Noord-Korea steelt $293 miljoen in crypto en gebruikt eigen product voor witwassen

Cryptosector in shock na recorddiefstal

De cryptowereld wordt opgeschrikt door een golf van cyberaanvallen door Noord-Koreaanse hackers. In minder dan 20 dagen wisten zij voor in totaal $579 miljoen aan digitale valuta te stelen uit onchain-applicaties. De meest recente en grootste aanval betrof Kelp DAO, een crypto-app, waar $293 miljoen werd buitgemaakt.

Deze gebeurtenis heeft niet alleen financiële schade veroorzaakt, maar ook een crisis van vertrouwen binnen de sector van $2,7 biljoen getriggerd. Wat deze aanval extra opvallend maakt, is dat de hackers het platform zelf gebruikten om de gestolen fondsen te verplaatsen en wit te wassen.

Hoe de aanval in zijn werk ging

De hackers compromitteerden een applicatie die gebouwd is op LayerZero, een populair platform voor het verzenden van cryptovaluta tussen verschillende blockchains. Met een nepbericht dwongen zij de applicatie om de fondsen vrij te geven aan de aanvallers.

Niet tevreden met één diefstal, keerden de hackers dagen later terug. Deze keer gebruikten zij LayerZero om delen van de gestolen fondsen naar verschillende blockchains te sturen als onderdeel van een uitgebreid witwasplan. Tot nu toe hebben de hackers via LayerZero al minstens $500.000 verplaatst, blijkt uit onchain-gegevens.

Dit is het eerste gedocumenteerde geval waarbij dezelfde applicatie zowel als toegangspoort voor de aanval fungeerde als als methode voor het witwassen van de gestolen fondsen.

Noord-Korea behandelt hacken als 'gestandaardiseerde bedrijfsvoering'

State-funded hackers uit Noord-Korea zijn al bijna een decennium actief in de cryptosector. De afgelopen jaren zijn hun aanvallen echter steeds georganiseerder, geavanceerder en schadelijker geworden voor de industrie.

Afgelopen jaar wisten Noord-Koreaanse hackers bijvoorbeeld $1,5 miljard te stelen van Bybit door medewerkers van Safe, de walletprovider van de crypto-exchange, te compromitteren.

"We zien dat deze actoren exploits behandelen als gestandaardiseerde bedrijfsvoering. Ze hergebruiken infrastructuur en exploiteren settlementcorridors met de efficiëntie van een wereldwijd bedrijf."

Oproep tot betere beveiliging

In reactie hierop dringen crypto-beveiligingsonderzoekers aan op sterkere verdedigingsmechanismen. "Beveiliging gaat niet langer alleen om de integriteit van de code van het protocol. Operationele beveiliging is nu net zo cruciaal," aldus Yajin Zhou, medeoprichter van blockchainbeveiligingsbedrijf BlockSec.

David Schwed, chief operating officer bij SVRN en cybersecurity-expert, benadrukt dat projecten ervaren chief information security officers moeten aanstellen. Deze moeten teams van experts kunnen samenstellen om robuuste beveiligingssystemen op te bouwen.

Ook waarschuwt crypto-beveiligingsbedrijf Halborn voor projecten die single points of failure creëren. Aanvallers kunnen deze zwakke plekken met verwoestende gevolgen uitbuiten.

Witwassen via LayerZero

Hackers kunnen gestolen crypto niet zomaar naar een exchange sturen om het te verzilveren; dit zou direct opvallen en leiden tot inbeslagname. Daarom zetten zij complexe witwasplannen op waarbij het geld in kleine stukjes wordt gesplitst en herhaaldelijk tussen verschillende wallets en blockchains wordt verplaatst om de herkomst te maskeren.

Hier komt LayerZero weer in beeld. De hackers gebruikten het platform om een deel van de gestolen fondsen van Arbitrum, een layer-2-blockchain, naar Tron te sturen.

Oproep tot preventie en detectie

Naast het voorkomen van hacks, dringen beveiligingsonderzoekers erop aan om het voor hackers moeilijker te maken om gestolen fondsen wit te wassen. Een mogelijke oplossing is het blokkeren van wallets die geïdentificeerd worden als behorend tot Noord-Koreaanse hackers. Daarnaast wordt gepleit voor strengere controles en samenwerking tussen blockchains om verdachte transacties sneller te detecteren.