De crypto-industrie maakte in 2025 een grote toename mee van wereldwijde cryptocurrency-diefstal, met verliezen van meer dan $3,4 miljard tussen januari en begin december, volgens een nieuw rapport van Chainalysis.
De stijging kwam vooral door hackers uit Noord-Korea, die het grootste deel van de gestolen tegoeden dit jaar voor hun rekening namen.
Binnenkijken bij Noord-Korea’s record $2.000.000.000 crypto-diefstal
In het nieuwste rapport gaf blockchain-analysebedrijf Chainalysis aan dat het aantal aanvallen vanuit de Democratische Volksrepubliek Korea (DPRK) weliswaar flink daalde, maar dat ze toch een recordjaar hadden als het gaat om crypto-diefstal.
Noord-Koreaanse hackers hebben in 2025 minstens $2,02 miljard aan digitale assets gestolen. Dit is een stijging van 51% ten opzichte van het jaar ervoor. Vergeleken met 2020 is het zelfs een toename van ongeveer 570%.
“De recordopbrengst van dit jaar kwam uit aanzienlijk minder bekende incidenten. Deze verandering — minder incidenten, maar die veel meer opleverden — laat het effect zien van de enorme Bybit-hack in maart 2025,” merkte Chainalysis op.
Bovendien bleek uit het rapport dat DPRK-gelieerde actoren verantwoordelijk waren voor een record van 76% van alle service-compromissen dit jaar.
Gezamenlijk zorgen de cijfers uit 2025 ervoor dat de minimale schatting van door Noord-Korea gestolen crypto-middelen op $6,75 miljard komt.
“Deze ontwikkeling sluit aan bij een langetermijntrend. Noord-Koreaanse hackers tonen al jarenlang een hoog niveau van vakmanschap, en hun acties in 2025 laten zien dat ze zich blijven ontwikkelen qua tactieken en favoriete doelwitten,” vertelde Andrew Fierman, Chainalysis Head of National Security Intelligence, aan BeInCrypto.
Op basis van historische gegevens concludeerde Chainalysis dat de DPRK doorgaans aanvallen met een veel hogere waarde uitvoert dan andere hackersgroepen.
“Dit patroon laat zien dat Noord-Koreaanse hackers zich richten op grote diensten voor maximaal effect,” aldus het rapport.
Volgens Chainalysis weten hackers uit Noord-Korea tegenwoordig grote opbrengsten te halen door medewerkers in technische functies te plaatsen binnen crypto-bedrijven. Op deze manier — één van de belangrijkste aanvalsmethoden — krijgen aanvallers toegang tot gevoelige gegevens en kunnen ze grotere schade aanrichten.
In juli publiceerde blockchain-onderzoeker ZachXBT een onderzoek waaruit bleek dat Noord-Korea-gelieerde medewerkers zich tussen de 345 en 920 banen binnen de crypto-industrie wisten te krijgen.
“Een deel van dit recordjaar heeft waarschijnlijk te maken met meer IT-infiltratie bij exchanges, custodians en web3-bedrijven, waardoor sneller toegang en beweging mogelijk is voor grotere diefstallen,” vermeldde het rapport.
Hackers gebruiken ook steeds vaker wervingsachtige tactieken, waarbij ze zich voordoen als werkgevers en zo mensen in de sector proberen te benaderen.
Daarnaast meldde BeInCrypto onlangs dat hackers zich voordeden als vertrouwde contacten via valse Zoom- en Microsoft Teams-meetings. Hiermee wisten ze meer dan $300 miljoen te stelen.
“DPRK zal altijd zoeken naar nieuwe aanvalsmogelijkheden en kwetsbaarheden om tegoeden weg te sluizen. In combinatie met het feit dat het regime geen toegang heeft tot de wereldeconomie, ontstaat er een gemotiveerde en geavanceerde staatshacker die zoveel mogelijk kapitaal wil binnenslepen voor het regime. Hierdoor zijn diefstallen van private keys bij centrale diensten een groot deel van de ontvreemde crypto dit jaar,” verklaarde Fierman.
Chainalysis onthult 45-daagse witwasstrategie van Noord-Koreaanse hackers
Chainalysis ontdekte dat Noord-Korea zijn witwasmethoden heel anders aanpakt dan andere groepen. Uit het onderzoek blijkt dat DPRK-gelieerde hackers geld witwassen in kleinere on-chain bedragen, waarbij ruim 60% van het volume onder een waarde van $500.000 valt.
Daartegenover transfereren andere hackers meestal 60% van hun gestolen geld in veel grotere pakketten, vaak tussen $1 miljoen en meer dan $10 miljoen. Volgens Chainalysis laat deze werkwijze zien dat Noord-Korea, ondanks de grotere versnippering, een bewuste en slimme aanpak heeft om geld wit te wassen.
