In de grootste cryptocurrency-diefstal tot nu toe verloor de in de Seychellen gevestigde beurs Bybit ongeveer $1,5 miljard in Ethereum (ETH) op 21 februari 2025, als gevolg van een verfijnde hack door hackers die aan Noord-Korea zijn gelinkt.
De breach, bevestigd door Bybit's CEO Ben Zhou, markeert een significante escalatie in cybercriminaliteit gericht op de crypto-industrie en roept kritische vragen op over de beveiliging van digitale activa.
Laten we proberen een diepgaande analyse te maken van de hack, de technische methoden die werden gebruikt, de rol van blockchain-analyse, de betrokkenheid van de Lazarus Group en de bredere implicaties voor het cryptocurrency-ecosysteem.
Bybit: Een Belangrijke Speler in de Cryptomarkt
Bybit, opgericht in 2018 en gevestigd in de Seychellen, heeft zichzelf gevestigd als een toonaangevende cryptocurrency-beurs, bekend om zijn hoge handelsvolumes en diverse aanbod, waaronder het kopen en verkopen van cryptocurrencies tegen huidige marktprijzen, speculeren op toekomstige prijsbewegingen met hefboomwerking, beloningen verdienen door fondsen op te sluiten om blockchain-operaties te ondersteunen.
De gebruiksvriendelijke interface van de beurs en reputatie voor robuuste beveiligingsmaatregelen, zoals multi-signature (multi-sig) cold wallets en regelmatige beveiligingsaudits, trokken een wereldwijd gebruikersbestand aan. Deze reputatie maakte de hack bijzonder alarmerend, omdat het kwetsbaarheden blootlegde in zelfs de meest vertrouwde platforms.
Ontdekking van de Hack
De hack werd voor het eerst gedetecteerd door on-chain analist ZachXBT, die verdachte uitstromen ter waarde van $1,46 miljard vanuit Bybit's wallets signaleerde om 10:20 a.m. ET op 21 februari 2025.
Deze uitstromen, waarbij 401.347 ETH waren betrokken, veroorzaakten onmiddellijk bezorgdheid over een mogelijke beveiligingsinbreuk. Binnen 30 minuten bevestigde Bybit-CEO Ben Zhou in een bericht op X (voorheen Twitter) de inbreuk en schreef deze toe aan een "gemaskeerde" transactietechniek die gebruik maakte van de multi-signature cold wallet van de beurs tijdens een routinematige overdracht naar een warm wallet.
Begrip van Multi-Signature Cold Wallets en Hun Beveiliging
Wat is een Multi-Signature Cold Wallet?
Een multi-signature (multi-sig) cold wallet is een soort cryptocurrency-opslag die is ontworpen om de beveiliging te verbeteren door meerdere privé-sleutels te vereisen om een transactie te autoriseren.
In tegenstelling tot single-key wallets, die vertrouwen op één sleutel en vatbaarder zijn voor diefstal, verdelen multi-sig wallets de controle over verschillende partijen of apparaten. Een 2-van-3 multi-sig wallet vereist bijvoorbeeld goedkeuring door twee van de drie aangewezen ondertekenaars voor een transactie.
Cold wallets daarentegen zijn offline opslagoplossingen, wat betekent dat ze niet zijn verbonden met het internet, waardoor het risico op online-aanvallen, zoals hacking of phishing, wordt verminderd.
Bybit's multi-sig cold wallet-instelling vereiste goedkeuringen van meerdere ondertekenaars, een standaardpraktijk voor het veiligstellen van grote hoeveelheden cryptocurrency.
Het gebruik van multi-sig cold wallets door Bybit was bedoeld om zijn aanzienlijke ETH-holdings te beschermen, waardoor de inbreuk bijzonder verrassend was en de verfijning van de aanval benadrukte.
Hoe de Hack Werd Uitgevoerd: Technische Details
De aanvallers omzeilden de multi-sig beveiliging van Bybit door een combinatie van social engineering en geavanceerde technische manipulatie.
Hier volgt een gedetailleerd overzicht van de aanval:
1. Initiële Toegang via Social Engineering
De hackers, waarvan vermoed wordt dat ze deel uitmaken van de Noord-Koreaanse Lazarus Group, kregen waarschijnlijk aanvankelijke toegang via geavanceerde phishing-technieken, zoals:
- Spear-phishing e-mails: Gerichte e-mails ontworpen om werknemers of ondertekenaars te misleiden om inloggegevens te onthullen of op kwaadaardige links te klikken.
