Een stille aanval heeft deze week honderden EVM-wallets getroffen op Ethereum en andere compatibele ketens. Slachtoffers zagen ETH en ERC‑20‑tokens, waaronder stablecoins, verdwijnen na het ondertekenen van ogenschijnlijk onschuldige transacties. De aanval lijkt misbruik te maken van machtigingen (approvals) die veel worden gebruikt in DeFi en wallets. Het incident kwam aan het licht door opvallende on‑chain activiteit en is in Nederland gemeld door Crypto.nl.
Aanval misbruikt token-machtigingen
De kern van de aanval is het misbruiken van token‑machtigingen die gebruikers eerder aan slimme contracten gaven. Zo’n machtiging geeft een contract toestemming om namens jou tokens te verplaatsen, zonder elke keer opnieuw te ondertekenen. Aanvallers zoeken naar brede of onbeperkte machtigingen en trekken daarna de saldo’s leeg. Daardoor lijkt de uiteindelijke overboeking legitiem, terwijl de intentie dat niet was.
Gebruikers krijgen soms een verzoek te zien om een “permit”, “setApprovalForAll” of “spending cap” te tekenen. Dat lijkt onschuldig, omdat je niet direct geld verstuurt. In werkelijkheid zet je een deur open voor een later misbruikmoment. Juist die scheiding tussen toestemming en daadwerkelijke overboeking maakt de aanval stil en lastig te detecteren.
Nadat toegang is verkregen, verplaatsen aanvallers de buit razendsnel tussen adressen en ketens. Vaak wisselen zij tokens om naar gangbare assets zoals ETH of een stablecoin om de sporen te vervagen. Omdat de transacties technisch geldig zijn, kunnen knooppunten en wallets ze niet tegenhouden. Terugdraaien is niet mogelijk, want overboekingen op de keten van blokken zijn definitief.
EVM-ketens tegelijk getroffen
De aanval treft EVM‑ketens zoals Ethereum, BNB Chain en Polygon. Deze netwerken delen dezelfde onderliggende handtekening‑ en machtigingslogica, waardoor dezelfde truc op meerdere ketens werkt. Voor aanvallers verlaagt dat de drempel: één methode, veel potentiële slachtoffers. Hierdoor verspreidt de schade zich snel over meerdere ecosystemen.
Het patroon bestaat uit veel kleine tot middelgrote onttrekkingen uit losse wallets. Dat maakt het moeilijker voor detectiesystemen om direct alarm te slaan. Pas wanneer analisten meerdere adressen aan elkaar koppelen, wordt het cluster zichtbaar. Tegen die tijd zijn veel fondsen al doorgestuurd naar nieuwe adressen.
Europese en Nederlandse gebruikers worden niet specifiek geviseerd, maar lopen hetzelfde risico als iedereen met een EVM‑wallet. Tools en beurzen in de EU kunnen verdachte adressen markeren, maar dat gebeurt vaak pas achteraf. Preventie blijft dus cruciaal aan de gebruikerskant. Zonder expliciete blokkade in een wallet‑interface is een geldige, maar misleidende transactie moeilijk te stoppen.
Een EVM‑wallet is een digitale portemonnee voor ketens die compatibel zijn met de Ethereum Virtual Machine, zoals Ethereum, BNB Chain en Polygon. Daardoor werken dezelfde handtekeningen, slimme contracten en machtigingen op meerdere netwerken.
Toegang via valse websites
De eerste stap van de aanval is vaak sociale engineering: een nepwebsite, een gekaapt social media‑account of een misleidende advertentie. Bezoekers worden verleid hun wallet te verbinden en een “noodzakelijke” toestemming te tekenen. Het kan gaan om een lucht-dropping, een update, of een te mooie belofte. De onderliggende code zet een ruime machtiging of sluist direct tokens weg.
Er bestaan kant‑en‑klare “drainer‑kits” die criminelen als dienst aanbieden. Zij leveren de scripts, domeinen en dashboards om slachtoffers te volgen. Daardoor zijn de aanvallen professioneel opgezet en snel aanpasbaar. Elk nieuw domein kan weer een ronde slachtoffers opleveren.
Ook legitieme sites kunnen risico lopen als een externe scriptleverancier wordt misbruikt. Dan komt de schadelijke code via een ogenschijnlijk vertrouwde bron binnen. Voor de gebruiker oogt alles normaal, inclusief het wallet‑venster. De val zit in de tekst van het verzoek en de verborgen gevolgen.
Zo beperk je je risico
Controleer en beperk bestaande machtigingen voor ETH en ERC‑20‑tokens op alle EVM‑ketens die je gebruikt. Dat kan met publieke tools zoals Etherscan’s Token Approvals of Revoke‑diensten voor Ethereum, BNB Chain en Polygon. Zet ongebruikte of onbeperkte machtigingen uit en kies waar mogelijk voor lage bestedingslimieten. Gebruik voor grote bedragen bij voorkeur een hardware‑wallet en teken alleen op vertrouwde, zelf geboekte URL’s.
- Controleer URL’s en boekmarks; vermijd links uit advertenties of DM’s.
- Lees elk wallet‑verzoek: is het een betaling of een machtiging?
- Beperk “setApprovalForAll” en onbeperkte “allowances”.
- Herroep oude toestemmingen periodiek met een revoke‑tool.
- Schakel anti‑phishing‑woorden en adresboek/whitelists in waar mogelijk.
Ben je toch geraakt, handel snel: herroep resterende machtigingen, verplaats resterende fondsen en meld de adressen bij je exchange of wallet‑provider. Doe aangifte en bewaar alle transactie‑hashes; dat helpt bij opsporing. Let erop dat een nieuwe seed of clean wallet soms veiliger is dan een geharde oude. Het nieuws over de aanval op honderden EVM‑wallets onderstreept dat goede hygiëne rond machtigingen geen luxe is, maar noodzaak.
