4 juni 2026
On-chain beveiligingsonderzoeker ZachXBT heeft honderden wallets opgepikt die over verschillende EVM-ketens zijn leeggeroofd, waarbij het gemiddelde slachtoffer minder dan $2.000 verloor. Deze bedragen vinden hun weg naar een enkele verdachte wallet. De totale schade is inmiddels opgelopen tot meer dan $107.000, terwijl het aantal slachtoffers blijft stijgen. De oorzaak van deze aanvallen is tot nu toe onbekend, maar gebruikers meldden dat ze een phishing-e-mail ontvingen die zich voordeed als een verplichte MetaMask-upgrade, compleet met een feesthoedvossenlogo en een onderwerpregel die luidde: “Gelukkig Nieuwjaar!”
Deze aanvallen kwamen op een moment waarop ontwikkelaars met vakantie waren, ondersteuningskanalen slechts met minimale bezetting opereerden, en gebruikers hun inboxen vol New Year-promoties aan het doorspitten waren. Aanvallers maken gebruik van deze periode van verminderde alertheid. De relatief kleine bedragen per slachtoffer wijzen erop dat de aanvallers zich bedienen van contractgoedkeuringen in plaats van volledige inbreuk op seed-zinnen, waardoor de verliezen per persoon op een niveau blijven dat niet direct alarmen doet afgaan, terwijl ze tegelijkertijd tientallen wallets kunnen aansteken.
Het crypto-ecosysteem is daarnaast nog bezig met het verwerken van een incident rond de Trust Wallet-browserextensie, waarbij kwaadaardige code in Chrome-extensie v2.68 privé-sleutels oogstte en minstens $8,5 miljoen uit 2.520 wallets haalde voordat Trust Wallet naar v2.69 patchte. Twee verschillende exploits, maar met dezelfde les: de gebruiker blijft de zwakste schakel.
De MetaMask-gerelateerde phishing-e-mail legt bloot waarom deze aanvallen zo effectief zijn. De afzender, “MetaLiveChain”, klinkt vaag als iets dat met Decentralized Finance (DeFi) te maken heeft, maar heeft geen enkele directe link met MetaMask. De e-mailheader bevat een afmeldlink voor “[email beschermd]”, wat onthult dat de aanvaller templates van legitieme marketingcampagnes heeft gestolen. Het lichaam van de e-mail toont het vossenlogo van MetaMask met een feesthoed, waardoor seizoensgebonden vrolijkheid wordt gemengd met een gevoel van urgentie over een “verplichte update.”
Deze combinatie omzeilt de heuristieken die de meeste gebruikers toepassen bij het identificeren van duidelijke oplichting. De officiële beveiligingsdocumentatie van MetaMask stelt echter duidelijke richtlijnen vast. Ondersteunings-e-mails komen alleen van geverifieerde adressen, zoals [email beschermd], en nooit van derde partijen. De walletaanbieder stuurt nooit ongewenste e-mails met verzoeken om verificatie of upgrades. Een vertegenwoordiger zal nooit om een Secret Recovery Phrase vragen. Maar deze e-mails zijn effectief omdat ze het gat tussen wat gebruikers intellektueel weten en wat ze reflexmatig doen bij een officiële schijnbare boodschap exploiteren.
Vier signalen kunnen phishing markeren voordat er schade optreedt. Ten eerste, een mismatch tussen merk en afzender, aangezien de branding van MetaMask door “MetaLiveChain” wijst op gestolen templates. Ten tweede, de kunstmatig gecreëerde urgentie rondom verplichte updates, waar MetaMask expliciet op wijst dat ze die nooit zal versturen. Ten derde, bestemmings-URL’s die niet overeenkomen met de geclaimde domeinen — door te hoveren voor je klikt kun je het werkelijke doel onthullen. Ten vierde zijn er verzoeken die de basisregels van wallets schenden, zoals het vragen naar seed-zinnen of het aanmoedigen van handtekeningen op onduidelijke off-chain berichten.
