Juni is een drukke maand geweest voor updates in blockchaintechnologie, met ontwikkelaars die privacylekken dichten, grote upgrades herschikken, voorstellen voor kwantumresistentie naar voren schuiven en zich haasten om de beveiliging te versterken tegen een groeiende golf van supply‑chain‑aanvallen. Van Bitcoin Core tot Ethereum, Zcash tot Polygon, het tempo van veranderingen op protocolniveau versnelt — en sommige beslissingen die nu worden genomen, zullen bepalen hoe deze netwerken zich de komende tien jaar houden.
Summary
Belangrijkste punten
- Bitcoin Core 31.1 verhelpt een privacykwetsbaarheid in de -privatebroadcast-functie van versie 31.0 die het IP‑adres van de initiator van een transactie zou kunnen blootleggen.
- Ethereum’s Glamsterdam-upgrade is uitgesteld tot de tweede helft van het jaar; de Hegotá-hard fork mikt op eind 2026/begin 2027.
- EIP-8182, een voorstel voor native private transfers, is officieel voorgesteld voor opname in de Hegotá-hard fork.
- Consensys-CEO Joseph Lubin verwacht dat Ethereum binnen 3 tot 5 jaar een volledig zero‑knowledge‑proof‑protocol wordt.
- Polygon zkEVM Mainnet Beta stopt de activiteiten op 1 juli 2026 — gebruikers moeten hun assets vóór de deadline opnemen.
- Het SlowMist Security Team bevestigde malwarevarianten die actief zijn in 23 npm‑pakketten, met 408 GitHub‑repositories die gestolen inloggegevens bevatten.
- Microsofts Majorana 2-kwantumchip is naar verluidt 1.000 keer betrouwbaarder dan zijn voorganger, met gemiddelde qubit‑levensduren van 20 seconden.
Bitcoin Core verhelpt privacykwetsbaarheid in v31.1
Een fout in de nieuw geïntroduceerde -privatebroadcast‑functie van Bitcoin Core werd deze maand openbaar — en de implicaties voor privacybewuste gebruikers zijn subtieler dan bij de meeste bugmeldingen. Versie 31.0 bevatte een kwetsbaarheid die, onder specifieke netwerkcondities, het IP‑adres van de initiator van een transactie kon blootleggen aan de ontvangende node.
Hoe het lekken van IP‑adressen daadwerkelijk gebeurt
De kwetsbaarheid treedt op wanneer private broadcast een IPv4- of IPv6‑node selecteert die BIP324 v2‑transport ondersteunt. Als de v2‑handshake mislukt, valt Bitcoin Core terug op een v1‑retry — maar die herverbinding omzeilt de Tor‑proxy volledig en maakt een directe IPv4- of IPv6‑verbinding met de peer. Het resultaat: een functie die is ontworpen om de privacy te verbeteren, doet onder bepaalde fallback‑condities precies het tegenovergestelde.
De getroffen scope is specifiek. Nodes die Bitcoin Core 31.0 draaien met -privatebroadcast ingeschakeld, transacties uitzenden via de sendrawtransaction‑RPC en in staat zijn om directe uitgaande IPv4/IPv6‑verbindingen op te zetten, lopen risico. Wallet‑RPC‑, onion‑ en I2P‑verbindingen worden niet beïnvloed.
Voordat ze upgraden naar versie 31.1, adviseert Bitcoin Core relevante gebruikers om ofwel -privatebroadcast uit te schakelen, v2‑transport uit te schakelen, of uitgaand IPv4/IPv6‑verkeer via Tor te routeren. De release candidate 31.1rc1 is al beschikbaar voor testen op de officiële Bitcoin Core‑website en bevat fixes in de modules voor validatie, P2P‑netwerken, walletmigratie, MuSig, build‑systeem, testen en CI.
Afzonderlijk heeft ontwikkelaar rkrux een discussie geopend over het verwijderen van expliciete Replace‑by‑Fee‑ (RBF) signalering uit de Bitcoin Core‑wallet, met het argument dat BIP 125‑signalen overbodig zijn geworden nu full‑RBF standaardbeleid is en mogelijk onnodige on‑chain‑vingerafdrukken achterlaten. Communitylid Murch ging daartegenin en merkte op dat het stoppen van vervangbaarheidssignalen niet simpelweg neerkomt op het verwijderen van vingerafdrukken — elke verzender moet nog steeds een sequence‑nummer kiezen voor elke input, waarbij ongeveer 75% van de transacties al specifieke sequence‑nummers gebruikt, voornamelijk MAX‑2.
