3 juni 2026
In 2025 bedroegen de diefstallen van cryptocurrency door aan Noord-Korea gelinkte hackers meer dan $2 miljard, een record dat alle voorgaande jaren overtrof. Tegelijkertijd herstelden wereldwijde handhavingsteams $439 miljoen en arresteerden honderden mensen in een vier maanden durende operatie die zich over veertig landen uitstrekte. Deze combinatie van recordbrekende, door de staat gesponsorde overvallen en gecoördineerde handhaving roept een prangende vraag op: Stuiten aanvallers tegen een plafond aan, of leren zij hun aanvallen continu aan te passen om nieuwe overheidscontroles te omzeilen?
Het antwoord op deze vraag heeft verstrekkende implicaties voor schatkistbeleid, budgetten voor brugbeveiliging en de levensvatbaarheid van privacybeschermende infrastructuur. Indien handhaving inderdaad de illegale geldstromen aantast, kan de sector vertrouwen op verbeterde KYC (Know Your Customer), sancties en blockchain-analyse om risico’s te beheersen. De mogelijkheid bestaat dat aanvallers zich aanpassen door te schakelen tussen verschillende blockchains, hun cash-outs te fragmenteren en gebruik te maken van rechtsgebieden waar de ’travel rule’ zwak is geïmplementeerd. Dit vraagt om architectonische veranderingen in defensieve structuren, in plaats van slechts een verbeterde compliance-opstelling.
De in februari 2025 gepleegde inbraak bij Bybit heeft de standaarden voor het jaar bepaald. De FBI koppelde de diefstal van $1,5 miljard aan de Lazarus-groep van Noord-Korea, een systeem van gerichte phishing en malware die jarenlang blockchain-ontwikkelaars en operationele teams heeft aangevallen. De aanvallers verspreidden geïnfecteerde handelsapplicaties via compromitteringen in de toeleveringsketen, waarbij ze toegang kregen tot de infrastructuur van hot-wallets.
TRM Labs documenteerde de daaropvolgende witwasactiviteiten, die startten met onmiddellijke swaps naar native assets, gevolgd door brughops naar Bitcoin en Tron, en tenslotte doorlagen met mixers over obscure protocollen. De mid-year update van Chainalysis bevestigde serviceverliezen van meer dan $2,17 miljard tot 30 juni, waarbij de Bybit-diefstal het grootste aandeel had. Elliptic verhoogde in oktober het totaal van diefstallen die aan Noord-Koreaanse actoren werden toegeschreven tot meer dan $2 miljard, met een nadruk op de “stijgende complexiteit van het witwassen als reactie op verbeterde traceermethoden”.
Door de verschuiving van de aanvalsvectoren van exchange hot wallets naar bruggen en validatoroperaties, waar enkele kritieke fouten enorme geldstromen ontsluiten, is de aanvaloppervlakte aanzienlijk uitgebreid. Elliptic’s cross-chain crime report uit 2025 toonde aan hoe vaak gestolen activa nu meer dan drie, vijf of zelfs tien blockchains overbrugden, in een poging om tracing te frustreren. Andrew Fierman, hoofd nationale veiligheidsintelligentie bij Chainalysis, beschreef deze evolutie treffend: “Noord-Koreaanse witwassers passen voortdurend hun mechanismes aan om verstoring te vermijden.”
De handhaving nam in 2025 een vlucht. Interpol’s operatie HAECHI VI, die van april tot augustus plaatsvond, herstelde $439 miljoen over veertig landen, inclusief $97 miljoen in virtuele activa. Deze gecoördineerde actie volgde op de recordverbrekende HAECHI V van 2024. Europol zette gedurende het jaar door met parallelle acties tegen witwasinfrastructuur en crypto-fraudenetwerken.
De update van de Financial Action Task Force (FATF) in juni 2025 toonde aan dat de implementatie van de travel rule was gestegen naar 85 rechtsgebieden, waarbij de richtlijnen voor toezichthouders aangescherpt werden voor grensoverschrijdende informatie-uitwisseling. Dit zijn wezenlijke obstakels voor netwerken die zich richten op het cash-outen en die afhankelijk zijn van gefragmenteerde compliance-regels. Sancties en strafzaken richten zich nu evenzeer op facilitators als op hackers. De acties van het Office of Foreign Assets Control in juli 2025 troffen de inkomstenstromen van Noord-Koreaanse IT-werknemers, terwijl aanklachten van Justitie en verbeurdverklaringen Noord-Koreaanse opererende individuen aanklaagden voor cryptodiefstal en witwassen.
