht, zonder duidelijke hefboom of SLA. Governance wordt afhankelijk van tussenpersonen die de fondsen bezitten en eenzijdig de voorwaarden vaststellen.