Hoe Noord-Koreaanse hackers in stilte toesloegen met de grootste cryptoroof ooit

In de tweede helft van 2024 werd het opvallend stil rond Noord-Koreaanse hackers. Geen grote aanvallen, geen nieuwe incidenten. Achter die stilte bleek echter een plan te schuilen. Op 21 februari 2025 sloegen ze keihard toe: crypto-exchange Bybit raakte in één klap meer dan $1,4 miljard kwijt. Het werd de grootste crypto-hack ooit.

Volgens blockchainbedrijf Chainalysis daalde de activiteit van Noord-Koreaanse hackers na juli 2024 plots flink, terwijl er in de eerste helft van het jaar juist sprake was van een piek. Cybercrime-onderzoeker Eric Jardine vermoedt dat dit verband houdt met geopolitieke verschuivingen: tijdens een top tussen Rusland en Noord-Korea zou het regime zijn digitale krachten tijdelijk hebben verschoven richting militaire steun aan Rusland.

Maar dat was niet het hele verhaal. Die pauze gaf hackers de tijd om zich te hergroeperen. Nieuwe doelen kiezen, systemen verkennen, infrastructuur testen — en uiteindelijk toeslaan bij Bybit.

Zo verliep de aanval

De hackers kregen toegang tot een cold wallet van Bybit. Dat is een portemonnee die niet met het internet verbonden is en juist bedoeld is voor extra veiligheid. Via een slimme truc wisten ze een wijziging in de smart contract-logica goedgekeurd te krijgen, zonder dat de beheerders doorhadden wat er gebeurde. Zo konden ze de wallet leegtrekken en de ETH naar een onbekend adres sturen.

Daarna gebruikten ze THORChain, een gedecentraliseerd platform waarmee crypto makkelijk tussen blockchains verplaatst kan worden — ideaal voor wie geld snel en onzichtbaar wil verplaatsen. Binnen tien dagen was het volledige bedrag witgewassen.

Toch is het geld niet zomaar verdwenen. Blockchainonderzoekers hebben inmiddels meer dan 80% van de buit kunnen traceren. Het terughalen ervan is lastig, maar niet onmogelijk. Bybit en andere partijen doen er alles aan om het geld alsnog te bevriezen.

Noord-Korea was goed voor 61% van alle crypto-diefstal

De aanval op Bybit staat niet op zichzelf. In 2024 alleen al werden door Noord-Koreaanse hackers $1,34 miljard aan digitale activa buitgemaakt, verdeeld over 47 hacks. Dat is ruim twee keer zoveel als het jaar ervoor. En het vertegenwoordigt 61% van alle gestolen crypto in dat jaar.

Volgens experts toont dit aan dat ook grote, professioneel beveiligde exchanges kwetsbaar blijven. De aanval op Bybit vertoonde bovendien opvallende gelijkenissen met eerdere hacks bij onder andere WazirX en Radiant Capital. De werkwijze is steeds verfijnder — en steeds moeilijker te stoppen.

Wat kun jij hieruit meenemen?

• Een stille periode kan een teken zijn dat er iets groots aankomt.
• Zelfs cold wallets zijn niet heilig als kwaadwillenden de smart contract-logica weten te manipuleren.
• Decentrale protocollen zoals THORChain maken snelle witwasoperaties eenvoudiger — en opsporing moeilijker.

Voor investeerders is dit opnieuw een wake-upcall. Vertrouw niet blind op de veiligheid van grote exchanges. Verspreid je risico, gebruik meerdere wallets en wees alert op ontwikkelingen in de markt. Want terwijl jij rustig slaapt, is er ergens een hacker die zijn volgende zet al aan het voorbereiden is.