Gestolen fondsen in DeFi volgen geen simpele adres-naar-adres paden. Ze worden geswapt, als collateral ingezet, tegen geleend, gebridged en gepoold — vaak binnen minuten. Elke transformatie verandert de vorm van het token en doorbreekt het lineaire spoor. "Volg het geld" wordt "volg de transformaties."
Waarom DeFi traditionele tracing doorbreekt
Traditionele tracing volgt een lineair pad: wallet naar wallet, zelfde token, zelfde chain. DeFi verwijdert alle drie die aannames. Gestolen ETH wordt via een AMM geswapt naar USDC. Die USDC wordt als collateral gestort in een lending protocol. De aanvaller leent een ander token, bridget het naar een andere chain, swapt opnieuw, en stort het in een liquiditeitspool naast tokens van duizenden legitieme gebruikers.
Op geen enkel punt houdt een bewaarentiteit de fondsen vast. Geen compliance-team, geen KYC-record, geen dagvaardingsdoel. Smart contracts voeren uit ongeacht waar de tokens vandaan kwamen.
Vier patronen die sporen doorbreken
Tokenswaps. Een DEX-swap verandert het assettype. Multi-hop swaps — waarbij de router door drie of vier pools routeert — worden tot een enkel "swap"-event gecomprimeerd. De tussenliggende tokens en pools verdwijnen uit beeld.
Lenen en uitlenen. De aanvaller stort gestolen USDC als collateral en leent DAI. Die geleende DAI was nooit "gestolen" — het kwam uit de reserves van de pool. Het verband traceren van collateral naar geleende output vereist begrip van de protocolmechanica, niet alleen het volgen van transfers.
Cross-chain bridges. Bridges vergrendelen tokens op de ene chain en minten op de andere. Geen gedeelde transactiehash. Verbinden vereist het matchen van protocolspecifieke identifiers, bedragen en timingvensters — en de datakwaliteit varieert enorm tussen bridges.
Liquiditeitspooling. Wanneer gestolen tokens een pool ingaan, mengen ze met tokens van legitieme storters. Bij opname komen tokens uit gecombineerde reserves. Individuele toeschrijving wordt een methodologische keuze, geen verifieerbaar feit.
Bridges zijn de moeilijkste schakel
Sommige bridges embedden unieke nonce-waarden of bericht-ID's die betrouwbare matching mogelijk maken. Andere produceren generieke events waarbij je alleen bedragen en timing kunt correleren — dat is een gevolgtrekking, geen bewijs. Bridge token-wrappers (wETH, bridged USDC) voegen nog een laag toe om doorheen te traceren.
Hoe ik het aanpak
Breng eerst de protocolsequentie in kaart — welke DeFi-protocollen passeerden de fondsen, in welke volgorde. Decodeer dan elke interactie door event logs te controleren op daadwerkelijke tokenbewegingen. Behandel elke bridge-overgang als een afzonderlijke bewijsschakel met een eigen betrouwbaarheidsniveau. Markeer elke poolinteractie waar individuele toeschrijving niet meer direct verifieerbaar is.
Het eindrapport moet leesbaar zijn als een keten van transformaties: "ETH geswapt naar USDC via Pool X, USDC gestort in Lending Protocol Y, DAI geleend, DAI gebridged via Bridge Z naar Chain B." Dat is het echte spoor.