- Nep websites: Phishing-sites die legitieme Bybit-interfaces nabootsen om privésleutels of seed phrases vast te leggen.
- Malware-infectie: Het inzetten van malware om de systemen of apparaten die door ondertekenaars worden gebruikt, te compromitteren.
Deze social engineering-tactieken maakten gebruik van menselijke fouten, een kritieke kwetsbaarheid in zelfs de meest beveiligde systemen.
2. Transactiemanipulatie via Gemaskeerde Interface
Tijdens een routinematige overdracht van Bybit's ETH multi-sig cold wallet naar een warm wallet (een online wallet voor snellere transacties), voerden de aanvallers hun exploit uit.
De hackers wijzigden de ondertekeningsinterface, het gebruikersgereedschap waar ondertekenaars transacties goedkeuren. Deze interface werd gemanipuleerd om een legitiem transactieadres weer te geven terwijl schadelijke code in de onderliggende smart contract logic werd ingebed.
De ondertekenaars, zich niet bewust van de manipulatie, keurden wat leek op een routinematige overdracht goed. De goedgekeurde transactie bevatte echter schadelijke code die het controlemechanisme van de wallet veranderde.
3. Aanpassing van Smart Contract Logic
De schadelijke code die in de transactie was ingebed, maakte gebruik van kwetsbaarheden in het transactiegoedkeuringsproces.
De goedgekeurde transactie veranderde de smart contract logic, waardoor de aanvallers controle kregen over de wallet. Dit stelde hen in staat 401.347 ETH over te dragen naar een niet-geïdentificeerd adres onder hun controle.
De aanval heeft de Ethereum-blockchain of zijn smart contracts niet gecompromitteerd, maar maakte gebruik van Bybit's interne proces voor het valideren en goedkeuren van transacties.
4. Geld Witwassen en Verspreiding
Na controle over de fondsen te hebben gekregen, verspreidden de aanvallers snel de gestolen ETH over meerdere wallets om hun spoor te verbergen.
De ETH werd opgesplitst in stappen van 1.000 ETH en verstuurd naar meer dan 40 verschillende wallets.
De aanvallers converteerden de ETH naar andere cryptocurrencies of fiat via gedecentraliseerde beurzen (DEXs), die de klantidentificatievereisten (KYC) van gecentraliseerde beurzen missen, waardoor het moeilijker werd om de fondsen te bevriezen of terug te halen.
Blockchain-analyse en Fundstracking
Blockchain-analysebedrijven speelden een cruciale rol bij het traceren van de gestolen fondsen, ondanks de pogingen van de aanvallers om hun bewegingen te verhullen.
Belangrijke bedrijven en tools die betrokken zijn, zijn onder andere:
- Elliptic: Een blockchain-analytical bedrijf dat de gestolen ETH volgde terwijl het werd verspreid en geliquideerd. De software van Elliptic analyseert transactiepatronen en wallet-adressen om verdachte activiteiten te identificeren.
- Arkham Intelligence: Een ander analytisch bedrijf dat real-time tracking van de fondsen bood, gerelateerde wallets en transactiepatronen identificeerde.
- MistTrack door Slow Mist: Een blockchain-forensisch hulpmiddel dat werd gebruikt om de beweging van de gestolen ETH over het Ethereum netwerk in kaart te brengen. MistTrack signaleerde testtransacties en wallet-patronen die kenmerkend zijn voor de technieken van de Lazarus Group.
Ondanks deze inspanningen maakte de snelheid en schaal van de liquidatie herstel uitdagend.
Het gebruik van DEXs en mixers (hulpmiddelen die cryptocurrency samenvoegen om de oorsprong te verbergen) door de aanvallers bemoeilijkte het proces verder.
Lazarus Group: De daders achter de hack
Wie is de Lazarus Group?
De Lazarus Group is een door de staat gesponsorde hackscollectief uit Noord-Korea, bekend om hun betrokkenheid bij high-profile cybercriminaliteit, waaronder cryptocurrencies-diefstallen, ransomware-aanvallen en spionage.