Het resultaat is dat er minder grote, gecentraliseerde witwashubs zijn en meer gefragmenteerde, cross-chain methodes. Fierman merkte op: “Verhoogde KYC-due diligence door exchanges kan helpen mule-accounts te verstoren, terwijl de sanctie van mixers uiteindelijk heeft geleid tot dat actoren zich wenden tot alternatieve platforms die mogelijk minder liquiditeit hebben om grootschalig witwassen te faciliteren.”
De standaarden voor toeschrijving combineren on-chain forensische technieken met signalen van intelligentie en malware-analyse. De FBI bevestigde publiekelijk in februari 2025 de toeschrijving van de Bybit-diefstal, terwijl meerdere media en het Japanse ministerie van Buitenlandse Zaken bewijs samenvoegden dat TraderTraitor koppelde aan eerdere diefstallen. De doelkeuze is verschoven naar exchanges, bruggen en validatorpaden, waar operationele beveiligingsfouten de grootste waarde ontsluiten.
Chainalysis-data toont aan dat de verliezen in 2025 voornamelijk concentreerden rond servicebreuken, in plaats van individuele wallet-compromissen, wat een verschuiving naar infrastructuurtargets met hoge hefboomwerking weerspiegelt. Witwaspatronen volgen tegenwoordig routinematig via USDT-corridors en OTC-afvoerkanalen buiten strikte regulerende zones. Een Reuters-onderzoek in 2024 volgde de geldstromen gelinkt aan Lazarus binnen een betaaldiensten netwerk in Zuidoost-Azië. Eerstgenoemde en Elliptic documenteren een gestage daling van directe cash-outs op exchanges, van ongeveer 40% van illegale overboekingen in 2021-2022 naar ongeveer 15% half 2025.
Fierman beschrijft de juridische arbitrage: “Noord-Korea zal mechanismen blijven aanpassen, zoals recent gezien, door gebruik te maken van grote liquiditeitsbronnen voor het witwassen, zoals de Huione Group, of door regionale OTC-handelaren die mogelijk niet op zoek zijn naar naleving van regulaties of die opereren binnen een zwakke regulering.”
Kijkend naar de korte termijn, blijkt het antwoord beide te zijn. Chainalysis stelt vast dat directe overboekingen van illegale entiteiten naar exchanges daalden tot ongeveer 15% in het tweede kwartaal van 2025, wat impliceert dat screening, sancties en samenwerking van exchanges effectief zijn. Toch duwen deze acties de cash naar gelaagde cross-chain hops en betalingsverwerkers buiten de striktste regimes.
De FATF’s gegevens uit 2025 tonen aan dat de wetten omtrent de travel rule op de boeken staan in de meeste belangrijke hubs, maar dat de handhaving ongelijk is, en precies dat is waar nieuwe witwashcorridors zich vormen. Handhaving operaties door Interpol en nationale autoriteiten bevriezen grotere delen van illegale saldi, en particuliere actoren publiceren bevriezingen en inbeslagnames, wat de bredere trend van het verlagen van risico’s benadrukt en de kosten van witwassen voor Noord-Korea verhoogt.
Stablecoin-uitgevers kunnen op elk punt in de toeleveringsketen activa bevriezen, wat het risico concentreert bij gecentraliseerde uitgevers, maar de kansen op herstel verbetert mits snel gehandhaafd. De vraag blijft echter of die frictie zich sneller ophoopt dan aanvallers zich kunnen aanpassen.
Begrijp dat intrusies van Noord-Korea als een zakelijke risico-scenario moeten worden gezien, en niet als een zwarte zwaan. De adviezen van de Amerikaanse TraderTraitor bieden praktische mitigerende maatregelen, waaronder het versterken van wervingsprocessen en de toegang van leveranciers, het vereisen van code-signing verificatie voor tools, het beperken van budgets voor hot wallets en het automatiseren van limieten voor opnamesnelheid.