Ethereum stelt Glamsterdam uit en zet privacyvoorstellen vooruit
Ethereum’s ontwikkeltraject beweegt op meerdere fronten, maar het meest directe nieuws is een wijziging in de planning: de Glamsterdam‑upgrade — die mikt op ultieme L1‑schaalbaarheid en MEV‑eerlijkheid — is verschoven naar de tweede helft van het jaar. Devnet‑5‑ en Devnet‑6‑iteraties zijn nog in ontwikkeling, met tegenmaatregelen tegen nieuwe EIP’s die actief worden ontwikkeld. Core‑ontwikkelaar Terence bevestigde dat Glamsterdam devnet‑6 is vrijgegeven, wat een belangrijke stap richting testnet‑implementatie markeert.
Voorstel voor post‑kwantum‑register van publieke sleutels
Ethereum‑onderzoekers Thomas Coratger en Tom Wambsgans publiceerden een raamwerk voor het opzetten van een post‑kwantum‑register van publieke sleutels voor validators — een gefaseerd migratiepad weg van BLS‑handtekeningen richting post‑kwantum‑veilige handtekeningsschema’s. De aanpak voorziet eerst in een registry‑fork, waarmee validators post‑kwantum‑publieke sleutels vooraf kunnen registreren, gevolgd door verschillende latere forks voordat het handtekeningsmechanisme officieel wordt omgeschakeld.
De belangrijkste kandidaat is het hash‑gebaseerde XMSS‑handtekeningsschema, dat een compacte publieke sleutel van 52 bytes biedt — al wegen individuele handtekeningen ongeveer 3.112 bytes. Om die overhead aan te pakken zijn leanVM en post‑kwantum‑SNARK‑aggregatie nodig. Dit is geen upgrade voor de korte termijn, maar het feit dat Ethereum‑onderzoekers de migratiearchitectuur nu al in kaart brengen, laat zien hoe serieus het netwerk de kwantumbedreiging neemt.
EIP-8182: voorstel voor native private transfers voor Hegotá
EIP-8182, ontwikkeld door Tom Lehman, is officieel voorgesteld voor opname in de Hegotá‑hard fork — de upgrade die zich richt op censuurbestendigheid, verbetering van privacy en het afslanken van nodes, en die momenteel op schema ligt voor het tijdsvenster eind 2026/begin 2027.
Het voorstel heeft als doel om privacy native naar de basislaag van Ethereum te brengen zonder extra kosten, tokengovernance of multi‑sig‑coördinatie. Het gebruikt systeemcontracten met vaste adressen en ZK‑verificatie‑precompiles om een gedeelde anonimiteitspool op protocolniveau te creëren die toegankelijk is voor alle wallets en applicaties. Die gedeelde pool is belangrijk: gefragmenteerde privacy‑apps splitsen momenteel liquiditeit en anonimiteitssets over afzonderlijke implementaties, wat de praktische privacygaranties voor iedereen verzwakt. Door privacy in L1 in te bedden, zou EIP-8182 die fragmentatie doorbreken zonder dat applicatieniveau‑wijzigingen nodig zijn.
Het voorstel is in de race voor een plek op het hard‑fork‑schema van de Core Developers — een proces dat aanzienlijke technische en communitydiscussie vereist voordat er iets wordt afgerond.
Consensys‑CEO over de zero‑knowledge‑toekomst van Ethereum
Consensys‑CEO Joseph Lubin schetste een langetermijnvisie en stelde dat Ethereum binnen 3 tot 5 jaar een volledig op zero‑knowledge‑proofs gebaseerd protocol zou kunnen worden. Lubin wees op Layer‑2‑netwerken die al realtime ZK‑proofgeneratie bereiken als bewijs dat de technologie snel genoeg volwassen wordt om L1 te bereiken. Hij voorziet een toekomst waarin meerdere formeel geverifieerde provers Ethereum op de basislaag ondersteunen, wat uiteindelijk een brugloze, enkelvoudige atomaire uitvoeringsomgeving mogelijk maakt die gefragmenteerde liquiditeit verenigt.
