Deze podcast is AI-gegeneerd.
De wereld van cryptovaluta blijft een belangrijke arena voor cybercriminaliteit, waarbij criminelen steeds geavanceerdere methoden toepassen om grote bedragen buit te maken. In 2024 werd ongeveer 2,2 miljard dollar van cryptoplatforms gestolen, wat een stijging van zo’n 21% betekent ten opzichte van het voorgaande jaar. Hoewel deze bedragen onder de recordjaren blijven, tonen ze aan dat de dreiging allerminst is afgenomen. In dit artikel gaan we dieper in op de trends, technieken en verschuivingen in het hacklandschap van de cryptomarkt. We bespreken de toenemende professionalisering, de verschuiving van aanvallen op gedecentraliseerde platformen naar gecentraliseerde diensten, de dominante rol van Noord-Korea als staatshacker en de inzet van geavanceerde voorspellende technologieën om deze bedreigingen aan te pakken.
Toename in cryptodiefstal
In 2024 zagen we een sterke groei in de hoeveelheid gestolen cryptovaluta. Met een totaal van circa 2,2 miljard dollar is het bedrag ongeveer 21% hoger dan in 2023, toen 1,8 miljard dollar werd buitgemaakt. Hoewel dit nog onder de pieken van 3,7 miljard dollar in recordjaren ligt, illustreert het duidelijk dat cybercriminelen blijven inspelen op de toenemende populariteit, waarde en adoptie van cryptovaluta.
Het aantal incidenten nam eveneens toe, van 282 in 2023 naar 303 in 2024. Deze stijging in incidenten toont aan dat cybercriminelen actiever worden, of dat de markt hen meer mogelijkheden biedt voor uiteenlopende hacks. Desondanks is de totale buit niet naar historische hoogtes gestegen, wat erop kan wijzen dat sommige beveiligingsmaatregelen effectiever zijn geworden, of dat criminelen vaker mikken op meerdere middelgrote aanvallen in plaats van enkele zeer grote.
Onregelmatige jaardynamiek
Opmerkelijk is dat de gestolen bedragen zich niet gelijkmatig over het jaar ontwikkelden. In de eerste helft van 2024 bevonden we ons op een traject dat kon wijzen op een evenaring van eerdere recordjaren. Tegen juli 2024 was er al 1,58 miljard dollar gestolen, wat zo’n 84% hoger lag dan over dezelfde periode in 2023. Deze trend leek zich door te zetten, maar na juli vlakte de groei af. De laatste maanden van het jaar lieten een meer stabiel, zij het nog altijd problematisch, niveau van hackactiviteit zien. Mogelijk speelden geopolitieke factoren, interne heroriëntatie bij criminele groepen of verbeterde veiligheidsmaatregelen in de tweede helft van het jaar een rol bij deze stabilisatie.
Van DeFi naar gecentraliseerde diensten
Gedecentraliseerde financiële platformen (DeFi) zijn al jaren een favoriet doelwit voor hackers. De snelle productontwikkeling en marktintroducties bij DeFi-projecten laten soms veiligheidsaspecten achterwege. Hierdoor zijn er kwetsbaarheden aanwezig die aanvallers in staat stellen smart contracts te manipuleren, prijsorakels te vervalsen en fondsen te stelen. In de eerste kwartaalperiodes van eerdere jaren waren DeFi-platformen dan ook steevast de belangrijkste bron van gestolen gelden.
In 2024 was dit in het eerste kwartaal nog steeds het geval, maar daarna verschoof de aandacht van criminelen richting gecentraliseerde diensten. In het tweede en derde kwartaal werden juist deze beurzen en handelsplatformen vaker getroffen. Dit is een opvallende trendbreuk, omdat het laat zien dat hackers zich flexibel aanpassen aan nieuwe omstandigheden. Mogelijk hebben gecentraliseerde platformen, net als DeFi-projecten, zwakke plekken in hun beveiliging of private keymanagement. Daarnaast zijn deze platformen aantrekkelijke doelen, omdat zij vaak grote hoeveelheden gebruikerstegoeden beheren. Wanneer een aanvaller erin slaagt private keys of beheersleutels te bemachtigen, heeft hij direct toegang tot aanzienlijke fondsen.
Beroemde incidenten op gecentraliseerde platformen
In 2024 waren er enkele zeer spraakmakende aanvallen op gecentraliseerde cryptodiensten. Zo werd de Japanse cryptobeurs DMM Bitcoin getroffen door een hack ter waarde van ongeveer 305 miljoen dollar. Deze aanval staat bekend als een van de grootste crypto-exploits tot nu toe. Ook WazirX, een Indiase beurs, werd zwaar getroffen: hier wisten criminelen zo’n 245 miljoen dollar buit te maken. Bij beide incidenten kwam het belang van goed sleutelbeheer en solide beveiligingslagen naar voren. Met name de omgang met private keys bleek een kwetsbaar punt.
