AI-coding maakt walletfraude sneller en security luiheid duurder
AI maakt niet alleen builders sneller, maar ook fraudeurs. Anthropic, Europol, DORA en de ECB tonen dezelfde harde les voor crypto-wallets: een simpele waarschuwing vóór een handtekening is niet genoeg wanneer de aanval al door AI is voorbereid.
- 8 keer meer code merge de typische Anthropic-engineer per dag dan in 2024.
- 3.383 grote ICT-incidenten stonden in het eerste DORA-overzicht.
- 9 oktober 2025 werd verification of payee verplicht in de eurozone.
Dit is geen productiviteitsverhaal. Dit is een securitytest.
AI versnelt ook de aanvaller
Anthropic schrijft dat de typische engineer in het tweede kwartaal van 2026 acht keer zoveel code per dag merge als in 2024. De reden is simpel: Claude schrijft veel code, terwijl de engineer stuurt en reviewt.
Dat zegt niet dat elke extra regel kwaadaardig is. Het zegt wel dat software sneller ontstaat, sneller verandert en sneller wordt getest.
Die versnelling blijft niet netjes aan de goede kant van de markt. Fraudeurs gebruiken dezelfde productielogica. Meer varianten. Meer lokalisatie. Meer nepinterfaces. Meer scripts.
De blockchain laat sporen achter. De aanval begint alleen vaak vóór de blockchaintransactie.
Europol ziet fraude industrialiseren
Europol noemt online fraud schemes in IOCTA 2026 een van de snelst groeiende vormen van georganiseerde cybercrime. Het rapport wijst op generatieve AI die social engineering persoonlijker en gevaarlijker maakt.
Agentic AI maakt het probleem groter. Europol waarschuwt dat delen van het criminele proces verder kunnen worden geautomatiseerd. Denk aan scripts, impersonatie, voicebots en voorbereidende selectie van slachtoffers.
Dat raakt crypto direct. De sector heeft zelfbewaring, internationale platforms, pseudonieme wallets en onomkeerbare transacties.
Eén slechte klik kan hier geen gewone klantendienstzaak zijn. Het kan de hele wallet raken.
Drainers zijn geen gewone phishing meer
Europol noemt cryptocurrency drainers als crime-as-a-service-model. Dat is belangrijk. Een drainer is geen normale phishingmail met slecht Nederlands.
Een drainer probeert een gebruiker te laten tekenen. Niet altijd door een wachtwoord te stelen, maar door toestemming te manipuleren.
De gebruiker verbindt een wallet. De interface lijkt logisch. Het contract vraagt machtiging. De transactie krijgt een handtekening. Daarna loopt de wallet leeg.
De zwakke plek zit dus niet alleen in code. Zij zit in interface, toestemming en psychologische druk.
Wallets waarschuwen te laat
Veel wallet-security komt nog uit een ouder tijdperk. De aanval was zichtbaar. De website was slordig. De mail zag er verdacht uit. De gebruiker moest alleen even opletten.
Die wereld verdwijnt.
AI maakt taal beter. AI maakt lokalisatie beter. AI maakt nephelpdesks geloofwaardiger. AI maakt landingspagina’s consistenter.
Een prompt met “weet je zeker dat je wilt signen?” is dan te zwak. De gebruiker is op dat moment al door de funnel getrokken.
De waarschuwing komt aan het eind. De manipulatie begon veel eerder.
DORA wijst op dezelfde richting
De Europese toezichthouders publiceerden op 3 juni 2026 hun eerste rapport over grote ICT-incidenten onder DORA. Zij telden 3.383 grote incidenten in de financiële sector. Ongeveer een derde had grensoverschrijdende impact.
De ESAs wijzen daarbij op verweven ICT-risico’s in de financiële sector. Zij stellen ook dat de snelle ontwikkeling van capabele AI-gedreven tools financiële instellingen moet aanzetten hun cyberweerbaarheid te versterken.
Dat geldt niet alleen voor banken. Crypto-exchanges, custodians en walletmakers zitten in dezelfde dreigingsomgeving.
Europa digitaliseert de rails, maar controleert de toegang.
Verification of payee laat de les zien
De ECB legt uit dat verification of payee betalers waarschuwt als de opgegeven naam niet past bij de betaalrekening. Dat moet vóór uitvoering van de betaling gebeuren.
Voor eurozonelanden geldt die verplichting sinds 9 oktober 2025 voor betaaldienstverleners onder de Instant Payments Regulation.
Self-custody wallets vallen niet automatisch onder diezelfde betaalregel. De les blijft wel hard.
Bij snelle en onomkeerbare betalingen is verificatie vóór uitvoering waardevoller dan uitleg achteraf. Crypto moet dat principe serieuzer nemen.
Niet kopiëren. Wel begrijpen.
Crypto heeft een eigen VoP nodig
Een wallet kan niet simpelweg IBAN-naamcontrole namaken. Crypto werkt anders. Adressen zijn pseudoniem. Smart contracts vragen rechten. Transacties bevatten calldata.
Maar de wallet kan wel meer context tonen.