De zaak van ZachXBT laat zien hoe signature-phishing werkt. Slachtoffers die op de nep-upgradelink klikten, hebben waarschijnlijk een contractgoedkeuring getekend die de afromer toestemming gaf om tokens te verplaatsen. Deze enkele handtekening opende de deur naar voortdurende diefstal over meerdere ketens. De aanvaller koos voor kleine bedragen per wallet omdat contractgoedkeuringen vaak standaard onbeperkte uitgaven limieten hebben. Het volledig leegroven van een wallet zou onmiddellijk onderzoeken triggeren. Door de diefstal over honderden slachtoffers uit te spreiden met bedragen van $2.000, blijven ze onder de radar terwijl ze zes-cijferige totalen accumuleren.
Zodra een phishing-link is aangeklikt of een kwaadaardige goedkeuring is ondertekend, verschuift de prioriteit naar containement. MetaMask biedt nu gebruikers de mogelijkheid om token-allocaties direct in de MetaMask Portfolio te bekijken en in te trekken. Revoke.cash begeleidt gebruikers met een eenvoudig proces: verbind je wallet, inspecteer goedkeuringen per netwerk, en verzend intrekkings-transacties voor onbetrouwbare contracten.
Etherscan’s Token Approvals-pagina biedt dezelfde functionaliteit voor handmatige intrekking van ERC-20, ERC-721, en ERC-1155 goedkeuringen. Deze tools zijn cruciaal, omdat slachtoffers die snel handelen de toegang van de afromer kunnen afsluiten voordat ze alles verliezen. Het onderscheid tussen goedkeuringcompromis en seed-zinnencompromis bepaalt of een wallet kan worden gered. MetaMask’s beveiligingsgids trekt een duidelijke lijn: als je vermoedt dat je Secret Recovery Phrase is blootgesteld, stop dan onmiddellijk met het gebruik van die wallet. Maak een nieuwe wallet aan op een schone device, verplaats de resterende activa, en behandel de oorspronkelijke seed als permanent verbrand.
Chainalysis documenteerde ongeveer 158.000 persoonlijke wallet-compromis die ten minste 80.000 mensen troffen in 2025, ondanks dat de totale gestolen waarde ongeveer $713 miljoen is gedaald. Aanvallers raakten meer wallets voor kleinere bedragen, een patroon dat ZachXBT heeft geïdentificeerd. Het praktische gevolg: het organiseren van wallets om de impact te beperken is net zo belangrijk als het vermijden van phishing.
Een enkele gecompromitteerde wallet zou niet moeten leiden tot verlies van de totale portefeuille.
Walletaanbieders hebben functies geleverd die deze aanval hadden kunnen indammen als ze breed waren aangenomen. MetaMask moedigt inmiddels aan om bestedingslimieten in te stellen op tokengoedkeuringen in plaats van de standaard “onbeperkte” permissies te aanvaarden. Revoke.cash en De.Fi’s Shield-dashboard pleiten ervoor om goedkeuringsreviews als routinehygiëne te beschouwen, naast het gebruik van hardware wallets voor langetermijnbezit.
MetaMask activeert standaard transactie-beveiligingsmeldingen van Blockaid, waarmee verdachte contracten worden gemarkeerd voordat handtekeningen worden uitgevoerd. Het Trust Wallet-extensie-incident onderstreept nogmaals de noodzaak voor verdediging in diepte. Deze exploit omzeilde gebruikersbeslissingen en kwaadaardige code in een officiële Chrome-lijst oogstte automatisch sleutels.
Gebruikers die hun bezittingen verspreidden over hardware wallets (cold storage), software wallets (warm transacties), en burner wallets (experimentele protocollen) beperkten hun blootstelling. Dat drieledige model creëert frictie, maar frictie is het doel. Een phishing-e-mail die een burner wallet vangt, kost honderden of een paar duizend dollar. Dezelfde aanval tegen een enkele wallet met een volledige portefeuille kost levensveranderend geld.