Belang van private keys en beheersmaatregelen
Private keys spelen een essentiële rol in het beveiligen van cryptofondsen. Ze fungeren als digitale sleutels tot de wallets die deze fondsen bevatten. Wie deze sleutels in handen krijgt, kan in principe de tegoeden verplaatsen en stelen. In 2024 waren gecompromitteerde private keys verantwoordelijk voor bijna de helft van het gestolen cryptovermogen. Dit onderstreept het cruciale belang van goede beveiligingsmaatregelen rondom sleutelbeheer, zoals multi-sig oplossingen, hardware security modules, streng toegangsbeheer en regelmatige audits.
Het falen in sleutelbeheer kan verstrekkende gevolgen hebben. Zo moest DMM Bitcoin na de aanval rigoureuze stappen ondernemen om klanten te compenseren en ging het platform uiteindelijk geheel op in een andere dienstverlener. De impact van een enkele hack kan daarmee niet alleen materieel, maar ook strategisch en reputatieschadelijk zijn.
Witwasmethoden: van DEX’s naar mixing services en bruggen
Nadat fondsen zijn buitgemaakt, proberen criminelen deze te laten verdwijnen in het ondoorzichtige web van blockchaintransacties. Traditioneel werden hiervoor vaak decentralized exchanges (DEX’s) gebruikt, omdat deze met minder strenge controles opereren. In 2024 is er echter een verschuiving zichtbaar in witwasgedrag. Aanvallers die private keys compromitteren maken steeds vaker gebruik van bruggen (bridges) en mixing services om sporen uit te wissen.
Mixing services mengen cryptofondsen van verschillende gebruikers, waardoor het moeilijker wordt om de herkomst te traceren. Bruggen bieden een manier om fondsen over verschillende blockchains te verplaatsen, wat de opsporing verder compliceert. Door gebruik te maken van meerdere technieken creëren criminelen een labyrint van transacties, ontworpen om opsporingsinstanties te frustreren.
De rol van Noord-Korea
Noord-Korea is in 2024 naar voren gekomen als een belangrijke en bijzonder succesvolle speler in de wereld van crypto-hacking. Hackers uit dit land staan bekend om hun geavanceerde vaardigheden, innovatieve methoden en hun vermogen grootschalige operaties uit te voeren. In 2024 wisten Noord-Koreaanse groepen naar schatting 1,34 miljard dollar te stelen, goed voor 61% van het totaal aan gestolen fondsen. Dit is een forse stijging ten opzichte van het jaar ervoor, toen dat bedrag rond de 660 miljoen dollar lag.
De aanpak van Noord-Korea is divers en professioneel. Grote aanvallen (meer dan 50 miljoen dollar) kwamen in 2024 vaker voor, en ook het aantal incidenten nam toe. Dit duidt erop dat de Noord-Koreaanse staatshackers niet alleen technischer worden, maar ook frequenter toeslaan en zich specialiseren in grootschalige operaties. Naast complexe malware en social engineering, maken deze groepen gebruik van infiltratie door IT-werkers die met valse identiteit bij internationale bedrijven aan de slag gaan. Deze methode stelt Noord-Korea in staat om diep in bedrijfsnetwerken door te dringen, vertrouwelijke informatie te ontvreemden en uiteindelijk fondsen te stelen.
Geopolitieke factoren en veranderende prioriteiten
In juni 2024 vond er een topbijeenkomst plaats tussen Rusland en Noord-Korea. Rond die periode werden er geopolitieke overeenkomsten gesloten, waaronder defensiepacten en het vrijgeven van geblokkeerde Noord-Koreaanse fondsen door Rusland. Interessant is dat na juli 2024 een significante daling werd waargenomen in de door Noord-Korea gestolen cryptobedragen. Mogelijk heeft Noord-Korea haar cyberactiviteiten deels verlegd, bijvoorbeeld om militaire of politieke prioriteiten te veranderen, of omdat andere inkomstenbronnen werden vrijgegeven.
Hoewel de timing opvallend is, blijft het moeilijk om met zekerheid te zeggen of de geopolitieke dynamiek direct de daling in hackactiviteiten heeft veroorzaakt. De wereld van cybercrime is complex, en uiteenlopende factoren kunnen meespelen, zoals interne herstructureringen, verschuivingen in tactiek of tijdelijke aanpassingen in methodologie. Niettemin blijft Noord-Korea een dominante actor die voor serieuze uitdagingen zorgt voor cryptoplatformen en de internationale gemeenschap.
Case study: de DMM Bitcoin-exploit
De aanval op DMM Bitcoin in 2024 is illustratief voor de methodes van staatsgelieerde actoren. Hier werd 305 miljoen dollar ontvreemd door het uitbuiten van kwetsbaarheden in de infrastructuur. De fondsen werden vervolgens via tussenadressen en mixerdiensten verplaatst, en later zelfs door bruggen gestuurd om opsporing te bemoeilijken. Deze stap-voor-stap benadering van witwassen toont hoe geraffineerd en zorgvuldig gepland dergelijke operaties zijn.
De nasleep van de hack was voor DMM Bitcoin zeer ingrijpend. Ondanks volledige compensatie van klanten besloot het platform in december 2024 te stoppen met zijn activiteiten. De bedrijfsactiva en rekeningen werden overgedragen aan een andere dienstverlener. Deze gebeurtenis toont aan dat dergelijke incidenten niet alleen financiële, maar ook strategische en operationele gevolgen hebben.
