De cryptobeveiligingsfirma CertiK schat dat slachtoffers ongeveer $101 miljoen hebben verloren door crypto wrench attacks in de eerste vier maanden van 2026. Als de trend in dit tempo doorzet, komt dat neer op honderden miljoenen dollars verlies voor heel 2026. 

Wrench attacks, een term die in de cybersecuritywereld wordt gebruikt voor fysieke aanvallen en afpersingspogingen die zelfs de meest robuuste softwarebeveiligingssystemen kunnen omzeilen, zijn nu een "gevestigde dreigingsvector voor cryptocurrency-houders" geworden, zo schreef het bedrijf.

Experts zeggen dat 2025 het meest actieve jaar was voor crypto-gerelateerde wrench attacks ooit, met ongeveer 70 gemelde fysieke aanvallen. Vanwege de aard van deze aanvallen is het echter waarschijnlijk dat veel ongemeld blijven. 

Tot nu toe in 2026 zijn er volgens CertiK wereldwijd 34 geverifieerde incidenten geweest, een stijging van 41% ten opzichte van dezelfde periode in 2025. Geëxtrapoleerd komt dit neer op naar schatting 130 incidenten en enkele honderden miljoenen aan verliezen die voor het hele jaar worden verwacht. 

Opmerkelijk is dat 28 van de 34, ofwel 82%, van deze aanvallen zijn geregistreerd in Europa. Ondertussen zijn de gemelde bedreigingen in de VS in het eerste kwartaal gedaald naar drie, van negen in 2025, en in Azië naar twee van 25, aldus CertiK. 

Frankrijk staat opnieuw in de schijnwerpers, met tot nu toe 24 geregistreerde aanvallen in 2025. Dit is vergeleken met 20 gedurende vorig jaar, wat al "de landelijke uitsplitsing met ruime marge domineerde."

Vorig jaar kwam het Franse Ministerie van Binnenlandse Zaken bijeen met leiders uit de crypto-industrie in het land om hun veiligheidsproblemen te bespreken na de spraakmakende ontvoering en marteling van Ledger mede-oprichter David Balland en zijn vrouw.

CertiK wijst op verschillende factoren die de frequentie van wrench attacks in Frankrijk beïnvloeden, waaronder de aanwezigheid van verschillende toonaangevende bedrijven zoals Ledger en Binance, het hoge aantal datalekken die het land hebben getroffen, en de "cultuur van opscheppen en vrijwillig doxxing die diep verankerd blijft in de gemeenschap."

Er is ook een groeiend begrip van het type mensen dat deze misdaden pleegt en hun modus operandi. CertiK merkt op dat kleine teams van 3 tot 5 mensen, vaak jong, vaak worden gerekruteerd via Telegram of Snapchat om als grondploeg te opereren. De orkestrators bevinden zich ondertussen vaak in het buitenland op plaatsen zoals Marokko, Dubai en Oost-Europa. 

CertiK zei dat er ook een recente verschuiving is geweest naar een "data-gestuurd targeting" model, dat de noodzaak van fysieke surveillance minimaliseert door informatie zoals de volledige naam, het huisadres en het financiële profiel van een slachtoffer te kopen van online makelaars. 

"Ze kopen datalijsten, geven opdrachten aan coördinatoren en ontvangen geld voordat ze het witwassen," merkt CertiK op.

Aanvallers richten zich ook steeds vaker op "proxies", waarbij meer dan de helft van de incidenten dit jaar een "lid van de familie van het primaire doelwit (echtgenoot, kind, oudere ouder) betrof, hetzij als direct slachtoffer, hetzij als drukmiddel."

Terwijl aanvallers online tools gebruiken om slachtofferprofielen op te stellen, is veel van het gedrag ter plaatse ongewijzigd. 

"Toegangstechnieken blijven grotendeels hetzelfde als in 2025, met een sterke persistentie van de Deurbel Vector (bezorgpersoneel, nep-politieagenten, enz.) en de Honeypot (fictieve zakelijke bijeenkomsten, nep OTC-deals, enz.)," schreef CertiK.