De Bybit-hack: 4 Compliance- en AML-lessen van de grootste crypto-hack door Noord-Korea

Op 21 februari 2025 werd Bybit het slachtoffer van een cyberaanval die resulteerde in een ongekend verlies van circa $1,46 miljard aan digitale activa. Ter vergelijking: de grootste crypto-overval vóór Bybit was de diefstal van $611 miljoen bij Poly Network in 2021. De eerste rapporten wezen al snel naar de beruchte Lazarus Group, een door de Noord-Koreaanse staat gesteunde cybercriminelenorganisatie die al eerder betrokken was bij verschillende spraakmakende hacks en witwasoperaties. De FBI heeft inmiddels bevestigd dat de Lazarus Group verantwoordelijk is voor de aanval.

Deze diefstal roept kritische vragen op over de beveiliging van gecentraliseerde beurzen, vooral in het licht van de Digital Operational Resilience Act (DORA). Wat deze hack extra zorgwekkend maakt, is de snelheid waarmee de gestolen tegoeden werden witgewassen. TRM Labs schat dat in de eerste 48 uur minstens $160 miljoen werd witgewassen, en dat dit bedrag binnen een week opliep tot meer dan $400 miljoen. Dit toont een mate van professionaliteit en efficiëntie die we niet eerder hebben gezien.

Hoe de fondsen werden witgewassen: een overzicht

Gezien de ongeëvenaarde snelheid waarmee een groot deel van de tegoeden zijn witgewassen, is het essentieel om de gebruikte witwastactieken te analyseren. De Lazarus Group paste geavanceerde methoden toe, waarbij ze verschillende crypto-diensten en gedecentraliseerde beurzen (DEX’s) gebruikten om het spoor van de illegaal verkregen fondsen te verhullen.

De witwasoperatie begon direct na de diefstal, toen de gestolen activa – aanvankelijk mETH en sETH (liquid staking tokens)[1] – werden omgezet in Ethereum via DEX’s. Deze conversie was cruciaal om te voorkomen dat token-uitgevers de gestolen activa zouden bevriezen. Omdat Ether en Bitcoin niet door een gecentraliseerde autoriteit worden beheerd, zijn deze minder vatbaar voor dergelijke maatregelen.

Na de conversie naar ETH paste de Lazarus Group een veelgebruikte witwastechniek toe: “layering” (ofwel gelaagdheid). Hierbij worden fondsen naar meerdere wallet-adressen verstuurd om hun oorsprong te verhullen en tracering te bemoeilijken. Hoewel de transparantie van de blockchain het mogelijk maakt om transacties te volgen, gaf deze strategie de hackers de nodige tijd om de fondsen te verplaatsen, tokens om te wisselen, cross-chain bridges te gebruiken en no-KYC instant swap-diensten in te zetten.

Met behulp van deze crypto-diensten werden grote hoeveelheden ETH omgezet naar andere cryptovaluta, voornamelijk BTC en DAI. Historisch gezien vertrouwde Noord-Korea op crypto-mixers om de oorsprong van gestolen activa te verbergen voordat ze in fiat werden omgezet. Door de strengere controle en wetshandhaving op deze diensten lijkt de Lazarus Group nu te kiezen voor snelheid en efficiëntie boven anonimiteit.

Belangrijke compliance- en AML-lessen

De nasleep van de Bybit-hack biedt cruciale lessen voor compliance-professionals, regelgevers en bedrijven in de cryptosector. De hack onderstreept niet alleen de kwetsbaarheden in de industrie, maar benadrukt ook het belang van sterke compliance-kaders, robuuste AML-praktijken en samenwerking binnen de sector. De vier belangrijkste lessen:

  1. Geavanceerde transactie-monitoringsystemen

De verfijnde witwastactieken maken duidelijk dat crypto-platforms geavanceerde transactiemonitoring moeten implementeren. Dankzij samenwerking tussen blockchain-analysebedrijven, wetshandhavers en gecentraliseerde beurzen is veel van de gestolen crypto getraceerd, en zijn adressen gelinkt aan de Lazarus Group geïdentificeerd en gemarkeerd. Hoewel enkele gecentraliseerde beurzen activa hebben bevroren, is een groot deel van de gestolen fondsen in handen van de hackers gebleven.