Het is algemeen aanvaard dat de groep opereert onder de regie van het Noord-Koreaanse Reconnaissance General Bureau, met als primair doel inkomsten te genereren voor het regime.
Bewijs dat Lazarus linkt aan de Bybit-hack
Blockchain-analisten, waaronder ZachXBT, legden een verband tussen de Bybit-hack en eerdere uitbuitingen van de Lazarus Group op basis van verschillende indicatoren.
- Testtransacties: Kleine overdrachten uitvoert voor de hoofd aanval om de functionaliteit van wallets te testen, een kenmerk van Lazarus-tactieken.
- Gerelateerde wallets: Wallets die werden gebruikt in de Bybit-hack zijn gelinkt aan die in eerdere hacks, zoals met de Phemex exploit.
- Forensische kaarten en timing analyse: Patronen in transactietiming en wallet-activiteit kwamen overeen met bekende Lazarus-handelingen.
Track Record van de Lazarus Group
De Lazarus Group heeft een lange geschiedenis van cryptocurrency-diefstallen, met opmerkelijke voorbeelden waaronder:
- Ronin Network hack (2022): Jat $600 miljoen in ETH en USDC van het Axie Infinity gaming platform.
- Phemex Hack (2024): Gelinkt aan de Bybit-hack door soortgelijke technieken en wallet-patronen.
- Totaal 2024: Wordt ervan beschuldigd $1,34 miljard te hebben gestolen via 47 hacks, wat 61% van alle illegale crypto-activiteit dat jaar vertegenwoordigt.
De geavanceerde technieken van de groep, zoals zero-day exploits (voorheen onbekende kwetsbaarheden) en verfijnde social engineering, maken hen een geduchte bedreiging voor de cryptocurrency-industrie.
Implicaties voor Ethereum en het Crypto Ecosysteem
Veiligheid van Ethereum
Ondanks de omvang van de hack, was ethereum zelf niet in gevaar.
De kwetsbaarheid lag in de interne processen van Bybit, niet in de Ethereum blockchain of diens smart contracts.
Hierom.
De Ethereum blockchain, een gedecentraliseerd grootboek voor transacties, bleef veilig. De aanval maakte geen gebruik van zwakke punten in het consensusmechanisme van de blockchain (proof of stake) of in het smart contract-systeem.
De breach ontstond door gemanipuleerde transactie goedkeuringen, waarbij de risico's benadrukt werden van mensgerichte processen in cryptocurrency-beheer.
Terwijl de smart contract code zelf niet werd gehackt, roept de manipulatie van het goedkeuringsproces via een gemaskeerde interface zorgen op over de beveiliging van gebruikersinterfaces en transactiesigningmechanismen in multi-sig wallets.
Breder Markt Impact
De hack had directe en golvende effecten op de cryptocurrency-markt.
ETH-prijzen daalden met meer dan 3% na de bevestiging van de hack, wat verhoogde volatiliteit weerspiegelde.
De breach viel samen met ETHDenver, een van de grootste Ethereum-ecosysteem conferenties, waardoor een bearish schaduw werd geworpen over een evenement dat typisch bullish voor ETH was.
Het incident ondermijnde het vertrouwen in gecentraliseerde beurzen, wat gebruikers ertoe bracht om vraagtekens te zetten bij de veiligheid van hun activa en de interesse in gedecentraliseerde financiële oplossingen (DeFi) te vergroten.
En natuurlijk moet het feit dat de grootste hack ooit plaatsvond tijdens de bullmarkt niet worden genegeerd.
Bybit’s Reactie- en Herstelinspanningen
Door de snelle reactie van Bybit werd paniek beperkt en werd operationele veerkracht gedemonstreerd. Content: De beurs verwerkte meer dan 580.000 opnameverzoeken na de hack, zodat gebruikers toegang konden krijgen tot hun fondsen.
Bybit heeft ook brugleningen verkregen om verliezen te dekken, waarmee gebruikers gerustgesteld werden over zijn solvabiliteit. De beurs lanceerde een programma dat tot 10% van de teruggevorderde fondsen biedt aan ethische hackers die helpen bij het terughalen van de gestolen ETH.
Hoewel deze maatregelen proactief zijn, benadrukken ze de uitdagingen van het terugvorderen van fondsen bij dergelijke grootschalige hacks, vooral gezien de witwastechnieken van de aanvallers.
