De Bybit-hack: 4 Compliance- en AML-lessen van de grootste crypto-hack door Noord-Korea

 

Op 21 februari 2025 werd Bybit getroffen door een cyberaanval, waarbij circa $1,46 miljard aan digitale activa werd gestolen. Ter vergelijking: de grootste crypto-overval vóór Bybit was die van $611 miljoen bij Poly Network in 2021. Al snel wezen rapporten naar de beruchte Lazarus Group, een Noord-Koreaans gesponsorde cyberbende die eerder betrokken was bij spraakmakende hacks en witwaspraktijken. De FBI heeft inmiddels bevestigd dat deze groep verantwoordelijk is voor de aanval.

De diefstal werpt kritische vragen op over de beveiliging van gecentraliseerde beurzen, zeker in het licht van de Digital Operational Resilience Act (DORA). Extra zorgwekkend is de snelheid waarmee de tegoeden zijn witgewassen. TRM Labs schat dat binnen 48 uur minstens $160 miljoen werd witgewassen, oplopend tot ruim $400 miljoen in een week. Dit wijst op een ongekende mate van professionaliteit en efficiëntie.

Hoe de fondsen werden witgewassen: een overzicht

Gezien de uitzonderlijke snelheid van de witwasoperatie is het belangrijk om de gebruikte tactieken te analyseren. De Lazarus Group maakte gebruik van geavanceerde methoden en diverse crypto-diensten en DEX’s om het spoor te verbergen.

De operatie begon direct na de diefstal. De gestolen tokens – mETH en sETH (liquid staking tokens)[1] – werden via DEX’s omgezet in Ethereum. Deze stap voorkwam dat token-uitgevers de activa konden bevriezen. Omdat Ether en Bitcoin niet door een centrale partij worden beheerd, zijn ze minder gevoelig voor bevriezingsmaatregelen.

Na de omzetting naar ETH paste de Lazarus Group een bekende witwastechniek toe: “layering” (gelaagdheid). Fondsen werden verspreid over meerdere wallets om herkomst en tracering te bemoeilijken. Hoewel blockchain-transacties transparant zijn, gaf deze strategie de hackers voldoende tijd om fondsen te verplaatsen, tokens te wisselen, cross-chain bridges te gebruiken en no-KYC instant swap-diensten in te zetten.

Via deze diensten werden grote hoeveelheden ETH omgezet naar andere crypto’s, voornamelijk BTC en DAI. Voorheen gebruikte Noord-Korea vooral mixers om sporen te wissen voordat de activa naar fiat werden omgezet. Door strengere controles lijkt de groep nu snelheid en efficiëntie boven anonimiteit te verkiezen.

Belangrijke compliance- en AML-lessen

De nasleep van de Bybit-hack biedt cruciale lessen voor compliance-professionals, regelgevers en bedrijven in de cryptosector. De hack onderstreept niet alleen de kwetsbaarheden in de industrie, maar benadrukt ook het belang van sterke compliance-kaders, robuuste AML-praktijken en samenwerking binnen de sector. De vier belangrijkste lessen:

  1. Geavanceerde transactie-monitoringsystemen

De verfijnde witwastactieken maken duidelijk dat crypto-platforms geavanceerde transactiemonitoring moeten implementeren. Dankzij samenwerking tussen blockchain-analysebedrijven, wetshandhavers en gecentraliseerde beurzen is veel van de gestolen crypto getraceerd, en zijn adressen gelinkt aan de Lazarus Group geïdentificeerd en gemarkeerd. Hoewel enkele gecentraliseerde beurzen activa hebben bevroren, is een groot deel van de gestolen fondsen in handen van de hackers gebleven.

De voortdurende onderzoeken tonen zowel de effectiviteit van blockchain-analyse aan als ook de uitdagingen die gepaard gaan met crypto-diensten, zoals DeFi-protocollen, die vaak geen geavanceerde monitoring toepassen.

  1. Versterking van KYC- en AML-normen

Crypto-beurzen moeten strikte Know Your Customer (KYC)-procedures hanteren en regelmatige AML-controles uitvoeren gedurende de gehele klantrelatie. Hoewel KYC-vereisten inmiddels standaard zijn bij gecentraliseerde beurzen, lopen veel DeFi-platforms achter in het opzetten van robuuste identiteitsverificatieprocessen en het monitoren van transacties.

Nu gedecentraliseerde financiering en privacytools zich blijven ontwikkelen, groeit de noodzaak voor strengere gebruikersregistratie en transactiemonitoring. Een goed voorbeeld hiervan is Chainflip, een gedecentraliseerd protocol dat proactief een software-update implementeerde om inkomende transacties gerelateerd aan de hack te blokkeren.

  1. Samenwerking binnen de sector en met wetshandhavers

Samenwerking is cruciaal om witwasdreigingen tegen te gaan en het crypto-ecosysteem te beschermen. Na de hack lanceerde Bybit een bounty-programma met beloningen tot 10% voor het bevriezen van gestolen fondsen. Dit bevorderde samenwerking tussen partijen en maakte het moeilijker voor hackers om de activa om te zetten naar fiat. Daarnaast stelden enkele gecentraliseerde exchanges tegoeden beschikbaar aan Bybit. Zo kon het platform operationeel blijven en werd de impact van de hack beperkt. Deze aanpak onderstreept het belang van snelle, gezamenlijke reacties om de integriteit van het crypto-ecosysteem te waarborgen.

  1. Opleiding en bewustwording

De Bybit-hack benadrukt de noodzaak van continue opleiding en bewustwording binnen de crypto-industrie. Bedrijven zouden moeten investeren in regelmatige trainingen voor hun compliance-teams om op de hoogte te blijven van de nieuwste witwastechnieken. Daarnaast blijft het cruciaal om gebruikers bewust te maken van de risico’s van ongecontroleerde platforms, om zo illegale activiteiten in de crypto-ruimte te bestrijden.

Conclusie: De Weg Vooruit voor Crypto Compliance

De Bybit-hack laat de kwetsbaarheden zien die nog aanwezig zijn in de cryptosector. Nu criminele organisaties steeds geavanceerdere witwasmethoden toepassen, is de urgentie voor robuuste compliance- en AML-maatregelen groter dan ooit. Beurzen, DeFi-platforms en wetshandhavers moeten samenwerken om de zwakke plekken in het huidige systeem te dichten, geavanceerdere monitoringtools te implementeren en de crypto-ruimte veiliger te maken voor legitieme gebruikers.

De gezamenlijke inspanningen naar aanleiding van de hack laten zien dat de sector steeds meer prioriteit geeft aan beveiliging en gebruikersbescherming. Door de focus te leggen op sterkere compliance-kaders, verbeterde KYC- en AML-normen en nauwe samenwerking, zet de industrie cruciale stappen om het risico op toekomstige aanvallen te verminderen.

Zoekt u ondersteuning bij het versterken van uw Crypto Compliance Framework?

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.


[1] Liquid staking tokens verwijst naar het verkrijgen van een verhandelbare token in ruil voor het staken van een munt op een proof-of-stake blockchain.