“Het wordt steeds moeilijker om te bewijzen dat jij echt jij bent.” Die opmerking, gedeeld door Federico Variola, CEO van Phemex, geeft een groeiende zorg weer in de cryptomarkt – een die veel verder gaat dan smart contracts of infrastructuurproblemen.
Tijdens een recent panelgesprek, samen met Ian Rogers (Chief Experience Officer bij Ledger) en Dmitry Budorin (medeoprichter en CEO van cybersecuritybedrijf Hacken), legde Variola uit hoe crypto-beveiligingsdreigingen zich in de praktijk voordoen. AI verandert de tools, maar het zwakke punt blijft de mens – hoe mensen met elkaar praten, snel beslissen en bepalen wie ze vertrouwen.
Veel hiervan komt neer op dagelijks gedrag. Bij exchanges en wallets is er een gedeeld besef dat gewoontes bepalen hoe incidenten ontstaan. Voor Federico Variola betekent dat direct dat exchanges goed moeten nadenken over hun processen, bewust frictie moeten inbouwen en beheren hoe mensen omgaan met wallets, sociale platforms en on-chain identiteiten.
Meer waarde, grotere targets
Aan het begin van het gesprek beantwoordde Federico een vraag die de industrie zich vaak stelt: wordt de crypto slechter in security, of worden aanvallers gewoon beter?
“Je kunt waarschijnlijk zeggen dat dit jaar het slechtste jaar tot nu toe is voor cybercrime, en volgend jaar wordt nog erger. En dat komt niet doordat wij slechter worden in security. Het komt omdat er meer waarde is. Als er meer waarde is, wordt de beloning groter. En als de beloning groter wordt, proberen meer mensen die waarde te bemachtigen.”
Naarmate crypto groeit, worden de beloningen voor aanvallers ook groter. Variola zegt dat dit zorgt voor een constante onbalans, waarbij aanvallers sneller ontwikkelen dan de bescherming, vooral tijdens bullmarkten.
“We zitten waarschijnlijk in een periode waarin de mogelijkheden van aanvallers sneller groeien dan onze bescherming. En bij elke bullmarkt zijn er heel rationele mensen die uitleggen waarom je concessies moet doen op security, of op self-custody, of op beide – en het loopt altijd slecht af.”
Rogers gaf een simpel voorbeeld om dit te onderstrepen. Zelfs zeer ervaren mensen in crypto, ook zij die aan wallet-ontwikkeling werken, zijn weleens in de val gelokt door overtuigende links via bijvoorbeeld Discord of browserextensies. Zijn punt was: ervaring helpt, maar zorgvuldigheid blijft altijd nodig.
Wanneer identiteit het zwakke punt wordt
Volgens Variola is de grootste verschuiving te zien in de manier waarop aanvallen worden uitgevoerd.
“Deze aanvallers zijn goed gefinancierd, soms zelfs overheden, en ze bewegen met een snelheid die moeilijk is bij te houden. Tegelijkertijd zijn de tools die wij allemaal gebruiken, zoals AI en automatisering, een tweesnijdend zwaard. Als wij deze tools kunnen gebruiken, kunnen aanvallers dat ook. Social engineering-aanvallen worden complexer. Mensen hebben mijn beeltenis gebruikt in videogesprekken om investeerders of zakenpartners op te lichten.”
Ian Rogers bevestigde dit vanuit het hardware wallet-perspectief. Veel aanvallen zijn nu meer psychologisch dan technisch. Voor Variola klopt dat met wat exchanges dagelijks zien: mensen overtuigen is vaak makkelijker dan systemen hacken.
Zoals Rogers tijdens het panel zei: “Ieder van ons kan erin trappen.” Zelfs in teams die volledig crypto-minded zijn, is een combinatie van herkenning, haast en slimme social engineering vaak genoeg om sterke beveiliging te omzeilen.
De exchange realiteit: cold, hot en menselijk
Vanuit het perspectief van een exchange was Federico duidelijk over het verschil tussen garanties en aannames.
“Wat we gebruikers garanderen moet volledig onaantastbaar zijn, en dat is de cold wallet. Daar kan niet over onderhandeld worden. Hot wallets brengen altijd risico met zich mee omdat ze altijd online zijn.”
Tijdens periodes met veel marktactiviteit nemen die risico’s toe.
“Bij een bullmarkt verwachten gebruikers dat de hot wallets vol zijn. Ze handelen snel, vaak met grote bedragen, vooral in altcoins. De druk van gebruikers is groot.”
Deze druk veroorzaakt spanningen. Gebruikers willen snelheid en gemak. Security vraagt echter juist vaak om meer stappen en vertraging.