Het oefenen van incident gespeeldboeken die onmiddellijke adres screening, brug-halt beleid, en escalatiepaden naar wetshandhaving omvatten, is ook aan te raden. Gevallen tonen aan dat vroege bevriezingen, snelle KYC-geactiveerde tracing en samenwerking met exchanges de kans op herstel significant vergroten. Voor kapitaalroutes zouden goedgekeurde brug- en gedecentraliseerde-exchange lijsten met zakelijke rechtvaardiging moeten worden toegepast, en moet de screening gereed voor de travel rule worden uitgebreid naar schatkistbewegingen om te voorkomen dat er besmettingsstromen ontstaan.
Leveranciers van blockchain-analyse publiceren actuele typologieën voor cross-chain witwassen: dit moet in monitoring worden gebakken, zodat waarschuwingen ook afstemmen op brug-hops en native-asset pivots, en niet alleen op verouderde mixer-tags. Philipp Zentner, oprichter van Li.Fi, stelde dat on-chain kill switches een centralisatie versus responsiviteit compromis vereisen. Hij verduidelijkte: “Een puur on-chain oplossing zonder een centrale acteur is zeer onwaarschijnlijk te realiseren. Alles wat niet is gecureerd kan worden misbruikt, en alles wat te open is, kan ook door de hacker zelf worden gebruikt. Wanneer DEX-aggregators en bruggen over hackers worden benaderd, is het vaak al te laat.”
Een gecentraliseerde oplossing heeft vandaag de dag veel meer kans om succesvol te zijn, wat de realiteit weerspiegelt dat gedecentraliseerde protocollen niet over de noodzakelijke coördinatielaag beschikken om de voortgang van diefstal in real-time te stoppen zonder het risico van door mensen gedreven centralisatie in te voeren.
Het samengestelde beeld toont aan dat handhaving de kosten en complexiteit van witwassen heeft verhoogd, maar diefstallen niet heeft gestopt. Noord-Korea gelinkte actoren stalen in 2025 meer dan in enig ander jaar, echter moeten zij nu hun route door tien blockchains navigeren, converteren via obscure paren en vertrouwen op regionale OTC-brokers in plaats van direct uit te cashen bij grote exchanges.
Dit komt tegemoet aan de vooruitgang voor verdedigers; detectie-heuristieken, clusteranalyse en grensoverschrijdende samenwerking zijn effectief, maar het is ook een bewijs dat aanvallers zich sneller aanpassen dan de regulerende instanties harmoniseren. De test voor 2026 zal zijn of de volgende ronde van handhaving, met striktere implementatie van de travel rule, agressievere bevriezingen van stablecoins en voortdurende multilaterale acties, het witwasraam voldoende samendrukt zodat geavanceerde statelijke actoren geconfronteerd worden met onoverkomelijke frictie. Of, alternatieve, of zij zich dieper in rechtsgebieden met zwakke toezicht verschuiven en doorgaan met het financieren van operaties door crypto-diefstal.
Het antwoord op deze vragen zal bepalen of de industrie kan vertrouwen op compliance als een kernverdediging, of dat architectonische veranderingen nodig zijn die bruggen verankeren, de blootstelling van hot wallets beperken, en betere incident-responscoördinatie in de protocollen zelf bouwen.
Hoe beïnvloedt de toegenomen handhaving het crypto-landschap?
De toegenomen handhaving heeft geleid tot hogere kosten en complexiteit voor het witwassen van geld, maar heeft de diefstallen zelf niet gestopt. Sommige criminelen passen hun strategieën aan en verhuizen naar goedkopere en minder gereguleerde methoden.
Wat kunnen bedrijven doen om zich te beschermen tegen dit soort aanvallen?
Bedrijven zouden hun beveiligingsprotocollen moeten verbeteren door KYC-praktijken strenger toe te passen, medewerkers bewust te maken van phishing-aanvallen en incident-response plannen op te stellen die snelle actie mogelijk maken bij een inbraak.
Wat is de rol van technologie in de strijd tegen crypto-fraude?
Technologie speelt een cruciale rol in de detectie en preventie van crypto-fraude. Innovaties zoals blockchain-analyse, AI-gedreven monitoring en betere compliance-tools zijn essentieel om het systeem veerkrachtiger te maken en illegale activiteiten te traceren.
Bitcoin (BTC)
Ethereum (ETH)
XRP (XRP)