Wie krijgt toegang? Wat mag dit contract doen? Is dit contract nieuw? Past het gedrag bij eerdere interacties? Heeft dit adres drainerpatronen? Gaat het om een onbeperkte tokenallowance?
Dat zijn geen luxe-features. Dat zijn remmen vóór de klap.
Een wallet die alleen hexdata verbergt en een groene knop toont, is in 2026 geen product. Het is een aansprakelijkheidsmachine.
Luie UX wordt gevaarlijk
Crypto heeft jarenlang frictie gehaat. Minder klikken. Sneller signen. Minder waarschuwingen. Mooiere flows.
Dat had zin bij gewone gebruikersgroei. Het botst nu met AI-fraude.
Aanvallers willen precies die frictieloze route. Zij bouwen de psychologische laag en laten de wallet het laatste zetje geven.
Daarom moet wallet-UX veranderen. Niet door gebruikers met tien waarschuwingen te vermoeien. Wel door betere risicosignalen op het juiste moment te tonen.
Minder domme waarschuwingen. Meer specifieke uitleg.
Exchanges staan ook in beeld
Exchanges kunnen niet achter wallets schuilen. Europol noemt investeringsfraude, vooral rond crypto, als veelvoorkomende vorm van online fraude in lidstaten.
Dat raakt onboarding, monitoring en withdrawal flows. Een gebruiker die door AI-social engineering is gestuurd, kan zelf geld naar een frauduleus adres sturen.
Daar helpt geen klassieke “u bent zelf verantwoordelijk”-zin.
Exchanges hebben gedragspatronen. Devices. Locaties. Adresgeschiedenis. Withdrawal timing. Contact met helpdesk.
Als die signalen botsen, moet het systeem vertragen.
AI maakt fraude operationeel sterker
De grootste verandering is niet één perfecte deepfake. De grootste verandering is throughput.
Fraudeurs kunnen sneller landingspagina’s testen. Sneller berichten herschrijven. Sneller doelgroepen opdelen. Sneller scripts vertalen. Sneller nephelpdeskflows draaien.
Dat is operationele macht.
Vroeger won phishing vaak op volume. Nu komt daar verfijning bij.
Een fraudeteam hoeft niet volledig autonoom te worden om gevaarlijker te worden. Het hoeft alleen sneller te itereren dan de walletmaker.
Builders krijgen dezelfde tools
De positieve kant blijft bestaan. AI-coding helpt walletteams, auditors en securitybedrijven ook.
Zij kunnen sneller regels schrijven. Sneller contracten testen. Sneller phishingkits analyseren. Sneller verdachte domeinen clusteren.
Maar dat voordeel komt niet vanzelf. Het vraagt investering.
Wie AI alleen gebruikt om features sneller te shippen en security later doet, geeft aanvallers een voorsprong.
Dat is de kern. Productiviteit zonder weerbaarheid vergroot het aanvalsoppervlak.
De nieuwe norm is context
Wallet-security moet van toestemming naar betekenis.
Niet: “wil je deze transactie tekenen?”
Wel: “dit contract krijgt onbeperkte toegang tot je USDC, is pas net live, heeft geen eerdere interactie met jou en lijkt op bekende drainers.”
Dat is een andere standaard.
Die standaard past bij een markt waarin AI scams persoonlijker maakt. De gebruiker moet niet alleen een knop zien, maar de consequentie begrijpen.
De code achter de handtekening moet menselijk leesbaar worden vóór het geld vertrekt.
Oude waarschuwingen zijn op
De oude verdedigingslijn was educatie. Klik niet zomaar. Controleer de URL. Deel je seed phrase niet.
Dat blijft waar. Het is alleen onvoldoende.
AI maakt nepcontext geloofwaardiger. De gebruiker ziet niet één link, maar een hele overtuigende route. Advertentie. Chat. Helpdesk. Website. Walletprompt.
Daarom moet de infrastructuur meeveranderen.
Security mag niet alleen in de gebruiker zitten. Security moet in de flow zitten.
Crypto moet vóór de handtekening ingrijpen
AI-coding maakt builders sneller. Het maakt fraudeurs ook sneller.
Anthropic laat de softwareversnelling zien. Europol laat zien dat online fraude die versnelling absorbeert. DORA waarschuwt dat financiële cyberrisico’s grensoverschrijdend en verweven zijn. De ECB laat met verification of payee zien dat betaalveiligheid vóór uitvoering moet zitten.
Voor crypto is de conclusie simpel. Wallets, exchanges en custodians moeten niet wachten tot gebruikers in een AI-gestuurde val staan.
Een handtekening is in crypto vaak het laatste moment. Niet het eerste. Wie daar pas begint met security, is te laat.
Stop met te veel betalen voor je crypto. Bij de Amsterdamse exchange Finst handel je tegen de laagste tarieven van Nederland, zonder verborgen kosten.
👀 Bekijk Finst nu ›Let op: Beleggen in crypto brengt risico’s met zich mee. Handel alleen met geld dat u kunt missen.
Ga verder met lezen
Dit vind je misschien ook leuk
Laat mensen jouw mening weten
Lees ook
Populair Nieuws
Loading