De voortdurende onderzoeken tonen zowel de effectiviteit van blockchain-analyse aan als ook de uitdagingen die gepaard gaan met crypto-diensten, zoals DeFi-protocollen, die vaak geen geavanceerde monitoring toepassen.

  1. Versterking van KYC- en AML-normen

Crypto-beurzen moeten strikte Know Your Customer (KYC)-procedures hanteren en regelmatige AML-controles uitvoeren gedurende de gehele klantrelatie. Hoewel KYC-vereisten inmiddels standaard zijn bij gecentraliseerde beurzen, lopen veel DeFi-platforms achter in het opzetten van robuuste identiteitsverificatieprocessen en het monitoren van transacties.

Nu gedecentraliseerde financiering en privacytools zich blijven ontwikkelen, groeit de noodzaak voor strengere gebruikersregistratie en transactiemonitoring. Een goed voorbeeld hiervan is Chainflip, een gedecentraliseerd protocol dat proactief een software-update implementeerde om inkomende transacties gerelateerd aan de hack te blokkeren.

  1. Samenwerking binnen de sector en met wetshandhavers

Samenwerking is essentieel om witwasdreigingen tegen te gaan en het crypto-ecosysteem te beschermen. Als reactie op de hack lanceerde Bybit een bounty-programma, waarbij beloningen tot 10% worden uitgekeerd voor het bevriezen van gestolen fondsen. Dit stimuleerde samenwerking tussen verschillende partijen en bemoeilijkte de pogingen van de hackers om de activa in fiat om te zetten. Aanvullend stelde enkele gecentraliseerde exchanges tegoeden beschikbaar aan Bybit om diens operatie draaiende te houden, en de impact van de hack te minimaliseren.

Deze aanpak onderstreept het belang van snelle, gezamenlijke reacties om de integriteit van het crypto-ecosysteem te waarborgen.

  1. Opleiding en bewustwording

De Bybit-hack benadrukt de noodzaak van continue opleiding en bewustwording binnen de crypto-industrie. Bedrijven zouden moeten investeren in regelmatige trainingen voor hun compliance-teams om op de hoogte te blijven van de nieuwste witwastechnieken. Daarnaast blijft het cruciaal om gebruikers bewust te maken van de risico’s van ongecontroleerde platforms, om zo illegale activiteiten in de crypto-ruimte te bestrijden.

Conclusie: De Weg Vooruit voor Crypto Compliance

De Bybit-hack laat de kwetsbaarheden zien die nog aanwezig zijn in de cryptosector. Nu criminele organisaties steeds geavanceerdere witwasmethoden toepassen, is de urgentie voor robuuste compliance- en AML-maatregelen groter dan ooit. Beurzen, DeFi-platforms en wetshandhavers moeten samenwerken om de zwakke plekken in het huidige systeem te dichten, geavanceerdere monitoringtools te implementeren en de crypto-ruimte veiliger te maken voor legitieme gebruikers.

De gezamenlijke inspanningen naar aanleiding van de hack laten zien dat de sector steeds meer prioriteit geeft aan beveiliging en gebruikersbescherming. Door de focus te leggen op sterkere compliance-kaders, verbeterde KYC- en AML-normen en nauwe samenwerking, zet de industrie cruciale stappen om het risico op toekomstige aanvallen te verminderen.

Zoekt u ondersteuning bij het versterken van uw Crypto Compliance Framework?

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.

[1] Liquid staking tokens verwijst naar het verkrijgen van een verhandelbare token in ruil voor het staken van een munt op een proof-of-stake blockchain.