De ZachXBT-afromer slaagde omdat hij het naadje tussen gemak en beveiliging aanboorde. De meeste gebruikers houden alles in één MetaMask-instantie omdat het beheren van meerdere wallets als omslachtig aanvoelt. De aanvaller gokte dat een professioneel ogende e-mail op Nieuwjaarsdag genoeg mensen onvoorbereid zou vangen om winstgevende volumes te genereren. Die gok heeft zich uitbetaald, met $107.000 en groeiende bedragen.
Dit incident roept een dieperliggende vraag op: wie draagt de verantwoordelijkheid voor de beveiliging van endpoints in een zelfbewarende wereld? Walletproviders ontwikkelen anti-phishing-tools, onderzoekers publiceren dreigingsrapporten, en regelgevers waarschuwen consumenten. Toch had de aanvaller slechts een nep-e-mail, een gekloond logo, en een afromer-contract nodig om honderden wallets te compromitteren.
De infrastructuur die zelfbewaring, toestemmingvrije transacties, pseudonieme adressen en onomkeerbare overboekingen mogelijk maakt, is ook genadeloos. De sector beschouwt dit als een onderwijskwestie: als gebruikers afzenderadressen verifiëren, op links hoveren, en oude goedkeuringen intrekken, zouden aanvallen falen.
Echter, de gegevens van Chainalysis over 158.000 compromissen wijzen erop dat alleen onderwijs niet voldoende is. Aanvallers passen zich sneller aan dan dat gebruikers leren. De phishing-e-mail van MetaMask evolueerde van grove templates zoals “Je wallet is vergrendeld!” naar gepolijste seizoensgebonden campagnes.
De exploit van de Trust Wallet-extensie heeft aangetoond dat zelfs zorgvuldige gebruikers hun middelen kunnen verliezen als distributiekanalen worden gecompromitteerd. Wat effectief is, zijn hardware wallets voor significante holdings, meedogenloze goedkeuringsintrekking, wallet-segregatie op basis van risicoprofiel, en scepsis ten aanzien van elk ongewenst bericht van walletproviders.
Wat niet effectief is, is aannemen dat walletinterfaces standaard veilig zijn, goedkeuringen beschouwen als eenmalige beslissingen, of alle activa in een enkele hot wallet consolidateren voor het gemak. De ZachXBT-drainer zal worden stilgelegd omdat het adres is gemarkeerd en beurzen deposito’s zullen bevriezen. Maar volgende week zal een andere drainer met een iets andere template en een nieuw contractadres opduiken.
Deze cyclus zet zich voort totdat gebruikers zich realiseren dat het gemak van crypto een aanvalsoffensief creëert dat uiteindelijk wordt geëxploiteerd. De keuze ligt niet tussen veiligheid en gebruiksgemak, maar tussen frictie nu en verlies later.
Wat kunnen gebruikers doen om hun wallets te beschermen tegen phishing-aanvallen?
Gebruikers kunnen hun wallets beschermen door goedkeuringslimieten in te stellen, verdachte e-mails te verifiëren, en kanalen zoals MetaMask Portfolio of Revoke.cash te gebruiken om onbetrouwbare contracten in te trekken.
Waarom zijn kleinere bedragen per slachtoffer een strategie voor aanvallers?
Kleinere bedragen per slachtoffer zorgen ervoor dat individuele verliezen onder de alarmdrempel blijven, terwijl aanvallers toch aanzienlijke bedragen kunnen vergaren door meerdere wallets aan te vallen.
Wat zijn de gevolgen van een compromittering van een Secret Recovery Phrase?
Als gebruikers vermoeden dat hun Secret Recovery Phrase is blootgesteld, moeten ze onmiddellijk hun wallet stopzetten en een nieuwe aanmaken, omdat het verlies van de seed de gehele wallet in gevaar brengt.
Bitcoin (BTC)
Ethereum (ETH)
XRP (XRP)
