Na Kelp staat DeFi voor een AI-probleem dat het nog niet heeft ingeprijsd

Gedecentraliseerde financiën hebben zojuist hun slechtste twee weken ooit doorgemaakt. Een uitstroom van $292 miljoen uit Kelp DAO's restaked-ether bridge in het weekend, na de $285 miljoen exploit van Drift Protocol op 1 april, heeft de cumulatieve DeFi-verliezen van april voorbij de $580 miljoen geduwd — en een uitstroom van $6 miljard uit Aave alleen veroorzaakt toen depositohouders zich naar de uitgangen haastten.

Bitcoin, op zijn beurt, heeft nauwelijks bewogen en handelt rond $75.000 terwijl de besmetting zich voltrok. Maar de kalmte van de sector maskeert een dieper probleem. De Kelp-aanvaller heeft geen cryptografie gebroken of een zero-day in een smart contract gevonden. Ze maakten misbruik van een configuratiekeuze in een cross-chain verifier, misleidden de messaging layer van LayerZero om een vervalste instructie goed te keuren, en creëerden 116.500 rsETH uit het niets op Ethereum. De contracten waren niet gebroken, zoals één ontwikkelaar-gerichte postmortem het verwoordde — de verificatielaag was dat wel. Dat onderscheid is belangrijk, omdat de volgende klasse aanvallers de configuratiefouten niet meer nodig zal hebben. Ze zullen AI hebben.

Aave daalde op het nieuws, Bron: BNC

Een vijandige periode en een dunner wordende voorsprong

Het directe beeld is lelijk. Kelp's exploit is nu de grootste DeFi-hack van 2026 en heeft Drift met ongeveer $7 miljoen overtroffen. Kleinere uitstromen bij CoW Swap, Zerion, Rhea Finance en Silo Finance hebben de weken ertussen gevuld. Blockchain-beveiligingsbedrijf Cyvers schatte de totale Q1 crypto-verliezen op ongeveer $482 miljoen; dat cijfer is al sterk verouderd. De totale waarde vergrendeld in Aave daalde van $26,4 miljard op 18 april naar onder de $20 miljard tegen zondagochtend tijdens Amerikaanse handelsuren, volgens DefiLlama, en de AAVE-token verloor meer dan 18% in het weekend toen depositohouders probeerden zich te lenen uit bevroren rsETH-markten.

Stani Kulechov, oprichter van Aave, merkte snel op dat de eigen contracten van het protocol niet waren gecompromitteerd. Dat is waar, en het is ook een schrale troost: Aave accepteerde rsETH als onderpand, de dekking van dat onderpand verdampte op een bridge die Aave niet controleert, en zo'n $196 miljoen aan oninbare schulden zit nu bij de grootste kredietverstrekker in DeFi. Protocollen waaronder SparkLend, Fluid en Lido's earnETH hebben rsETH-markten opgeschort of nieuwe deposito's gepauzeerd terwijl ze hun blootstelling uitwerken.

De bredere les die bouwers trekken is structureel. Flexibele, modulaire cross-chain beveiliging — waarbij individuele projecten hun eigen verifier-sets kiezen — kan instorten tot een enkel storingspunt als de configuratie misgaat. "We observeren herhaalde, identieke exploit-pogingen over meerdere contracten tegelijkertijd," vertelde Stephen Ajayi, dapp audit technical lead bij blockchain-beveiligingsbedrijf Hacken, aan DL News eerder deze maand, waarbij hij een patroon beschreef dat volgens hem consistent was met gescripte, agent-gestuurde onderzoeken van DeFi-contracten.

Wat AI al in een lab heeft gedaan

Ajayi's taalgebruik is belangrijk. De angst in DeFi-beveiligingskringen is niet langer dat aanvallers uiteindelijk zullen automatiseren. Het is dat ze dat al hebben gedaan, en dat de economie van de wapenwedloop stilletjes is omgekeerd.

Het red team van Anthropic publiceerde eind vorig jaar onderzoek waarin frontier-modellen — Claude Opus 4.5, Claude Sonnet 4.5 en OpenAI's GPT-5 — werden losgelaten op een benchmark van 405 echte smart contracts die eerder werden geëxploiteerd tussen 2020 en 2025. De agents produceerden gezamenlijk werkende exploits ter waarde van $4,6 miljoen tegen contracten die na hun training-cutoffs waren ontstaan. Verder geduwd, werden dezelfde modellen gericht op 2.849 nieuw geïmplementeerde contracten zonder bekende kwetsbaarheden en vonden twee nieuwe bugs, waarbij exploits ter waarde van $3.694 werden geproduceerd voor een inference-uitgave van $3.476. De onderzoekers beschreven het resultaat als een proof-of-concept dat autonome, winstgevende exploitatie nu technisch haalbaar is.

