De Bybit-hack: Vier compliance- en AML-lessen van de grootste crypto-hack door Noord-Korea

24 maart 2025 Banken.nl

Op 21 februari 2025 werd Bybit het slachtoffer van een cyberaanval die resulteerde in een ongekend verlies van circa $1,46 miljard aan digitale activa. Ter vergelijking: de grootste crypto-overval vóór Bybit was de diefstal van $611 miljoen bij Poly Network in 2021. De eerste rapporten wezen al snel naar de beruchte Lazarus Group, een door de Noord-Koreaanse staat gesteunde cybercriminelenorganisatie die al eerder betrokken was bij verschillende spraakmakende hacks en witwasoperaties. De FBI heeft inmiddels bevestigd dat de Lazarus Group verantwoordelijk is voor de aanval.

Deze diefstal roept kritische vragen op over de beveiliging van gecentraliseerde beurzen, vooral in het licht van de Digital Operational Resilience Act (DORA). Wat deze hack extra zorgwekkend maakt, is de snelheid waarmee de gestolen tegoeden werden witgewassen. TRM Labs schat dat in de eerste 48 uur minstens $160 miljoen werd witgewassen, en dat dit bedrag binnen een week opliep tot meer dan $400 miljoen. Dit toont een mate van professionaliteit en efficiëntie die we niet eerder hebben gezien.

Hoe de fondsen werden witgewassen: een overzicht

Aangezien de gestolen fondsen nog steeds in het ecosysteem circuleren, is het essentieel om de gebruikte witwastactieken te analyseren. De Lazarus Group paste geavanceerde methoden toe, waarbij ze verschillende crypto-diensten en gedecentraliseerde beurzen (DEX’s) gebruikten om het spoor van de illegaal verkregen fondsen te verbergen.

De witwasoperatie begon direct na de diefstal, toen de gestolen activa – aanvankelijk mETH en sETH (liquid staking tokens) – werden omgezet in ETH via DEX’s. Deze conversie was cruciaal om te voorkomen dat token-uitgevers de gestolen activa zouden bevriezen. Omdat Ether en Bitcoin niet door een gecentraliseerde autoriteit worden beheerd, zijn deze minder vatbaar voor dergelijke maatregelen.

Na de conversie naar ETH paste de Lazarus Group een veelgebruikte witwastechniek toe: “layering” (gelaagdheid). Hierbij worden fondsen naar meerdere wallet-adressen verstuurd om hun oorsprong te verhullen en tracering te bemoeilijken. Hoewel de transparantie van de blockchain het mogelijk maakt om transacties te volgen, gaf deze strategie de hackers de nodige tijd om de fondsen te verplaatsen, tokens om te wisselen, cross-chain bridges te gebruiken en no-KYC instant swap-diensten in te zetten.

Met behulp van deze crypto-diensten werden grote hoeveelheden ETH omgezet naar andere cryptovaluta, voornamelijk BTC en DAI. Historisch gezien vertrouwde Noord-Korea op crypto-mixers om de oorsprong van gestolen activa te verbergen voordat ze in fiat werden omgezet. Door de strengere controle en wetshandhaving op deze diensten lijkt de Lazarus Group nu te kiezen voor snelheid en efficiëntie boven anonimiteit.

Belangrijke compliance- en AML-lessen

De nasleep van de Bybit-hack biedt cruciale lessen voor compliance-professionals, regelgevers en bedrijven in de cryptosector. De hack onderstreept niet alleen de kwetsbaarheden in de industrie, maar benadrukt ook het belang van sterke compliance-kaders, robuuste AML-praktijken en samenwerking binnen de sector. De vier belangrijkste lessen:

Geavanceerde transactie-monitoringsystemen
De verfijnde witwastactieken maken duidelijk dat crypto-platforms geavanceerde transactiemonitoring moeten implementeren. Dankzij samenwerking tussen blockchain-analysebedrijven, wetshandhavers en gecentraliseerde beurzen is veel van de gestolen crypto getraceerd, en adressen gelinkt aan de Lazarus Group zijn geïdentificeerd en gemarkeerd. Hoewel enkele gecentraliseerde beurzen activa hebben bevroren, blijft een groot deel van de gestolen fondsen nog in handen van de hackers.

De voortdurende onderzoeken tonen zowel de effectiviteit van blockchain-analyse als de uitdagingen van crypto-diensten zoals DeFi-protocollen, die vaak geen geavanceerde monitoring toepassen.