Lubin ging ook in op de toekomstige structuur van de Ethereum Foundation en stelde dat er geen “tweede foundation” zal komen — in plaats daarvan zullen minstens drie groepen zich afsplitsen van de bestaande foundation, die zich respectievelijk richten op kernprotocolwerk, bruikbaarheid en schaalbaarheid, en institutionele outreach.
Vooruitgang op Ethereum Layer 2 en sluiting van Polygon zkEVM
Het Layer‑2‑ecosysteem van Ethereum kende deze maand zowel nieuwe lanceringen als harde deadlines. De meest urgente ontwikkeling voor bestaande gebruikers is dat Polygon zkEVM Mainnet Beta de activiteiten stopt op 1 juli 2026 — waardoor gebruikers ongeveer twee weken hebben om actie te ondernemen.
Starknets STRK20‑privacyraamwerk
Starknet lanceerde STRK20, een privacyraamwerk op basis van zero‑knowledge‑proofs dat elk ERC20‑asset binnen het netwerk in staat stelt om private saldi en vertrouwelijke transfers te ondersteunen. In tegenstelling tot traditionele coinmixers embedt STRK20 privacyfuncties direct in de asset‑stroom in plaats van transacties via een aparte mixing‑laag te routeren. Het raamwerk bevat een Viewing Keys‑mechanisme, waarmee gebruikers transactiedata selectief kunnen vrijgeven voor nalevingsdoeleinden. Het eerste asset dat het toepast is strkBTC.
Het raamwerk kan worden toegepast op transfers, trading, lending, staking en betalingen — een brede scope die suggereert dat Starknet STRK20 positioneert als infrastructuur in plaats van als een functie.
Polygon zkEVM Mainnet Beta stopt activiteiten
Polygon’s zkEVM Mainnet Beta wordt officieel stilgelegd op 1 juli 2026. Assets die zich in wallets bevinden waarvoor geen cross‑chain‑transfers zijn voltooid, worden automatisch gemigreerd naar Ethereum‑mainnet en kunnen worden geclaimd via een speciale interface. Assets die zijn vergrendeld in DeFi‑protocollen kunnen echter niet automatisch worden gemigreerd — die gebruikers moeten LP‑posities en assets vóór de deadline handmatig opnemen, anders riskeren ze permanent verlies van toegang.
Het Base‑L2‑netwerk heeft ondertussen zijn Beryl‑upgrade uitgerold naar het Base Sepolia‑testnet, met mainnet‑activatie gepland voor 25 juni. Beryl introduceert de B20‑tokenstandaard voor het uitgeven van stablecoins en andere assets native binnen de nodesoftware van Base, verkort het opnamevenster van Base naar Ethereum van 7 dagen naar 5 dagen en brengt Reth V2 om de schijfruimte‑voetafdruk van nodes te verkleinen.
Zcash Ironwood‑upgrade en verbeteringen in netwerkbeveiliging
Zcash bereidt een belangrijke netwerkupgrade voor die is gericht op het oplossen van een van de ernstigste kwetsbaarheden die dit jaar op een privacy‑first‑blockchain aan het licht zijn gekomen.
Ironwood richt zich op de Orchard‑privacypool
De Zcash Ironwood‑upgrade staat gepland voor activatie in juli en is ontworpen om kwetsbaarheden in de Orchard‑privacypool te verhelpen die eerder de vaste aanbodgaranties van het netwerk bedreigden. De Zcash Foundation had Zebra 4.5.3 en 5.0.0 al uitgebracht als noodmaatregelen — Zebra 4.5.3 schakelde Orchard‑acties op mainnet tijdelijk uit via een nood‑soft fork op blokhoogte 3.363.426, terwijl Zebra 5.0.0 de NU6.2‑hard fork activeerde op blokhoogte 3.364.600, waarmee Orchard opnieuw werd ingeschakeld met een gecorrigeerd circuit. De foundation bevestigde dat de kwetsbaarheid werd ontdekt voordat er bekende exploitatie plaatsvond en dat er geen ongeautoriseerde waardecreatie heeft plaatsgevonden.
Ironwood gaat nog een stap verder. Het zal een nieuw gerepareerde privacypool introduceren en de oude geleidelijk uitfaseren. Zodra dit is voltooid, kunnen gebruikers en nodes saldi uit beide pools aggregeren om onafhankelijk te verifiëren dat het totale aantal ZEC in omloop de harde limiet van 21 miljoen munten niet overschrijdt — waarmee het gedecentraliseerde vertrouwen in het aanbodmechanisme van Zcash wordt hersteld.