“Je moet extra stappen toevoegen om geld veilig te houden, wat gebruikers ook willen. Je moet dus soms zelfs een beetje tegen je eigen gebruikers ingaan.”
Het is een ongemakkelijke waarheid voor exchanges, maar Federico vindt het noodzakelijk als platforms voor lange termijn-bescherming kiezen in plaats van korte termijn-gemak.
Wat ervaring je leert
Tijdens het panel verwees Variola kort naar een beveiligingsincident dat Phemex vorig jaar meemaakte.
“Eén van de belangrijkste lessen voor ons was dat we meer een doelwit waren dan we dachten.”
Het belangrijkste inzicht ging over mensen.
“We onderschatten hoe wijdverspreid phishing en social engineering-aanvallen zijn, en hoe ze zich eerst richten op de laagste niveaus binnen je organisatie – stagiairs, ontwerpers, mensen die zichzelf niet als security-kritisch zien – en dan naar boven werken naar belangrijkere functies.”
Dmitry Budorin gaf een duidelijke vergelijking: phishing is net als vissen. Zelfs als de vis niet dom genoeg is om te happen, kunnen routine of afleiding genoeg zijn voor aanvallers om succes te hebben. Volgens hem is de onvermijdelijkheid het grootste gevaar.
Die manier van denken past goed bij hoe Variola security benadert.
“Het is niet genoeg als alleen engineers of managers goed opletten. Iedereen in het bedrijf moet begrijpen wat de risico’s zijn. Zelfs de stagiair moet volledig op de hoogte zijn.”
Budorin ging nog verder en zei dat het in veel gevallen niet eens de junior medewerker is die het primaire doelwit is, maar de CEO. Bekende personen, oprichters en leidinggevenden worden direct aangevallen vanwege hun zichtbaarheid en invloed in de industrie.
Na het incident heeft Phemex de beveiliging overal aangescherpt, maar de grootste verandering was intern.
Social layers en financiële layers mengen niet
“Crypto is een hele sociale sector. NFT’s, sociale media, Telegram – al deze platforms maken mensen tot doelwit voor aanvallers.”
Federico Variola was vooral kritisch over hoe gevoelig contact vaak plaatsvindt in omgevingen die helemaal niet voor beveiliging zijn gemaakt.
“Telegram is vooral een van de slechtst beheerde platforms qua beveiliging, maar het is wel de standaard waarop de sector communiceert.”
Hij zei ook dat hij zich niet prettig voelt bij de groeiende trend van wallet-tracking en publieke koppelingen.
“Ik hou niet van de trend om wallets aan bepaalde mensen te koppelen. Dat voelt heel anti-crypto. Maar de realiteit is: hoe succesvoller je bent in deze sector, hoe groter het doelwit, en hoe meer moeite je moet doen om jezelf te beschermen.”
Decentralisatie verandert de economie van aanvallen
Vooruitkijkend ziet Variola decentralisatie en self-custody als onderdeel van een grotere verandering in de manier waarop crypto-beveiliging verloopt.
“Als decentralisatie de norm wordt, verdelen we het beveiligingsrisico over meer plekken. Hackers zullen dan mensen één voor één moeten raken in plaats van één zwakke plek te vinden – een single point of failure.”
Dat betekent niet dat er geen risico’s meer zijn. Het risico wordt alleen anders verdeeld.
“DEX’s en gedecentraliseerde platforms hebben hun eigen uitdagingen. Code is de wet. Je kunt een chain niet zomaar stoppen. Er komen dus nieuwe risico’s bij. Maar ik denk dat dit uiteindelijk positief is voor de sector.”
Voor exchanges betekent dat aanpassen, niet tegenhouden.
“Gecentraliseerde platforms verdwijnen niet, maar we moeten meegroeien. Het beveiligingsmodel moet veranderen samen met het gedrag van gebruikers.”
Welke crypto vecht over vijf jaar nog door
Als hij vooruitkijkt, zegt Federico Variola niet dat crypto dit probleem zomaar even ‘’oplost’’ en daarna verdergaat.
“AI wordt de grootste uitdaging,” zei hij. “Verderop brengt quantum computing nog een extra risico mee.”
Op de vraag of AI de verdedigers evenveel helpt als de aanvallers, was zijn antwoord direct: “Helaas denk ik dat het aanvallers juist meer helpt dan het mensen veiliger maakt.”
Variola ziet dit als een teken van volwassenwording voor de sector. Crypto trekt veel technisch talent aan, en beveiliging wordt steeds meer onderdeel van het dagelijkse werk en communicatie van bedrijven. In een systeem waar je zo min mogelijk op vertrouwen bouwt, gaat de aandacht nu naar waar er nog wel vertrouwen is – en hoe je daarmee omgaat.
