Van DeFi naar Defcon: TRM Waarschuwt voor Nationale Staats Cyberaanval

Noord-Koreaanse Groepen Verantwoordelijk voor 70% van de Verliezen

In de eerste helft van 2025 werd meer dan $2,1 miljard aan crypto gestolen in minstens 75 verschillende hacks en exploits, bijna gelijk aan het totale bedrag dat in heel 2024 werd gestolen. Volgens het laatste TRM Crypto Crime rapport, overtreffen de verliezen in de eerste helft van 2025 het record dat in de eerste helft van 2022 werd gevestigd met ongeveer 10%. Het rapport laat echter zien dat de $1,5 miljard Bybit-hack in februari goed is voor bijna 70% van de totale verliezen.

Naast de enorme verliezen in februari, toont TRM-gegevens aan dat januari, april, mei en juni de enige andere maanden waren met verliezen van meer dan $100 miljoen. Alleen maart had verliezen onder de $100 miljoen.

Zoals door verschillende mediakanalen gerapporteerd, wordt aangenomen dat Noord-Korea-gelieerde hackers achter de Bybit-inbreuk zitten. Hoewel de reactie van de gemeenschap op de geavanceerde aanval het leven van de cybercriminelen moeilijk maakte, suggereren mediaberichten dat een aanzienlijk deel van de fondsen voor altijd verloren is. Ondertussen wijst het rapport op de aanhoudende en verontrustende rol van door staten gesponsorde crypto-aanvallen en identificeert Pyongyang als de hoofdschuldige.

“We schatten dat aan Noord-Korea-gelieerde groepen verantwoordelijk zijn voor $1,6 miljard van het totale gestolen bedrag in de eerste helft van 2025, wat ongeveer 70% van alle gestolen fondsen vertegenwoordigt en hun positie als de meest productieve staatsdreigingsactor in de crypto-ruimte bevestigt,” concludeert het rapport.

Hoewel wordt aangenomen dat Noord-Korea gestolen fondsen van digitale activa-beurzen gebruikt om zijn wapenprogramma te financieren, erkent het rapport dat andere staatsactoren crypto-hacks benutten voor geopolitieke doeleinden. Het noemt de hack van Iran’s grootste crypto-beurs, Nobitex, op 18 juni 2025, voor meer dan $90 miljoen door de aan Israël gelieerde Gonjeshke Darande.

In tegenstelling tot andere groepen die de gestolen fondsen vervolgens uitgeven, heeft Gonjeshke Darande de fondsen overgebracht naar onuitgegeven vanity-adressen. Deze daad, zo stelt het rapport, “onderstreept hoe diefstal van digitale activa een verborgen instrument aan het worden is in geopolitieke conflicten en nationaal beleid.”

Ondertussen ontdekte het TRM-team dat infrastructuuraanvallen zoals diefstal van privésleutels en seed phrases of compromittering van de front-end meer dan 80% van de gestolen fondsen in de eerste helft van 2025 vertegenwoordigden. Protocol-exploits, daarentegen, maakten nog eens 12% uit, waarmee de aanhoudende kwetsbaarheden in gedecentraliseerde financiële (DeFi) smart contracts werden benadrukt.

Om de groeiende dreiging van door staten gesteunde aanvallers het hoofd te bieden, dringt het TRM-rapport er bij de crypto-industrie op aan om de fundamentele beveiliging te versterken — multi-factor authenticatie (MFA), koude opslag en regelmatige audits. Het moet prioriteit geven aan het verbeteren van de detectie van interne bedreigingen en het versterken van de verdediging tegen geavanceerde sociale-engineeringtechnieken.