Nieuws
Bybit $1,5B Hack Uitgelegd: Hoe Hackers Toegang Verkregen Tot Cold Wallets, Is Ethereum de Dupe?

Bybit $1,5B Hack Uitgelegd: Hoe Hackers Toegang Verkregen Tot Cold Wallets, Is Ethereum de Dupe?

Alexey BondarevFeb, 24 2025 5:35
#Bybit #Hackers
Bybit $1,5B Hack Uitgelegd: Hoe Hackers Toegang Verkregen Tot Cold Wallets, Is Ethereum de Dupe?

In de grootste cryptocurrency-diefstal tot nu toe verloor de in de Seychellen gevestigde beurs Bybit ongeveer $1,5 miljard in Ethereum (ETH) op 21 februari 2025, als gevolg van een verfijnde hack door hackers die aan Noord-Korea zijn gelinkt.

De breach, bevestigd door Bybit's CEO Ben Zhou, markeert een significante escalatie in cybercriminaliteit gericht op de crypto-industrie en roept kritische vragen op over de beveiliging van digitale activa.

Laten we proberen een diepgaande analyse te maken van de hack, de technische methoden die werden gebruikt, de rol van blockchain-analyse, de betrokkenheid van de Lazarus Group en de bredere implicaties voor het cryptocurrency-ecosysteem.

Bybit: Een Belangrijke Speler in de Cryptomarkt

Bybit, opgericht in 2018 en gevestigd in de Seychellen, heeft zichzelf gevestigd als een toonaangevende cryptocurrency-beurs, bekend om zijn hoge handelsvolumes en diverse aanbod, waaronder het kopen en verkopen van cryptocurrencies tegen huidige marktprijzen, speculeren op toekomstige prijsbewegingen met hefboomwerking, beloningen verdienen door fondsen op te sluiten om blockchain-operaties te ondersteunen.

De gebruiksvriendelijke interface van de beurs en reputatie voor robuuste beveiligingsmaatregelen, zoals multi-signature (multi-sig) cold wallets en regelmatige beveiligingsaudits, trokken een wereldwijd gebruikersbestand aan. Deze reputatie maakte de hack bijzonder alarmerend, omdat het kwetsbaarheden blootlegde in zelfs de meest vertrouwde platforms.

Ontdekking van de Hack

De hack werd voor het eerst gedetecteerd door on-chain analist ZachXBT, die verdachte uitstromen ter waarde van $1,46 miljard vanuit Bybit's wallets signaleerde om 10:20 a.m. ET op 21 februari 2025.

Deze uitstromen, waarbij 401.347 ETH waren betrokken, veroorzaakten onmiddellijk bezorgdheid over een mogelijke beveiligingsinbreuk. Binnen 30 minuten bevestigde Bybit-CEO Ben Zhou in een bericht op X (voorheen Twitter) de inbreuk en schreef deze toe aan een "gemaskeerde" transactietechniek die gebruik maakte van de multi-signature cold wallet van de beurs tijdens een routinematige overdracht naar een warm wallet.

Begrip van Multi-Signature Cold Wallets en Hun Beveiliging

Wat is een Multi-Signature Cold Wallet?

Een multi-signature (multi-sig) cold wallet is een soort cryptocurrency-opslag die is ontworpen om de beveiliging te verbeteren door meerdere privé-sleutels te vereisen om een transactie te autoriseren.

In tegenstelling tot single-key wallets, die vertrouwen op één sleutel en vatbaarder zijn voor diefstal, verdelen multi-sig wallets de controle over verschillende partijen of apparaten. Een 2-van-3 multi-sig wallet vereist bijvoorbeeld goedkeuring door twee van de drie aangewezen ondertekenaars voor een transactie.

Cold wallets daarentegen zijn offline opslagoplossingen, wat betekent dat ze niet zijn verbonden met het internet, waardoor het risico op online-aanvallen, zoals hacking of phishing, wordt verminderd.

Bybit's multi-sig cold wallet-instelling vereiste goedkeuringen van meerdere ondertekenaars, een standaardpraktijk voor het veiligstellen van grote hoeveelheden cryptocurrency.

Het gebruik van multi-sig cold wallets door Bybit was bedoeld om zijn aanzienlijke ETH-holdings te beschermen, waardoor de inbreuk bijzonder verrassend was en de verfijning van de aanval benadrukte.

Hoe de Hack Werd Uitgevoerd: Technische Details

De aanvallers omzeilden de multi-sig beveiliging van Bybit door een combinatie van social engineering en geavanceerde technische manipulatie.

