AI-hackers remmen institutionele adoptie van DeFi

AI-gedreven aanvallen worden een grotere rem op institutionele adoptie van DeFi. CertiK-CEO Ronghui Gu zegt dat banken en andere financiële instellingen wel naar on-chain markten kijken, maar dat near-daily exploits, smart contract-risico’s, oracle-aanvallen en kwetsbare bridges de stap naar grote vermogens blijven vertragen.

Volgens berichtgeving stelt Gu dat traditionele financiële instellingen verwachten dat de komende jaren veel meer assets on-chain kunnen bewegen. Tegelijk blijven beveiligingsrisico’s volgens hem een van de grootste blokkades voor brede institutionele adoptie.

De waarschuwing is niet abstract. Gu zei tegen CoinDesk dat april de slechtste maand voor DeFi-exploits in vier jaar was. CertiK detecteerde volgens hem hacks op 27 van de 30 dagen.

Dat maakt beveiliging opnieuw een centraal thema in het tokenisatie- en DeFi-verhaal. De sector praat vaak over ETF’s, MiCA, stablecoins, real-world assets en institutionele settlement. Maar geen bank gaat grote klantvermogens verplaatsen naar infrastructuur waarvan de risicolaag onvoldoende beheersbaar is.

Voor retailgebruikers is een DeFi-exploit vaak een projectrisico. Voor banken en vermogensbeheerders is het veel breder: governance, compliance, reputatie, aansprakelijkheid en operationele continuïteit.

Die institutionele lat ligt hoger dan in crypto-native markten.

AI verandert het beveiligingsprobleem niet vanaf nul. Smart contract-bugs, bridge-kwetsbaarheden en oracle-manipulatie bestonden al. Wat verandert, is de snelheid en schaal waarmee aanvallers zwaktes kunnen zoeken.

CertiK schreef zelf dat AI-adoptie in Web3 nieuwe risico’s creëert zodra agents toegang krijgen tot digitale assets, bestanden, credentials en on-chain transacties. In zulke omgevingen kan één gemiste review of onveilige permissie een hele host of walletomgeving in gevaar brengen.

Gu zei in een CertiK-interview dat AI aanvallen kan versterken door phishingcampagnes te schalen, exploit discovery te automatiseren en operationele zwaktes efficiënter te vinden. Hij benadrukte dat security daardoor verder moet gaan dan klassieke smart contract-audits.

Dat is de kern. AI maakt DeFi niet automatisch onveilig, maar verlaagt wel de kosten van zoeken naar fouten.

DeFi kent een structurele asymmetrie. Een protocol moet elke kritieke fout voorkomen. Een aanvaller heeft genoeg aan één werkende route.

The Block meldde eerder dat Gu deze situatie een “unfair game” noemde. Aanvallers kunnen AI gebruiken om kwetsbaarheden sneller te vinden en aanvalspatronen over meerdere protocollen te herhalen, terwijl verdedigers vaak werken met afgebakende audits, beperkte budgetten en strakke deadlines.

Dat probleem wordt groter door composability. DeFi-protocollen hangen vaak aan elkaar via lending pools, liquiditeit, oracles, bridges en collateralroutes. Eén exploit kan daardoor meer raken dan één smart contract.

Voor instellingen is dat lastig te verkopen. Een bank moet kunnen uitleggen waarom een protocol veilig genoeg is, wie de risico’s monitort en wat er gebeurt bij een incident.

Gu wijst volgens CoinDesk niet alleen naar smart contracts, maar ook naar oracle-manipulatie en cross-chain bridges.

Dat is logisch. Bridges verbinden liquiditeit tussen ketens, maar vergroten ook het aanvalsoppervlak. Oracles bepalen welke prijsdata protocollen gebruiken, en zijn daardoor cruciaal voor liquidaties, collateral en lending.

Als AI-aanvallers sneller zwaktes kunnen vinden in deze infrastructuur, groeit het systeemrisico. Niet omdat iedere bridge of oracle onveilig is, maar omdat de impact van één fout groot kan zijn.

Institutionele partijen kijken precies naar zulke zwakke punten. Zij willen geen infrastructuur die alleen onder normale omstandigheden werkt. Zij willen weten wat er gebeurt bij stress, marktpaniek, validatorproblemen of datamanipulatie.

De belangrijkste conclusie is dat een audit voor lancering niet langer genoeg is. CertiK benadrukt zelf dat de sector meer moet investeren in operational security, monitoring en real-time threat detection.

Voor DeFi betekent dat een bredere security stack. Denk aan formele verificatie, continue codeanalyse, bug bounties, runtime monitoring, circuit breakers, limieten op bridge-exposure, oracle-fallbacks en duidelijke incidentrespons.

Ook governance moet scherper. Wie mag een contract pauzeren? Wanneer wordt een pool bevroren? Welke partij communiceert met gebruikers? Hoe worden verliezen verdeeld?

Zonder zulke antwoorden blijft DeFi voor instellingen aantrekkelijk in theorie, maar moeilijk inzetbaar in praktijk.

Voor Europa is dit extra relevant. MiCA en andere toezichtskaders geven meer juridische duidelijkheid voor cryptodienstverleners, stablecoins en markttoegang. Maar juridische duidelijkheid is niet hetzelfde als technische veiligheid.

Als DeFi of tokenized finance richting professionele marktinfrastructuur groeit, moeten protocollen aantonen dat hun operationele risico’s beheersbaar zijn. Dat gaat verder dan vergunningen.

Een bank in Nederland of België zal niet alleen vragen of een dienst juridisch mag. Zij zal vragen hoe custody, smart contracts, bridges, oracledata, monitoring en incidentrespons zijn ingericht.

Daar ligt de echte institutionele adoptiedrempel.

Crypto presenteert AI vaak als groeikans: agents, tradingtools, researchbots, automatisering en betere UX. Dat klopt deels. Maar dezelfde technologie versterkt ook de aanvalskant.

AI kan aanvallers helpen sneller code te scannen, social engineering te verbeteren, phishing te personaliseren en exploitpatronen te herhalen. Daarmee wordt security geen achteraflaag meer, maar een kernvoorwaarde voor adoptie.

Voor DeFi is dat ongemakkelijk. De sector wil financiële infrastructuur worden, maar moet dan ook functioneren als infrastructuur onder aanval.

Dat is een veel zwaardere lat dan een hoge TVL of snelle productlancering.

AI-hackers maken DeFi niet kansloos, maar wel moeilijker verkoopbaar aan instellingen. Banken, vermogensbeheerders en paymentspelers kunnen interesse hebben in on-chain finance, maar zullen geen grote vermogens verplaatsen naar systemen waarvan de beveiliging vooral op periodieke audits en vertrouwen in projectteams leunt.

De volgende fase van DeFi-adoptie draait daarom niet alleen om regels, liquiditeit of tokenisatie. Zij draait om verdedigbaarheid.

Als AI de aanvalskant versnelt, moet de verdediging structureel worden: continue monitoring, formele verificatie, sterke bridge-architectuur, betere oraclebescherming en duidelijke incidentprocessen.

Zonder die laag blijft DeFi voor instellingen een belofte met een te groot operationeel vraagteken.