Het bedrijf zag ook duidelijke verschillen in het gebruik van diensten. Noord-Koreaanse hackers zijn sterk afhankelijk van Chinees-talige geldovermakings- en garantieservices, maar maken ook gebruik van bridges en mixingtools om transacties te verbergen. Speciale platforms zoals Huione worden ook ingeschakeld voor hun witwasoperaties.
Andere hackers besteden hun gestolen geld juist vaker via gedecentraliseerde exchanges, centrale platforms, peer-to-peer services en leenprotocollen.
“Deze patronen laten zien dat de DPRK te maken heeft met andere beperkingen en doelen dan hackers die niet door een staat worden gesteund. Ze maken veel gebruik van professionele Chinees-talige witwasservices en over-the-counter (OTC)-handelaren. Hierdoor zijn Noord-Koreaanse hackers sterk verbonden met illegale netwerken in de Azië-Pacific, wat past bij het gebruik door Pyongyang van China-gebaseerde kanalen om toegang te krijgen tot het internationale financiële systeem,” aldus het bedrijf.
Chainalysis zag ook een terugkerend witwaspatroon dat zich meestal over 45 dagen afspeelt. In de eerste dagen na een hack (Dag 0-5) proberen actoren uit Noord-Korea de gestolen fondsen zo snel mogelijk te scheiden van de bron. In deze beginperiode is er een sterke toename in het gebruik van DeFi-protocollen en mixingdiensten.
In de tweede week (Dag 6-10) verschuift de activiteit naar diensten die bredere integratie mogelijk maken. Geldstromen komen dan bij gecentraliseerde exchanges en platforms met beperkte KYC-verplichtingen terecht.
Het witwassen gaat door via secundaire mixingdiensten, maar met minder intensiteit. Tegelijkertijd worden cross-chain bridges gebruikt om transacties te verhullen.
“Deze fase is het kritieke overgangsmoment waarin de fondsen richting potentiële off-ramps gaan,” zei het bedrijf.
In de laatste fase (Dag 20-45) is er meer interactie met diensten die conversies of uitbetalingen mogelijk maken. Exchanges zonder KYC, garantiediensten, instant-swap platformen en diensten in de Chinese taal vallen op, naast het hernieuwd gebruik van gecentraliseerde exchanges om illegale fondsen te mengen met legitieme activiteiten.
Chainalysis benadrukte dat het terugkerende 45-daagse witwasproces belangrijke inzichten biedt voor opsporingsdiensten. Het laat ook zien welke operationele beperkingen hackers hebben en op welke specifieke partijen ze vertrouwen.
“Noord-Korea voert een snelle en effectieve witwasstrategie uit. Daarom is er een snelle, gezamenlijke reactie van de hele sector nodig. Opsporingsdiensten en de private sector – van exchanges tot blockchain-analysebedrijven – moeten goed samenwerken om direct in te grijpen als er een kans is, of dat nu is als het geld door stablecoins heen gaat of een exchange bereikt waar het bevroren kan worden,” aldus Fierman.
Hoewel niet alle gestolen fondsen dit tijdspad volgen, laat het patroon het typische gedrag op chain zien. Het team erkent dat er blinde vlekken kunnen zijn, zoals bij activiteiten die niet direct op de blockchain zichtbaar zijn, bijvoorbeeld bij het overdragen van private keys of off-chain OTC-transacties, tenzij er aanvullende informatie beschikbaar is.
De 2026 verwachting
Het hoofd van National Security Intelligence van Chainalysis vertelde aan BeInCrypto dat Noord-Korea waarschijnlijk naar elk mogelijk zwak punt zoekt. Incidenten zoals bij Bybit, BTCTurk en Upbit dit jaar laten zien dat gecentraliseerde exchanges steeds meer onder druk komen te staan, maar de tactieken kunnen op elk moment veranderen.
Recente aanvallen op onder andere Balancer en Yearn wijzen erop dat ook lang bestaande protocollen in de belangstelling van aanvallers komen. Hij zei,
“We kunnen niet voorspellen wat er in 2026 gebeurt, maar we weten wel dat DPRK altijd het maximale uit hun doelwit wil halen. Dat betekent dat diensten met een grote reserve extra hoge beveiliging moeten hebben, zodat ze niet het volgende slachtoffer worden.”
Het rapport benadrukte ook dat Noord-Korea steeds meer afhankelijk is van cryptodiefstal om staatsdoelen te financieren en internationale sancties te ontwijken. Daarom moet de sector erkennen dat deze speler zich anders gedraagt en andere belangen heeft dan gewone cybercriminelen.
“De recordprestaties van het land in 2025 – bereikt met 74% minder bekende aanvallen – suggereren dat we waarschijnlijk alleen het zichtbare deel van de activiteiten zien,” voegde Chainalysis toe.
Het bedrijf geeft aan dat de grootste uitdaging richting 2026 zal zijn om deze grootschalige operaties van tevoren op te sporen en te verstoren, voordat Noord-Korea weer een incident kan uitvoeren op de schaal van de Bybit-hack.