Hier volgt een gedetailleerd overzicht van de aanval:

1. Initiële Toegang via Social Engineering

De hackers, waarvan vermoed wordt dat ze deel uitmaken van de Noord-Koreaanse Lazarus Group, kregen waarschijnlijk aanvankelijke toegang via geavanceerde phishing-technieken, zoals:

  • Spear-phishing e-mails: Gerichte e-mails ontworpen om werknemers of ondertekenaars te misleiden om inloggegevens te onthullen of op kwaadaardige links te klikken.
  • Nep websites: Phishing-sites die legitieme Bybit-interfaces nabootsen om privésleutels of seed phrases vast te leggen.
  • Malware-infectie: Het inzetten van malware om de systemen of apparaten die door ondertekenaars worden gebruikt, te compromitteren.

Deze social engineering-tactieken maakten gebruik van menselijke fouten, een kritieke kwetsbaarheid in zelfs de meest beveiligde systemen.

2. Transactiemanipulatie via Gemaskeerde Interface

Tijdens een routinematige overdracht van Bybit's ETH multi-sig cold wallet naar een warm wallet (een online wallet voor snellere transacties), voerden de aanvallers hun exploit uit.

De hackers wijzigden de ondertekeningsinterface, het gebruikersgereedschap waar ondertekenaars transacties goedkeuren. Deze interface werd gemanipuleerd om een legitiem transactieadres weer te geven terwijl schadelijke code in de onderliggende smart contract logic werd ingebed.

De ondertekenaars, zich niet bewust van de manipulatie, keurden wat leek op een routinematige overdracht goed. De goedgekeurde transactie bevatte echter schadelijke code die het controlemechanisme van de wallet veranderde.

3. Aanpassing van Smart Contract Logic

De schadelijke code die in de transactie was ingebed, maakte gebruik van kwetsbaarheden in het transactiegoedkeuringsproces.

De goedgekeurde transactie veranderde de smart contract logic, waardoor de aanvallers controle kregen over de wallet. Dit stelde hen in staat 401.347 ETH over te dragen naar een niet-geïdentificeerd adres onder hun controle.

De aanval heeft de Ethereum-blockchain of zijn smart contracts niet gecompromitteerd, maar maakte gebruik van Bybit's interne proces voor het valideren en goedkeuren van transacties.

4. Geld Witwassen en Verspreiding

Na controle over de fondsen te hebben gekregen, verspreidden de aanvallers snel de gestolen ETH over meerdere wallets om hun spoor te verbergen.

De ETH werd opgesplitst in stappen van 1.000 ETH en verstuurd naar meer dan 40 verschillende wallets.

De aanvallers converteerden de ETH naar andere cryptocurrencies of fiat via gedecentraliseerde beurzen (DEXs), die de klantidentificatievereisten (KYC) van gecentraliseerde beurzen missen, waardoor het moeilijker werd om de fondsen te bevriezen of terug te halen.

Blockchain-analyse en Fundstracking

Blockchain-analysebedrijven speelden een cruciale rol bij het traceren van de gestolen fondsen, ondanks de pogingen van de aanvallers om hun bewegingen te verhullen.

Belangrijke bedrijven en tools die betrokken zijn, zijn onder andere:

  • Elliptic: Een blockchain-analytical bedrijf dat de gestolen ETH volgde terwijl het werd verspreid en geliquideerd. De software van Elliptic analyseert transactiepatronen en wallet-adressen om verdachte activiteiten te identificeren.
  • Arkham Intelligence: Een ander analytisch bedrijf dat real-time tracking van de fondsen bood, gerelateerde wallets en transactiepatronen identificeerde.
  • MistTrack door Slow Mist: Een blockchain-forensisch hulpmiddel dat werd gebruikt om de beweging van de gestolen ETH over het Ethereum netwerk in kaart te brengen. MistTrack signaleerde testtransacties en wallet-patronen die kenmerkend zijn voor de technieken van de Lazarus Group.

Ondanks deze inspanningen maakte de snelheid en schaal van de liquidatie herstel uitdagend.

Het gebruik van DEXs en mixers (hulpmiddelen die cryptocurrency samenvoegen om de oorsprong te verbergen) door de aanvallers bemoeilijkte het proces verder.

Lazarus Group: De daders achter de hack

Wie is de Lazarus Group?

De Lazarus Group is een door de staat gesponsorde hackscollectief uit Noord-Korea, bekend om hun betrokkenheid bij high-profile cybercriminaliteit, waaronder cryptocurrencies-diefstallen, ransomware-aanvallen en spionage.