Versterking van KYC- en AML-normen
Crypto-beurzen moeten striktere Know Your Customer (KYC)-procedures hanteren en regelmatige AML-controles uitvoeren gedurende de gehele klantrelatie. Hoewel KYC-vereisten inmiddels standaard zijn bij gecentraliseerde beurzen, lopen veel DeFi-platforms achter in het opzetten van robuuste identiteitsverificatieprocessen.

Nu gedecentraliseerde financiering en privacytools zich blijven ontwikkelen, groeit de noodzaak voor strengere gebruikersregistratie en transactiemonitoring. Een goed voorbeeld hiervan is Chainflip, een gedecentraliseerd protocol dat proactief een software-update implementeerde om inkomende transacties gerelateerd aan de hack te blokkeren.

Samenwerking binnen de sector en met wetshandhavers
Samenwerking is essentieel om witwasdreigingen tegen te gaan en het crypto-ecosysteem te beschermen. Als reactie op de hack lanceerde Bybit een bounty-programma, waarbij beloningen tot 10% worden uitgekeerd voor het bevriezen van gestolen fondsen. Dit stimuleerde samenwerking tussen verschillende partijen en bemoeilijkte de pogingen van de hackers om de activa in fiat om te zetten.

Deze aanpak onderstreept het belang van snelle, gezamenlijke reacties om de integriteit van het crypto-ecosysteem te waarborgen.

Opleiding en bewustwording
De Bybit-hack benadrukt de noodzaak van continue opleiding en bewustwording binnen de crypto-industrie. Bedrijven zouden moeten investeren in regelmatige trainingen voor hun compliance-teams om op de hoogte te blijven van de nieuwste witwastechnieken. Daarnaast blijft het cruciaal om gebruikers bewust te maken van de risico’s van ongecontroleerde platforms, om zo illegale activiteiten in de crypto-ruimte te bestrijden.

Conclusie: De Weg Vooruit voor Crypto Compliance

De Bybit-hack laat zien hoe kwetsbaar de cryptosector nog steeds is. Nu criminele organisaties steeds geavanceerdere witwasmethoden toepassen, is de urgentie voor robuuste compliance- en AML-maatregelen groter dan ooit. Beurzen, DeFi-platforms en wetshandhavers moeten samenwerken om de zwakke plekken in het huidige systeem te dichten, geavanceerdere monitoringtools te implementeren en de crypto-ruimte veiliger te maken voor legitieme gebruikers.

De gezamenlijke inspanningen naar aanleiding van de hack laten zien dat de sector steeds meer prioriteit geeft aan beveiliging en gebruikersbescherming. Door de focus te leggen op sterkere compliance-kaders, verbeterde KYC- en AML-normen en nauwe samenwerking, zet de industrie cruciale stappen om het risico op toekomstige aanvallen te verminderen.

Een artikel van Yorrick Zaat (Regulatory Compliance Consultant bij Compliance Champs). Zoekt u ondersteuning bij het versterken van uw Crypto Compliance Framework? Neem contact met Compliance Champs op via: info@compliancechamps.com

Lees ook

Meer over Compliance Champs
Profielpagina
Compliance Champs
Compliance Champs is een partner van Banken.nl
Elon Musk, X en de EU’s Digital Services Act: een compliance-uitdaging
Elon Musk, X en de EU’s Digital Services Act: een compliance-uitdaging Tijdens de plenaire vergadering van het Europees Parlement in Straatsburg op 20-23 januari 2025 hebben parlementariërs uit socialistische en liberale fracties kritisch gekeken naar het beheer van X (
28 februari 2025
Voorbereiden op DORA-compliance: wat financiële instellingen moeten weten
Voorbereiden op DORA-compliance: wat financiële instellingen moeten weten DORA-compliance is officieel van toepassing! Vanaf 17 januari 2025 zijn financiële instellingen verplicht te voldoen aan de eisen van de Digital Operational Resilience Act (DORA).
10 februari 2025
Het versterken van TBML-risicomanagement: van schijnaanpak naar datagedreven
Het versterken van TBML-risicomanagement: van schijnaanpak naar datagedreven Trade Based Money Laundering is een van de meest complexe en tegelijkertijd onderkende methoden voor het witwassen van geld.
19 december 2024

Cryptocurrency nieuws

Meer Cryptocurrency nieuws

Cybercrime nieuws

Meer Cybercrime nieuws

Cybersecurity nieuws

Meer Cybersecurity nieuws

Risk & Compliance nieuws

Meer Risk & Compliance nieuws