Voorspellende modellen en preventie
In reactie op deze steeds complexere dreigingen nemen cryptobedrijven en security-aanbieders hun toevlucht tot geavanceerde voorspellende modellen en machine learning-technologieën. Met behulp van real-time detectie, het constant scannen van smart contracts en transactiepatronen, kunnen mogelijke aanvallen eerder worden onderkend. Dit stelt platformen in staat om preventieve maatregelen te nemen, zoals het pauzeren van verdachte transacties, het blokkeren van bepaalde contracten of het versterken van beveiligingslagen op kritieke momenten.
Een opvallend voorbeeld is de inzet van voorspellende detectie bij een aanval op UwU Lend. Twee dagen voordat er daadwerkelijk 20 miljoen dollar werd buitgemaakt via een flash loan-aanval, werd het malafide contract al als verdacht gemarkeerd. Hoewel in dit specifieke geval niet op tijd kon worden ingegrepen, bewijst dit de potentie van dergelijke technologie. Met de juiste governance en snelle besluitvorming kan een vroegtijdige waarschuwing in de toekomst mogelijk miljoenenverliezen voorkomen.
Beperkingen en uitdagingen van nieuwe technologie
Het hebben van een geavanceerd voorspellend systeem is één ding, maar ernaar handelen is een tweede. Protocols moeten beschikken over interne processen en mandaten om direct te reageren op waarschuwingssignalen. Dit kan betekenen dat er noodmaatregelen worden genomen, zoals het bevriezen van fondsen, het uitschakelen van bepaalde functionaliteiten of het versneld uitvoeren van code-audits. Zonder een snelle, goed gecoördineerde respons verliezen deze voorspellende modellen een groot deel van hun waarde.
Hier komt ook de menselijke factor om de hoek kijken. Er moet worden geïnvesteerd in training van beveiligingsteams, zodat zij de signalen van voorspellende technologie efficiënt kunnen interpreteren en ernaar handelen. Daarnaast zijn heldere protocollen voor escalatie en besluitvorming van belang, zodat er bij dreigende situaties geen kostbare tijd verloren gaat.
Samenwerking, regelgeving en respons
De aanhoudende golf aan crypto-hacks onderstreept de noodzaak van een integrale en internationale aanpak. Samenwerking tussen cryptoplatformen, beveiligingsbedrijven, toezichthouders, opsporingsinstanties en wetshandhavers is cruciaal. Het delen van data, de ontwikkeling van gezamenlijke standaarden en het gebruik van geavanceerde opsporingstools kunnen helpen om criminelen sneller op te sporen en hun fondsen te bevriezen.
Regelgeving speelt hierin een steeds grotere rol. Naarmate cryptovaluta breder geaccepteerd worden, zal de druk op platformen om hun beveiliging te verbeteren toenemen. Wet- en regelgeving kunnen onder meer eisen stellen aan sleutelbeheer, transparantie, audits en het snel rapporteren van incidenten. Deze maatregelen dragen bij aan het vergroten van het vertrouwen in de cryptosector en het ontmoedigen van criminelen.
Verantwoordelijkheid, training en bewustwording
Behalve technische en juridische strategieën is er ook een culturele omslag nodig. Ontwikkelaars van zowel DeFi- als gecentraliseerde platformen moeten beveiliging als kernonderdeel van hun productontwikkeling zien, in plaats van als een sluitpost. Regelmatige audits, continue verbeteringen en het betrekken van beveiligingsexperts in een vroeg stadium kunnen kwetsbaarheden voorkomen.
Gebruikers, van particulieren tot institutionele beleggers, moeten zich ook bewust zijn van de risico’s. Phishingaanvallen, social engineering en frauduleuze websites blijven populaire tactieken. Basiskennis over veilig sleutelbeheer, het herkennen van verdachte signalen en het toepassen van tweefactorauthenticatie kan het verschil maken tussen het voorkomen van diefstal en het verliezen van tegoeden.
Meer transparantie en vertrouwen opbouwen
Uiteindelijk draait het om het herstellen en versterken van vertrouwen in de cryptogemeenschap. Platformen die transparanter zijn over hun beveiligingsmaatregelen, het doen van audits en het publiceren van veiligheidsrapporten, geven investeerders en gebruikers een zekere mate van geruststelling. Dergelijke inspanningen tonen aan dat platforms leren van incidenten en bereid zijn om in preventie te investeren.
Deze combinatie van technologische innovatie, internationale samenwerking, strenge regelgeving, interne procesverbeteringen en bewustwording op alle niveaus is de sleutel tot een veiligere cryptosector. Hoewel volledige veiligheid nooit kan worden gegarandeerd, kunnen gerichte inspanningen de risico’s aanzienlijk verminderen. Dit zal niet alleen het vertrouwen van het publiek vergroten, maar ook de legitimiteit en duurzaamheid van de cryptomarkt op lange termijn versterken.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Bron: chainalysis