Het is algemeen aanvaard dat de groep opereert onder de regie van het Noord-Koreaanse Reconnaissance General Bureau, met als primair doel inkomsten te genereren voor het regime.

Bewijs dat Lazarus linkt aan de Bybit-hack

Blockchain-analisten, waaronder ZachXBT, legden een verband tussen de Bybit-hack en eerdere uitbuitingen van de Lazarus Group op basis van verschillende indicatoren.

  • Testtransacties: Kleine overdrachten uitvoert voor de hoofd aanval om de functionaliteit van wallets te testen, een kenmerk van Lazarus-tactieken.
  • Gerelateerde wallets: Wallets die werden gebruikt in de Bybit-hack zijn gelinkt aan die in eerdere hacks, zoals met de Phemex exploit.
  • Forensische kaarten en timing analyse: Patronen in transactietiming en wallet-activiteit kwamen overeen met bekende Lazarus-handelingen.

Track Record van de Lazarus Group

De Lazarus Group heeft een lange geschiedenis van cryptocurrency-diefstallen, met opmerkelijke voorbeelden waaronder:

  • Ronin Network hack (2022): Jat $600 miljoen in ETH en USDC van het Axie Infinity gaming platform.
  • Phemex Hack (2024): Gelinkt aan de Bybit-hack door soortgelijke technieken en wallet-patronen.
  • Totaal 2024: Wordt ervan beschuldigd $1,34 miljard te hebben gestolen via 47 hacks, wat 61% van alle illegale crypto-activiteit dat jaar vertegenwoordigt.

De geavanceerde technieken van de groep, zoals zero-day exploits (voorheen onbekende kwetsbaarheden) en verfijnde social engineering, maken hen een geduchte bedreiging voor de cryptocurrency-industrie.

Implicaties voor Ethereum en het Crypto Ecosysteem

Veiligheid van Ethereum

Ondanks de omvang van de hack, was ethereum zelf niet in gevaar.

De kwetsbaarheid lag in de interne processen van Bybit, niet in de Ethereum blockchain of diens smart contracts.

Hierom.

De Ethereum blockchain, een gedecentraliseerd grootboek voor transacties, bleef veilig. De aanval maakte geen gebruik van zwakke punten in het consensusmechanisme van de blockchain (proof of stake) of in het smart contract-systeem.

De breach ontstond door gemanipuleerde transactie goedkeuringen, waarbij de risico's benadrukt werden van mensgerichte processen in cryptocurrency-beheer.

Terwijl de smart contract code zelf niet werd gehackt, roept de manipulatie van het goedkeuringsproces via een gemaskeerde interface zorgen op over de beveiliging van gebruikersinterfaces en transactiesigningmechanismen in multi-sig wallets.

Breder Markt Impact

De hack had directe en golvende effecten op de cryptocurrency-markt.

ETH-prijzen daalden met meer dan 3% na de bevestiging van de hack, wat verhoogde volatiliteit weerspiegelde.

De breach viel samen met ETHDenver, een van de grootste Ethereum-ecosysteem conferenties, waardoor een bearish schaduw werd geworpen over een evenement dat typisch bullish voor ETH was.

Het incident ondermijnde het vertrouwen in gecentraliseerde beurzen, wat gebruikers ertoe bracht om vraagtekens te zetten bij de veiligheid van hun activa en de interesse in gedecentraliseerde financiële oplossingen (DeFi) te vergroten.

En natuurlijk moet het feit dat de grootste hack ooit plaatsvond tijdens de bullmarkt niet worden genegeerd.

Bybit’s Reactie- en Herstelinspanningen

Door de snelle reactie van Bybit werd paniek beperkt en werd operationele veerkracht gedemonstreerd. Content: De beurs verwerkte meer dan 580.000 opnameverzoeken na de hack, zodat gebruikers toegang konden krijgen tot hun fondsen.

Bybit heeft ook brugleningen verkregen om verliezen te dekken, waarmee gebruikers gerustgesteld werden over zijn solvabiliteit. De beurs lanceerde een programma dat tot 10% van de teruggevorderde fondsen biedt aan ethische hackers die helpen bij het terughalen van de gestolen ETH.

Hoewel deze maatregelen proactief zijn, benadrukken ze de uitdagingen van het terugvorderen van fondsen bij dergelijke grootschalige hacks, vooral gezien de witwastechnieken van de aanvallers.