Preventieve maatregelen voor de toekomst
Om soortgelijke hacks te voorkomen, bevelen experts een uitgebreide set veiligheidsmaatregelen aan op basis van best practices uit de industrie en inzichten uit het Bybit-incident.
1. Multi-Factor Authenticatie (MFA)
Vereis meerdere lagen van verificatie voor transactiegoedkeuringen, zoals:
- Biometrische authenticatie: Vingerafdruk- of gezichtsherkenning.
- Hardwaretokens: Fysieke apparaten die eenmalige codes genereren.
- Tijdgebaseerde eenmalige wachtwoorden (TOTP): Apps zoals Google Authenticator voor tijdelijke codes.
2. Veilige communicatiekanalen
Gebruik versleutelde en geverifieerde kanalen voor alle transactiegerelateerde communicatie, zoals:
- End-to-end versleutelde e-mail: Tools zoals ProtonMail of Signal voor veilige berichtenuitwisseling.
- Toegewijde veilige portalen: Interne systemen voor transactiegoedkeuringen, geïsoleerd van externe bedreigingen.
3. Regelmatige veiligheidsaudits
Voer frequente beoordelingen en penetratietests uit om kwetsbaarheden te identificeren:
- Externe audits: Schakel gerenommeerde bedrijven in om de veiligheidsprotocollen te reviewen.
- Gesimuleerde aanvallen: Test systemen tegen phishing-, malware- en social engineering-scenario's.
4. Medewerkerstraining
Onderwijs personeel in het herkennen van social engineering bedreigingen, zoals:
- Spear phishing-bewustzijn: Train medewerkers om verdachte e-mails of links te identificeren.
- Credential hygiëne: Vermijd het hergebruiken van wachtwoorden of het onveilig opslaan van sleutels.
5. Gediversifieerd vermogensbeheer
Verspreid fondsen over meerdere portemonnees om blootstelling te beperken:
- Cold en hot wallet balans: Houd het merendeel van de fondsen in cold storage, met minimale hoeveelheden in hot wallets voor dagelijkse operaties.
- Multi-sig distributie: Gebruik verschillende multi-sig configuraties voor verschillende vermogenspools.
6. Anomaliedetectiesystemen
Implementeer tools om ongebruikelijke transactiepatronen te detecteren en te waarschuwen, zoals:
- Machine learning modellen: Identificeer afwijkingen van normale activiteit, zoals grote overboekingen op ongebruikelijke tijden.
- Realtime waarschuwingen: Breng beveiligingsteams op de hoogte van verdachte uitgaande stromen.
7. Blijf op de hoogte van bedreigingen
Werk beveiligingsmaatregelen continu bij om nieuwe cyberbedreigingen tegen te gaan:
- Bedreigingsinformatie feeds: Abonneer je op diensten die nieuwe aanvalsvectoren bijhouden.
- Zero-day exploitverdedigingen: Voer patches en updates snel uit om nieuw ontdekte kwetsbaarheden aan te pakken.
Deze maatregelen zijn cruciaal, vooral gezien de geavanceerde technieken van de Lazarus Group, die zero-day exploits, verfijnde social engineering en snelle fondsenwitwassen omvatten.
Conclusie: Lessen voor de crypto-industrie
De Bybit-hack, de grootste cryptocurrency-heist in de geschiedenis, onderstreept de aanhoudende beveiligingsuitdagingen waarmee de industrie geconfronteerd wordt, met name van door de staat gesponsorde actoren zoals de Lazarus Group.
Hoewel Ethereum veilig blijft, benadrukt het incident de noodzaak van robuuste interne processen, geavanceerde cyberbeveiligingsmaatregelen en voortdurende waakzaamheid om digitale activa te beschermen.
Naarmate het cryptocurrency-ecosysteem zich verder ontwikkelt, moeten beurzen prioriteit geven aan gebruikersvertrouwen en operationele veerkracht om dergelijke crises effectief het hoofd te bieden.
De Bybit-schending dient als een krachtige herinnering dat zelfs de meest veilige platforms kwetsbaar zijn voor menselijke fouten en geavanceerde aanvallen, en benadrukt het belang van gelaagde beveiliging en sectorbrede samenwerking om cybercriminaliteit te bestrijden.