In de wereld van digitale activa worden de onaantastbaarheid van blockchain en de robuustheid van cryptografische protocollen vaak geprezen. Toch ligt voor bedrijven die in deze sector actief zijn het meest kritieke risico niet bij de blockchain zelf, maar bij de traditionele infrastructuurlagen.
Een reeks grote tekortkomingen bij Waltio, die The Big Whale kan onthullen, is een harde herinnering: de beveiliging van klantgegevens blijft door veel diensten verwaarloosd, waardoor slecht beschermde databases ware adressenlijsten voor georganiseerde misdaad worden.
De Franse start-up, opgericht in 2019, biedt een hulpmiddel voor belastingaangiftehulp aan belastingplichtigen met digitale activa. Het claimt 80.000 klanten, van wie sommigen zeer grote vermogens bezitten.
Volgens onze informatie was het slachtoffer van een inbraak in zijn systemen in het eerste kwartaal van 2025.
In tegenstelling tot een ander incident op 21 januari 2026, is hierover nooit gecommuniceerd.
$550.000 gestolen uit de kas van Waltio
Tijdens deze aanval werden crypto-activa die toebehoorden aan het bedrijf gestolen via het bemachtigen van een "seed" die was opgeslagen in de online tools van Waltio (een soort wachtwoord dat toegang tot fondsen verleent).
6,18 bitcoins werden uit de kas gestolen, wat overeenkomt met bijna $550.000 tegen de huidige koers. "Wij kunnen deze informatie noch bevestigen noch ontkennen," antwoordde Pierre Morizot, de directeur van de start-up, ons per e-mail.
Daarnaast is het zeer waarschijnlijk dat de hackers ook toegang hebben gekregen tot klantgegevens: het systeem van Waltio voorzag niet in scheiding tussen bedrijfs- en klantgegevens (voornamelijk e-mailadressen gekoppeld aan crypto-vermogenssaldi).
Wij kunnen bevestigen dat het bedrijf in het eerste kwartaal van 2025 een cybersecuritybedrijf heeft ingeschakeld met als doel deze zaak tot op de bodem uit te zoeken.
Het onderzoek van dit bedrijf kon echter niet ver komen vanwege één groot probleem: Waltio had geen procedure ingesteld voor het analyseren van de digitale sporen die door de beheerders van het platform werden achtergelaten.
Als aanbeveling stelde het auditbedrijf voor om het gehele systeem te vervangen omdat Waltio "blind" was voor alles wat er kon gebeuren.
"De BA-BA van IT-beveiliging en scheiding moest worden geïnstalleerd, inclusief logfeedback en een conforme toegangsbeleid voor een bedrijf dat zulke gevoelige gegevens beheert," vertelt een bron die de situatie meemaakte aan The Big Whale.
Maar de belangrijkste vraag is: welke gegevens zijn er gestolen?
Volgens directeur Pierre Morizot: "Er is absoluut geen verband tussen de fondsen van het bedrijf en het product. Dit zijn twee totaal gedecorreleerde technologische infrastructuren die niet met elkaar communiceren."
"Het was de globale infrastructuur van Waltio die risico liep. Toegegeven, de CRM van het bedrijf en zijn wallet zijn gedecorreleerd, maar een kwetsbaarheid in de globale toegang van het bedrijf gaf de hackers brede toegang tot de verschillende tools," benadrukt onze bron.
"Het enige wat we zeker weten is dat er sprake was van een compromis door de diefstal van de crypto's," benadrukt deze getuige. "Maar aangezien er niets gescheiden was in de totale infrastructuur, impliceert dit dat het klantenbestand op het moment van de aanval zeer kwetsbaar was."
Volgens de Europese RGPD-verordening is een bedrijf verplicht de situatie te melden aan de CNIL en zijn klanten te waarschuwen als persoonsgegevens zijn getroffen en vooral als er risico is voor individuen.
Op de vraag hierover kon Waltio geen bewijs leveren dat dit incident was gemeld.
"Deze hack bevindt zich in een grijs gebied: het ontbreken van logs maakt het onmogelijk om met zekerheid vast te stellen wat er is gebeurd, wat kan verklaren waarom men vindt dat er niets te communiceren valt," merkt een expert op.
Openbaar ministerie van Parijs onderzoekt nieuwe aanval
Na geruchten die eind december 2025 op sociale netwerken circuleerden, waarin werd beweerd dat het klantenbestand op hackersfora stond (ontkend door het bedrijf), was Waltio het onderwerp van een mededeling op 22 januari 2026 van het Openbaar Ministerie van Parijs.
Hierin staat dat exploitanten van crypto-activa "recentelijk slachtoffer zijn geworden van lekken van persoonsgegevens".
Er wordt melding gemaakt van "een lopend onderzoek betreffende het bedrijf Waltio".
Dit wordt bevestigd door het bedrijf op 23 januari 2026, dat verwijst naar een inbraak in zijn systemen in de nacht van 21 januari 2026:
"De blootgestelde gegevens betreffen een beperkte scope gekoppeld aan de generatie van belastingrapporten 2024, afgesloten op 31/12/2024. In gevallen waarin het belastingrapport compleet is, kunnen de volgende gegevens voorkomen: het e-mailadres van de gebruiker, geaggregeerde gegevens uit het belastingrapport 2024: winsten en verliezen, saldi op 31/12/2024 afhankelijk van de structuur van het rapport," aldus in een verklaring.
Er wordt nooit verwezen naar het incident in het eerste kwartaal van 2025.
