Bybit-hack update: bijna $650 miljoen aan gestolen crypto is verdwenen

Een grote cryptodiefstal waarbij 1,4 miljard dollar werd gestolen van de beurs Bybit, luidt nieuwe alarmklokken in de sector van digitale activa.

Volgens gegevens die door de beurs en beveiligingsonderzoekers zijn verzameld, is ongeveer 644 miljoen dollar aan gestolen geld - bijna de helft van het totaal - verdwenen uit de traceerbare blockchainmonitoring.

Deze fondsen zijn systematisch via cryptomixservices geleid, die zijn ontworpen om de bron en bestemming van transacties te verbergen.

Deze ontwikkeling werpt een nieuw licht op de manier waarop witwasmethoden zich ontwikkelen, met name door het voortdurende gebruik van diensten die eerder zijn gesanctioneerd of waarvan is beweerd dat ze niet meer bestaan.

Het onderzoek wijst ook op verbanden met de Noord-Koreaanse hackgroep TraderTraitor, die begin februari een kwetsbaarheid in de laptop van een ontwikkelaar uitbuitte.

De kwetsbaarheid werd veroorzaakt door malware die zich voordeed als een simulator voor aandelenbeleggingen en leidde tot het in gevaar brengen van gevoelige inloggegevens.

Het witwassen wordt gedomineerd door Wasabi Wallet en eXch.

Uit het onderzoek van Bybit blijkt dat 247,5 miljoen dollar (ongeveer 966 BTC) via Wasabi Wallet is geleid, een op privacy gerichte Bitcoin-portemonnee die CoinJoin gebruikt om transacties te mengen.

Nog eens 94,1 miljoen dollar werd verplaatst via eXch, een minder bekende mengservice die in april 2025 de sluiting had aangekondigd.

Forensische experts hebben echter bevestigd dat eXch actief blijft via back-end API's, waardoor witwassen onopgemerkt kan doorgaan door de meeste standaard monitoren.

Ook werden er diensten voor het mengen van geld gebruikt, zoals Tornado Cash en Railgun, maar in mindere mate.

TRM Labs heeft bevestigd dat Tornado Cash is gebruikt om 2,5 miljoen dollar aan Ethereum wit te wassen, terwijl Railgun 1,7 miljoen dollar aan Ethereum-transacties heeft vergemakkelijkt.

Deze diensten werken door de fondsen van meerdere gebruikers te bundelen en deze vervolgens zo te herverdelen dat het bijna onmogelijk is om ze te traceren.

Analisten bij TRM Labs omschreven de witwasactiviteiten als "uitermate moeilijk" te volgen vanwege de manier waarop transacties worden gebundeld en herverdeeld.

Activiteit van eXch roept vragen op na aankondiging van sluiting

eXch heeft met name veel aandacht getrokken vanwege de aankondiging dat het in april zou sluiten.

Onderzoekers gespecialiseerd in de beveiliging van cryptocurrencies, waaronder analisten bij TRM Labs, hebben bevestigd dat de backend van de dienst nog steeds actief is.

Het feit dat de infrastructuur van eXch blijft bestaan, zelfs na de openbare aankondiging van de sluiting, heeft een extra complexiteit toegevoegd aan de lopende onderzoeken.

Een grote uitdaging voor onderzoekers is de totale ondoorzichtbaarheid die door deze mixers wordt gecreëerd. Transacties worden bijna onmogelijk te volgen zodra ze deze diensten betreden.

TRM Labs merkte op dat het, omdat alle inkomende en uitgaande fondsen met elkaar vermengd zijn, niet mogelijk is om individuele gebruikers of adressen achter de overboekingen te identificeren.

Dit beperkt de effectiviteit van blockchain-transparantiemiddelen, zelfs wanneer forensisch onderzoek wordt toegepast.

TraderTraitor-groep, verbonden met Noord-Korea, beschuldigd van inbreuk

De vermeende betrokkenheid van door de staat gesteunde actoren maakt de zaak nog ingewikkelder.

Safe, een aanbieder van interfaces voor crypto wallet , publiceerde in maart 2025 details die erop wijzen dat de Noord-Koreaanse hackgroep TraderTraitor achter de oorspronkelijke inbreuk zat.

De hackers kregen toegang tot de fondsen van Bybit nadat ze de MacBook van een ontwikkelaar bij Safe hadden gehackt.

De aanval werd uitgevoerd door malware te integreren in een Docker-bestand dat was vermomd als een simulator voor aandelenbeleggingen.

Nadat de malware was uitgevoerd, maakte deze verbinding met een verdacht domein en installeerde kwaadaardige scripts die AWS-sessietokens extraheerden.

Deze tokens werden vervolgens gebruikt om de authenticatie met meerdere factoren te omzeilen en toegang te krijgen tot de backendsystemen van Bybit.

De inbraak vond begin februari plaats en behoort tot de grootste cryptocurrency-diefstallen in 2025.

Het heeft geleid tot een hernieuwde aandacht van toezichthouders en heeft debatten aangewakkerd over de kwetsbaarheden in de Web3-infrastructuur, met name bij ontwikkelaarsinterfaces en cloudtoegangscertificaten.