Anthropic toont aan dat AI-modellen steeds meer DeFi-exploits vinden, Bron: Anthropic

Een aparte benchmark van AI-beveiligingsbedrijf Cecuro, die 90 DeFi-contracten dekt die werden geëxploiteerd tussen eind 2024 en begin 2026, vond dat een speciaal gebouwde beveiligingsagent kwetsbaarheden detecteerde in 92% ervan, vergeleken met 34% voor een algemene coding-agent die hetzelfde onderliggende model draait. De gemiddelde kosten van een AI-aangedreven scan zijn volgens het onderzoek nu ongeveer $1,22 per contract. Exploit-capaciteit lijkt, volgens dezelfde maatstaf, ruwweg elke 1,3 maanden te verdubbelen.

Dat is het getal dat allocators ongerust zou moeten maken. Een markt waarin elk actief contract met fondsen kan worden onderzocht voor een paar cent, door software die steeds beter wordt, is geen markt waarin een eenmalige audit vóór implementatie zinvolle bescherming biedt.

Het model dat Anthropic niet zal verkopen

Het risico is niet alleen theoretisch, vanwege wat al binnen de laboratoria zit. Anthropic's Claude Mythos Preview — eerder deze maand onthuld en beperkt tot een coalitie van ongeveer 40 gecontroleerde bedrijfs- en overheidspartners onder Project Glasswing — heeft al duizenden voorheen ongedetecteerde zero-days geïdentificeerd in elk belangrijk besturingssysteem en elke belangrijke browser, waaronder een 27 jaar oude fout in OpenBSD die miljoenen eerdere scans had overleefd. BNC beschreef destijds waarom die capaciteit een dringender zorg is voor DeFi dan het langlopende quantum-computing-debat: DeFi-codebases zijn open-source van opzet, waardoor ze precies het type doelwit zijn dat Mythos-klasse modellen end-to-end met machine-snelheid kunnen lezen.

Anthropic's eigen framing is veelzeggend. Het bedrijf weigerde Mythos aan het publiek vrij te geven en leverde vorige week een commercieel model, Claude Opus 4.7, dat expliciet werd omschreven als "minder breed capabel" op cybersecurity-taken dan het systeem binnen Glasswing. Dat is een concessie dat een publieke release de aanvaller-verdediger balans in de verkeerde richting zou verschuiven.

De asymmetrie prijzen

De beveiligingspositie van DeFi is niet bijgebleven. On-chain verzekeringscapaciteit blijft gemeten in honderden miljoenen dollars, tegenover een sector met ongeveer $100 miljard aan totale waarde vergrendeld. De auditmarkt kan het volume van contract-implementaties niet bijhouden, en composability blijft het oppervlak verbreden dat verdedigers moeten dekken. Toezichthouders, waaronder de EU onder MiCA, zijn begonnen met het formaliseren van openbaarmakingsvereisten, maar geen enkele verplicht nog continue adversarial testing of runtime-handhaving voor protocollen met hoge TVL.

Bouwers die het waard zijn om naar te luisteren, convergeren naar dezelfde korte lijst. Behandel elke upgrade en integratie als een nieuw aanvalsoppervlak. Maak adversarial testing continu in plaats van een eenmalige audit-mijlpaal. Segmenteer vertrouwensgrenzen zodat een enkele compromis — of het nu een verkeerd geconfigureerde verifier is, zoals bij Kelp, of een model-geassisteerde exploit morgen — niet kan doorwerken in de hele lending-stack. En prijs beveiligingspositie in allocatiebeslissingen zoals kredietmanagers wanbetalingsrisico prijzen.

De Kelp-nasleep zal op de een of andere manier worden opgelost. Een percentage van de gestolen ether kan mogelijk nog worden teruggevorderd, en Aave's Umbrella-reserve kan worden gedwongen het tekort te absorberen. Depositohouders zullen uiteindelijk terugkomen. Wat niet zal omkeren is de kostencurve. Voor het eerst heeft een capabele tegenstander niet langer een onderzoeksteam, een zero-day en een zescijferig budget nodig om een DeFi-protocol leeg te trekken. Ze hebben een paar honderd dollar aan inference-credits en een lijst met doelwitten nodig.

De vraag van de industrie voor de rest van 2026 is of haar verdediging sneller kan groeien dan die capaciteit.