Preventieve maatregelen voor de toekomst

Om soortgelijke hacks te voorkomen, bevelen experts een uitgebreide set veiligheidsmaatregelen aan op basis van best practices uit de industrie en inzichten uit het Bybit-incident.

1. Multi-Factor Authenticatie (MFA)

Vereis meerdere lagen van verificatie voor transactiegoedkeuringen, zoals:

  • Biometrische authenticatie: Vingerafdruk- of gezichtsherkenning.
  • Hardwaretokens: Fysieke apparaten die eenmalige codes genereren.
  • Tijdgebaseerde eenmalige wachtwoorden (TOTP): Apps zoals Google Authenticator voor tijdelijke codes.

2. Veilige communicatiekanalen

Gebruik versleutelde en geverifieerde kanalen voor alle transactiegerelateerde communicatie, zoals:

  • End-to-end versleutelde e-mail: Tools zoals ProtonMail of Signal voor veilige berichtenuitwisseling.
  • Toegewijde veilige portalen: Interne systemen voor transactiegoedkeuringen, geïsoleerd van externe bedreigingen.

3. Regelmatige veiligheidsaudits

Voer frequente beoordelingen en penetratietests uit om kwetsbaarheden te identificeren:

  • Externe audits: Schakel gerenommeerde bedrijven in om de veiligheidsprotocollen te reviewen.
  • Gesimuleerde aanvallen: Test systemen tegen phishing-, malware- en social engineering-scenario's.

4. Medewerkerstraining

Onderwijs personeel in het herkennen van social engineering bedreigingen, zoals:

  • Spear phishing-bewustzijn: Train medewerkers om verdachte e-mails of links te identificeren.
  • Credential hygiëne: Vermijd het hergebruiken van wachtwoorden of het onveilig opslaan van sleutels.

5. Gediversifieerd vermogensbeheer

Verspreid fondsen over meerdere portemonnees om blootstelling te beperken:

  • Cold en hot wallet balans: Houd het merendeel van de fondsen in cold storage, met minimale hoeveelheden in hot wallets voor dagelijkse operaties.
  • Multi-sig distributie: Gebruik verschillende multi-sig configuraties voor verschillende vermogenspools.

6. Anomaliedetectiesystemen

Implementeer tools om ongebruikelijke transactiepatronen te detecteren en te waarschuwen, zoals:

  • Machine learning modellen: Identificeer afwijkingen van normale activiteit, zoals grote overboekingen op ongebruikelijke tijden.
  • Realtime waarschuwingen: Breng beveiligingsteams op de hoogte van verdachte uitgaande stromen.

7. Blijf op de hoogte van bedreigingen

Werk beveiligingsmaatregelen continu bij om nieuwe cyberbedreigingen tegen te gaan:

  • Bedreigingsinformatie feeds: Abonneer je op diensten die nieuwe aanvalsvectoren bijhouden.
  • Zero-day exploitverdedigingen: Voer patches en updates snel uit om nieuw ontdekte kwetsbaarheden aan te pakken.

Deze maatregelen zijn cruciaal, vooral gezien de geavanceerde technieken van de Lazarus Group, die zero-day exploits, verfijnde social engineering en snelle fondsenwitwassen omvatten.

Conclusie: Lessen voor de crypto-industrie

De Bybit-hack, de grootste cryptocurrency-heist in de geschiedenis, onderstreept de aanhoudende beveiligingsuitdagingen waarmee de industrie geconfronteerd wordt, met name van door de staat gesponsorde actoren zoals de Lazarus Group.

Hoewel Ethereum veilig blijft, benadrukt het incident de noodzaak van robuuste interne processen, geavanceerde cyberbeveiligingsmaatregelen en voortdurende waakzaamheid om digitale activa te beschermen.

Naarmate het cryptocurrency-ecosysteem zich verder ontwikkelt, moeten beurzen prioriteit geven aan gebruikersvertrouwen en operationele veerkracht om dergelijke crises effectief het hoofd te bieden.

De Bybit-schending dient als een krachtige herinnering dat zelfs de meest veilige platforms kwetsbaar zijn voor menselijke fouten en geavanceerde aanvallen, en benadrukt het belang van gelaagde beveiliging en sectorbrede samenwerking om cybercriminaliteit te bestrijden.