Deze gebeurtenissen vinden plaats tegen een brandende achtergrond, op een moment dat een golf van aanvallen op houders van crypto-activa door Frankrijk raast. Sinds 1 januari 2025 zijn er bijna 30 gevallen door de media gemeld, waarvan sommige bijzonder gewelddadig (alle hier geteld).
Er zijn er minstens zeven sinds het begin van 2026, waaraan de verijdelde aanval op een Parijs koppel dat in de sector werkt, moet worden toegevoegd.
Hulpmiddelen voor belastingaangiftehulp in het middelpunt van de belangstelling
Voor criminele netwerken die privégegevens van houders van crypto-activa willen verzamelen, zijn bedrijven als Waltio zeker aantrekkelijke doelwitten.
Volgens bronnen dicht bij het onderzoek ondervinden concurrenten Koinly en BlockPit al enkele maanden golven van computer- en phishingaanvallen.
Maar Waltio lijkt het meest getroffen te zijn.
Er zou ook misbruik zijn gemaakt van een kwetsbaarheid via Google-registratie op het platform.
In gewone taal: als een hacker het e-mailadres kende van een Waltio-klant die zich via zijn Gmail-account had aangemeld, was het mogelijk eenvoudig toegang te krijgen tot hun Waltio-interface en dus tot al hun informatie.
Op de vraag hierover zei Pierre Morizot: "Zoals we al twee keer hebben gecommuniceerd (in oktober 2025 aan de betrokken gebruikers en vervolgens op 24 december 2025 publiekelijk op X), kunnen we bevestigen dat Waltio in oktober 2025 een beveiligingsincident heeft meegemaakt waarbij 216 accounts betrokken waren, of minder dan 0,2% van onze gebruikersbasis. Op de dag van ontdekking zijn alle getroffen gebruikers geïnformeerd en is de CNIL op de hoogte gebracht."
Volgens hem werd de kwetsbaarheid "onmiddellijk in oktober 2025" opgelost, waarbij hij ook aangaf dat het bedrijf "de fondsen van zijn gebruikers niet beheert".
Waltio slaat ook geen namen of fysieke adressen op, alleen e-mails en informatie over de crypto-activa van zijn klanten. Maar deze informatie is bijzonder kritisch en kan gemakkelijk worden gekruist met andere recente datalekken (telecomoperators, France Travail, e-commercesites, sportfederaties, enz.).
Uiteindelijk zijn hackers in staat om volledige adressenlijsten van houders van crypto-activa samen te stellen (naam, fysiek adres, telefoonnummer, enz.) waaraan ze een hoeveelheid vermogen in digitale activa kunnen koppelen en in sommige gevallen details van hun transacties.
Deze personen worden vervolgens telefonisch benaderd waarbij criminelen proberen hen op te lichten.
Een proces dat wordt bevestigd door het Openbaar Ministerie van Parijs, dat ook melding maakt van telefoontjes van valse vertegenwoordigers van de ordehandhaving (politieagenten, gendarmes, douaniers, magistraten), met als doel aanvullende informatie over de houders te verkrijgen of zelfs gevoelige documenten of objecten (betaalmiddelen, recovery keys ("seeds"), waardevolle goederen, enz.).
Voor de zeer vermogenden kan deze informatie zelfs de bron zijn van bijzonder gewelddadige aanvallen op hun woningen. Dit geldt met name voor de klanten van Waltio (en soortgelijke bedrijven) van wie het financiële leven nu wordt blootgesteld.
Door het verwerken van uiterst kritische gegevens zonder de juiste encryptie- of segmentatieprotocollen, zullen deze bedrijven onderhevig blijven aan terugkerende en steeds geavanceerdere aanvallen.
"Om deze gegevens zo effectief mogelijk te beschermen, hebben wij strikte beveiligingscontroles geïmplementeerd, die regelmatig worden gecontroleerd door een toonaangevend bedrijf als onderdeel van onze SOC 2-certificering," zegt het hoofd van een soortgelijk bedrijf dat is benaderd in het kader van ons onderzoek.
Om daaraan toe te voegen: "Naast deze audits zijn deze controles ook onderworpen aan regelmatige beveiligingstests, waaronder interne (2 per jaar) en externe (1 per jaar) penetratietests."
Waltio verzekert ons dat het bezig is dit soort beveiliging te implementeren, na een eerste versterking in 2025.
Nu gelekte gegevens het mogelijk maken om precies de wallets met het meeste geld te lokaliseren en te identificeren, vervaagt de grens tussen cyberrisico en fysieke veiligheid. De toename van gerichte aanvallen toont aan dat gegevens het meest toxische bezit zijn geworden als ze slecht worden beheerd.
Voor getroffen bedrijven versterken deze gevallen het feit dat technische due diligence op gegevensbeheer nu even cruciaal is als het auditen van smart contracts.
Update van 27/01/2026:
Meer dan 24 uur na de publicatie van dit artikel publiceerde Waltio op sociale media een uittreksel van een klacht die was ingediend met betrekking tot de diefstal van crypto-activa uit zijn kas. Deze klacht was niet genoemd toen het bedrijf door The Big Whale werd benaderd, ondanks specifieke vragen over dit incident, waarbij men ervoor koos het "noch te bevestigen noch te ontkennen".
Als de golf van aanvallen op houders van crypto-activa in Frankrijk versnelt, is start-up Waltio het slachtoffer geworden van meerdere inbraken in zijn systeem, waaronder minstens één die begin 2025 nooit is gemeld. Het klantenbestand voorziet momenteel criminele groepen van informatie..
%201.png)
%201.png)
%201.png)
%201.png)
%201.png)