Zcash‑coreontwikkelaar Sean Bowe bevestigde dat minstens drie grote auditfirma’s het Orchard‑circuit beoordelen, meerdere AI‑audittools de codebase scannen en formele verificatiewerkzaamheden vorderen. De Valar Group heeft een testnet gelanceerd en is begonnen met het implementeren van wijzigingen aan de wallet‑kant. Volgens Bowe verloopt de voortgang momenteel soepel.
Beveiligingswaarschuwingen en vooruitgang in kwantumcomputing
Twee ontwikkelingen deze maand bevinden zich aan tegenovergestelde uiteinden van de dreigingstijdlijn: de ene is een actieve aanval die nu plaatsvindt in het npm‑ecosysteem, de andere is een mijlpaal in kwantumhardware die voor blockchainbeveiliging nog theoretisch blijft — maar sneller vordert dan velen hadden verwacht.
SlowMist waarschuwt voor npm‑malware die gestolen ontwikkelaarscredentials misbruikt
Het SlowMist Security Team gaf een waarschuwing uit over nieuwe malwarevarianten — geïdentificeerd als Shai‑Hulud, Miasma en Hades — die zijn gekoppeld aan het gestolen ontwikkelaarsaccount “czirker” en actief zijn in het npm‑ecosysteem. De aanvalsvector is precies: kwaadaardige code wordt geactiveerd tijdens npm install via een vooraf geconfigureerd binding.gyp‑bestand, waardoor deze gemakkelijk over het hoofd wordt gezien in standaard dependency‑audits.
De bevestigde aantallen zijn opmerkelijk. 23 getroffen pakketten zijn geïdentificeerd, waarvan er één — leo-logger — 3.140 wekelijkse downloads behaalt. Daarnaast zijn 408 GitHub‑repositories met gestolen inloggegevens ontdekt. De kwaadaardige activiteit omvat diefstal van GitHub‑ en npm‑tokens, cloudcredentials bij AWS, GCP en Azure, lokale omgevingsdata en misbruik van GitHub Actions‑pipelines.
SlowMist raadt beveiligingsteams aan om onmiddellijk lockfiles en pakketrecords te inspecteren, getroffen pakketten te verwijderen, alle kritieke sleutels te roteren en tweefactorauthenticatie af te dwingen. Het aanvalspatroon onderstreept een aanhoudend risico in open‑source‑ecosystemen: diefstal van credentials op het niveau van ontwikkelaarsaccounts kan honderden downstream‑repositories besmetten voordat de aanval wordt ontdekt.
Microsofts Majorana 2‑kwantumchip onthuld
Op zijn jaarlijkse Build‑conferentie onthulde Microsoft Majorana 2, zijn tweede generatie topologische kwantumchip. Het bedrijf beweert dat de chip 1.000 keer betrouwbaarder is dan zijn voorganger, met een gemiddelde qubit‑levensduur van 20 seconden — en sommige qubits die tot 1 minuut meegaan. Microsoft verwacht tegen 2029 dichter bij schaalbare kwantumcomputing te komen, waarbij AI‑agenttools naar verluidt helpen bij het versnellen van materiaalscreening, meetautomatisering en productieoptimalisatie.
De aankondiging wakkerde de externe discussie over de langetermijnimplicaties van kwantumcomputing voor de digitale‑handtekeningbeveiliging van Bitcoin opnieuw aan. Dat gesprek is het waard om serieus te voeren, maar context is belangrijk: de kloof tussen de huidige kwantumhardware en de computationele drempel die nodig is om de elliptische‑curve‑cryptografie van Bitcoin te bedreigen, blijft zeer groot. Majorana 2 is een betekenisvolle stap in qubit‑betrouwbaarheid, geen onmiddellijke bedreiging voor live blockchainnetwerken.
Waar het wel voor staat, is een geloofwaardige reden voor Ethereum’s onderzoek naar post‑kwantummigratie om te versnellen — en voor projecten zoals de Algorand Foundation, die een post‑kwantumbeveiligingsroadmap heeft gepubliceerd met als doel bredere kwantumresistentie tegen eind 2027, om voor te blijven op de curve. De praktische vraag voor elk groot blockchainnetwerk is niet langer óf kwantumresistente cryptografie nodig is, maar wanneer de migratie voltooid moet zijn.