Disclaimer: De informatie in dit artikel is uitsluitend bedoeld voor educatieve doeleinden en mag niet worden beschouwd als financieel of juridisch advies. Doe altijd uw eigen onderzoek of raadpleeg een professional bij het omgaan met cryptocurrency-activa.
Gerelateerd nieuws
Bybit's verlies van $1.46 miljard aan Noord-Koreaanse hackers vestigt historisch record
Feb 22, 2025
Blockchain-analysebedrijf Arkham Intelligence, samen met on-chain onderzoeker ZachXBT, heeft de hack van $1,46 miljard toegewezen aan Noord-Korea's Lazarus Group.
Epic Bybit's $1,5 miljard hack ontketent debat over de veiligheid van Ethereum-architectuur
Feb 24, 2025
Geen
Bybit lijdt $1,4 miljard schade vanwege hack op cold wallet in verfijnd phishingplan
Feb 21, 2025
Cryptobeurs Bybit verloor $1,4 miljard door aanvallen op cold storage-wallet, ondanks beveiligingsmaatregelen.
Bybit koopt voor $742 miljoen aan Ethereum om hackschade te compenseren
Feb 24, 2025
Het grootste deel van de gestolen fondsen op woensdag door Lazarus Group in handen van Noord-Korea.
Bybit-hacker witwassen $239M in gestolen Ethereum, $148M nog steeds in gevaar
Mar 04, 2025
Een crypto-hacker heeft 96.500 [ETH gestolen van Bybit-exchange] (https://yellow.com/news/bybit-dollar15b-hack-explained-how-hackers-accessed-cold-wallets-is-ethereum-compromised) volgens blockchainanalyse.
Gerelateerde onderzoeksartikelen
Crypto Whales Losgelaten: Binnen Hun Enorme Invloed op de Bull Run van 2024
Nov 15, 2024
De comeback heeft interesse getrokken van handelaren en investeerders, wat debatten heeft doen herleven over de impact van crypto whales...
7 Redenen Waarom Bitcoin de Overhand Heeft op Ethereum: Waarom de Zogenaamde Flippening Binnenkort (of Ooit) Niet Zal Gebeuren
Oct 28, 2024
De marktkapitalisatie van Bitcoin overschrijdt $1,357 biljoen als zijn waarde boven $68,500 komt in eind oktober 2024, met een opmerkelijke voorsprong van $1 biljoen op Ethereum. Hoewel de percentage van Ethereum is gedaald naar ongeveer 13,9%, is de dominantie van Bitcoin ...
Solana vs. Ethereum: 6 Cruciale Voordelen van SOL, 3 Redenen Waarom ETH Nog Steeds Niet Zal Vallen
Nov 05, 2024
Twee altcoins die opmerkelijk zijn in cryptocurrencies: Ethereum en Solana. Beide hebben belangrijke niches in blockchain-ecosysteem gecreëerd.
ChatGPT versus DeepSeek: Welke AI beantwoordt crypto-vragen beter?
Feb 05, 2025
We hebben OpenAI's ChatGPT en China's DeepSeek vergeleken om te zien welke AI beter complexe cryptovraagstukken kan oplossen.
Kan Solana USDT Passeren en de Derde-Grootste Crypto Worden?
Nov 27, 2024
Kunnen we verwachten dat Solana USDT voorbijstreeft en de derde plaats verovert, achter Bitcoin en Ethereum, eerder vroeg dan laat.
Gerelateerde leerartikelen
5 Beste manieren om je crypto portemonnee te beveiligen tegen hackers
Dec 31, 2024
Vooral beginners in crypto willen graag tokens kopen zonder te letten op veilige opslag. Dat kan een kostbare fout zijn.
Top 10 Gecentraliseerde Crypto-exchanges in 2025
Apr 19, 2025
Gecentraliseerde crypto-exchanges vormen de ruggengraat van het digitale activum ecosysteem, met essentiële verbindingen met traditionele financiën.
Hoe je Verloren Bitcoins Kunt Vinden: Een Volledige Gids
Mar 04, 2025
Manieren om verloren bitcoins te heroverwegen en tips om toekomstige verliezen te voorkomen. Onderzoek en overweeg opties voor herstel.
Crypto Flash Crash Gids: Wat Elke Trader Zou Moeten Weten
Jan 28, 2025
Terwijl de cryptomarkt gisteren flitscrashte en $850 miljoen aan hefboomposities uitwiste door de Chinese AI-chatbot DeepSeek-release en de impact ervan op...
DEX-beveiliging: Bescherming van gebruikers in een gedecentraliseerde wereld
Jan 12, 2025
Gedecentraliseerde beurzen bieden autonomie en zelfbewaring, maar brengen ook grote beveiligingsuitdagingen met zich mee. Hier verkennen we veiligheidsaspecten en maatregelen ter bescherming van de gebruikers van DEXs.