Dit jaar heeft al een record gemarkeerd voor diefstallen van cryptocurrency die verband houden met Noord-Korea. Met nog maar een paar maanden op de kalender, hebben hackers waarvan wordt aangenomen dat ze banden hebben met Pyongyang al meer dan $ 2 miljard aan digitale activa gestolen. Deze cijfers zijn afkomstig van recente analyses van blockchain-stromen, wetshandhavingsverklaringen en blockchain-trackingbedrijven.
Een opvallende verschuiving in hun aanpak is dat ze zich niet langer alleen richten op grote beurzen. Steeds meer individuen, met name crypto-houders die wallets, DeFi-platforms of minder bekende beurzen gebruiken, worden doelwitten. De strategie lijkt te gaan over het vermenigvuldigen van aanvallen in plaats van te vertrouwen op een of twee grote treffers. De winsten voeden de bredere bezorgdheid over door de staat gesponsorde cybercriminaliteit die wordt gebruikt om raket-, kern- en andere wapenprogramma’s te financieren.
Historisch gezien betroffen veel van de meest gepubliceerde hacks inbreuken op grote beurzen of bruggen waar hackers er met honderden miljoenen vandoor gingen. Maar recente onderzoeken laten een meer genuanceerde benadering zien. In plaats van razendsnelle “smash-and-grab”-hacks, zijn sommige van deze operaties nu afhankelijk van social engineering, valse wervingsaanbiedingen en cloudgebaseerde compromissen.
In één voorbeeld deden hackers zich voor als recruiters of contacten van berichten-apps, waardoor crypto-ontwikkelaars en eigenaren van portemonnees werden verleid om toegang te geven. In een andere werd misbruik gemaakt van een cloudomgeving, waardoor aanvallers toegang kregen tot de crypto-wallet-infrastructuur van een bedrijf en geld kon worden overgeheveld zonder duidelijke alarmen te activeren. Deze technieken maken detectie moeilijker en slachtoffers minder voor de hand liggend.
Wat opvalt is dat het financiële motief duidelijk is. Cryptocurrency is aantrekkelijk voor gesanctioneerde regimes omdat het wereldwijd is, moeilijk te traceren is en kan worden omgezet in fiat of kan worden gebruikt om goederen en diensten op de zwarte markt te financieren. Voor Noord-Korea is dit soort cyberdiefstallen naar verluidt een van de weinige overgebleven betrouwbare manieren om harde valuta te genereren onder zware sancties.
Hoe de impact eruit ziet voor slachtoffers en markten
Voor individuele houders van cryptocurrency is het gevaar directer geworden. Als aanvallers overstappen van inbreuken op beursniveau naar compromissen met persoonlijke portemonnees en clouddiensten, loopt elke gebruiker met aanzienlijke bezittingen gevaar, niet alleen grote instellingen. Een gestolen privésleutel, een gecompromitteerde cloudreferentie of een sociaal gemanipuleerde gebruikerslogin kan leiden tot weken of maanden van het leegmaken van geld in kleine stappen.
Aan de marktzijde fungeren grote diefstallen als schokgolven. Wanneer miljarden worden gestolen en de markten zich aanpassen, krijgt het beleggerssentiment een klap. Beurzen verscherpen de controles, regelgevers stellen hardere vragen en sommige platforms bevriezen opnames of verhogen de kosten. In veel gevallen komen de gevolgen lang na de eerste overval. Er zijn ook reputatiekosten: wanneer hackers die banden hebben met een statelijke actor de diefstal uitvoeren, roept dit bredere vragen op over de veerkracht van het crypto-ecosysteem.
En voor overheden en multilaterale organisaties openen de diefstallen nieuwe handhavingsuitdagingen. Het is één ding om de diefstal publiekelijk aan te kondigen, en het is iets anders om de activa op te sporen, ze te bevriezen, waarde terug te krijgen en de actoren erachter te straffen. Wanneer de aanvallers worden gesteund door een regime dat weinig rekening houdt met internationale normen, wordt de uitdaging nog complexer.
Waarom dit belangrijker is dan cijfers
Het is gemakkelijk om onder de indruk te zijn van de omvang van de vangst, aangezien $ 2 miljard een aanzienlijk bedrag is. Maar het echte verhaal zit in hoe de tactieken zijn geëvolueerd en wat dat betekent voor iedereen die nu crypto gebruikt of bezit.
Het feit dat aanvallers zich richten op individuen, misbruik maken van cloudsystemen en social engineering gebruiken, betekent dat de risico-enveloppe is uitgebreid. Het zijn niet alleen grote beurzen meer. Iemand met een hoogwaardige portemonnee, DeFi-blootstelling of een opstelling met meerdere accounts kan in de frontlinie staan.
Het laat ook zien dat het verdedigen van crypto niet alleen een kwestie is van “beursbeveiliging”, maar een veel breder spel: cloudreferenties, identiteiten van ontwikkelaars, praktijken voor portefeuillebeheer, multifactorauthenticatie, eindpuntbeveiliging en algemene cyberhygiëne zijn allemaal van belang. De grenzen tussen traditionele cybercriminaliteit, hacking door natiestaten, uitbuiting van arbeid op afstand en cryptocriminaliteit vervagen steeds meer.
Belangrijk is dat het ons eraan herinnert dat wanneer illegale fondsen op grote schaal het systeem binnenkomen, ze zelden in de ether verdwijnen. Ze voeden zich met een bredere geopolitieke dynamiek, illegale toeleveringsketens en soms zelfs wapenprogramma’s. Voor gewone gebruikers betekent dit dat een gestolen portemonnee niet alleen op uw saldo terechtkomt, en dat het een groter probleem kan voeden waarvoor u zich nooit hebt aangemeld.
Wat je kunt doen als je in crypto zit
Als u cryptocurrency bezit of wallet-services of DeFi-platforms gebruikt, zijn er enkele duidelijke stappen die u onmiddellijk moet nemen. Ga er eerst vanuit dat u het doelwit zult zijn. Die mentaliteitsverandering helpt om beter gedrag te stimuleren. Gebruik sterke, unieke wachtwoorden voor accounts, schakel overal multi-factor authenticatie in en sla sleutels of seed phrases waar mogelijk offline op.
Wees vooral voorzichtig als het gaat om cloudservices of wallet-integraties. Als u een cloudportemonnee, ontwikkelaarstool of met een beurs verbonden portemonnee gebruikt, behandelt u deze inloggegevens als hoogwaardig. Houd software up-to-date, minimaliseer machtigingen en gebruik auditlogboeken waar beschikbaar.
Vermijd interactie met ongevraagde “vacatures” waarin de ontwikkeling van crypto of portemonnees wordt genoemd, tenzij u de identiteit van het aanbod verifieert en het behandelt als elk ander risicovol wervingsproces. Social engineering komt vaker voor dan je denkt.
Houd ten slotte uw portemonnee-adressen en transactiegeschiedenis in de gaten. Gebruik tools of services voor ketenanalyse die u op de hoogte stellen als tokens worden verplaatst. Adopteer een mentaliteit van “Ik wil elke transactie zien”, want zodra aanvallers geld beginnen te verplaatsen, verdelen ze het vaak over tientallen adressen, ketens en rechtsgebieden. Hoe eerder u iets ongewoons ontdekt, hoe groter de kans dat u verder verlies stopt.