FAQ
Welk privacyprobleem is opgelost in Bitcoin Core versie 31.1?
Bitcoin Core 31.1 heeft een privacykwetsbaarheid verholpen in de -privatebroadcast‑functie van versie 31.0. Onder bepaalde omstandigheden met een mislukte BIP324 v2‑handshake viel de software terug op een v1‑verbinding die de Tor‑proxy omzeilde, waardoor het IP‑adres van de initiator van de transactie mogelijk werd blootgesteld aan de ontvangende node.
Wanneer wordt Ethereum’s Glamsterdam‑upgrade nu verwacht?
Ethereum’s Glamsterdam‑upgrade is uitgesteld tot de tweede helft van het jaar. De ontwikkeling gaat door via Devnet‑5‑ en Devnet‑6‑iteraties, terwijl de aparte Hegotá‑hard fork mikt op een tijdsvenster eind 2026/begin 2027.
Wat is EIP-8182 en wat is het belang ervan?
EIP-8182 is een voorstel voor native private transfers op Ethereum, ontwikkeld door Tom Lehman. Het zou een niet‑verplichte, protocolkosten‑vrije private transfer‑mechaniek rechtstreeks op Ethereum’s L1‑laag introduceren met behulp van systeemcontracten met vaste adressen en ZK‑verificatie‑precompiles. Het is officieel voorgesteld voor opname in de Hegotá‑hard fork en is belangrijk omdat het zich richt op privacy op protocolniveau in plaats van te vertrouwen op gefragmenteerde privacytools op applicatieniveau.
Welke dreigingen benadrukt de malwarewaarschuwing van SlowMist?
SlowMist identificeerde malwarevarianten (Shai‑Hulud, Miasma, Hades) die het gestolen npm‑ontwikkelaarsaccount “czirker” misbruiken om pakketten tijdens installatie te infecteren. De aanval steelt GitHub‑ en npm‑tokens, cloudcredentials van AWS, GCP en Azure, en lokale omgevingsdata, en misbruikt daarnaast GitHub Actions. 23 pakketten en 408 GitHub‑repositories zijn bevestigd als getroffen.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Welk privacyprobleem is opgelost in Bitcoin Core versie 31.1?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Bitcoin Core 31.1 heeft een privacykwetsbaarheid verholpen in de -privatebroadcast-functie van versie 31.0. Onder bepaalde omstandigheden met een mislukte BIP324 v2-handshake viel de software terug op een v1-verbinding die de Tor-proxy omzeilde, waardoor het IP-adres van de initiator van de transactie mogelijk werd blootgesteld aan de ontvangende node.”}},{“@type”:”Question”,”name”:”Wanneer wordt Ethereum’s Glamsterdam-upgrade nu verwacht?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Ethereum’s Glamsterdam-upgrade is uitgesteld tot de tweede helft van het jaar. De ontwikkeling gaat door via Devnet-5- en Devnet-6-iteraties, terwijl de aparte Hegotá-hard fork mikt op een tijdsvenster eind 2026/begin 2027.”}},{“@type”:”Question”,”name”:”Wat is EIP-8182 en wat is het belang ervan?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”EIP-8182 is een voorstel voor native private transfers op Ethereum, ontwikkeld door Tom Lehman. Het zou een niet-verplichte, protocolkosten-vrije private transfer-mechaniek rechtstreeks op Ethereum’s L1-laag introduceren met behulp van systeemcontracten met vaste adressen en ZK-verificatie-precompiles. Het is officieel voorgesteld voor opname in de Hegotá-hard fork en is belangrijk omdat het zich richt op privacy op protocolniveau in plaats van te vertrouwen op gefragmenteerde privacytools op applicatieniveau.”}},{“@type”:”Question”,”name”:”Welke dreigingen benadrukt de malwarewaarschuwing van SlowMist?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”SlowMist identificeerde malwarevarianten (Shai-Hulud, Miasma, Hades) die het gestolen npm-ontwikkelaarsaccount “czirker” misbruiken om pakketten tijdens installatie te infecteren. De aanval steelt GitHub- en npm-tokens, cloudcredentials van AWS, GCP en Azure, en lokale omgevingsdata, en misbruikt daarnaast GitHub Actions. 23 pakketten en 408 GitHub-repositories zijn bevestigd als getroffen.”}}]}
Artikel geproduceerd met behulp van kunstmatige intelligentie en beoordeeld door de redactie.
