Bybit hack 2025 veroorzaakte grote opschudding in de cryptomarkt. Het beveiligingslek, waarbij $1,5 miljard werd gestolen, behoort tot de grootste hacks van crypto exchanges ooit. Hackers maakten gebruik van een kwetsbaarheid in de wallet, waardoor Ethereum (ETH) werd gestolen. Dit riep vragen op bij traders: wat ging er mis, had dit voorkomen kunnen worden, en zijn de klantfondsen nog veilig? In dit artikel onderzoeken we wat er precies gebeurde, hoe Bybit reageerde en wat de impact van deze hack is voor de toekomst van de cryptomarkt.
BELANGRIJKE PUNTEN
➤ De 2025 Bybit hack maakte gebruik van gebreken bij het ondertekenen van transacties, wat leidde tot een verlies van $1,5 miljard.
➤ Hackers gebruikten cross-chain bridges en mixers om gestolen geld wit te wassen.
➤ Onvolkomenheden in de beveiliging van derde partijen, zoals de AWS-breuk bij Safe{Wallet}, kunnen exchanges compromitteren.
- Wat was de Bybit hack 2025?
- Hoe is de Bybit hack gebeurd?
- Wat veroorzaakte de Bybit hack in 2025?
- Waarom dit belangrijk is voor crypto-beveiliging
- Wie zat er achter de Bybit hack van 2025?
- Wat was de reactie van Bybit?
- Hoeveel is er teruggevorderd?
- Wat verandert de Bybit hack voor crypto?
- Veelgestelde vragen
Wat was de Bybit hack 2025?
De Bybit hack was een zeer gecoördineerde aanval waarbij $1,5 miljard aan Ethereum (ETH) van het platform werd gehaald. Onderzoek suggereert dat hackers gebruik maakten van een single-signing transactie kwetsbaarheid, waardoor ze de wallet-beveiliging konden omzeilen en ongeautoriseerde opnames konden uitvoeren.
Hoe is de Bybit hack gebeurd?
Blockchain-beveiligingsfirma’s die de Bybit hack hebben onderzocht, wijzen op een fout in het wallet signing-proces als het mogelijke zwakke punt dat de aanvallers hebben uitgebuit. Dit is hoe het waarschijnlijk is gegaan:
- Een transactie signing exploit begon alles waarbij aanvallers gebruik maakten van een single-signing transactie kwetsbaarheid. Hierdoor konden ze meerdere opnames autoriseren met één enkele goedkeuring.
- Daarna volgde de compromittering van koude wallets. In tegenstelling tot de meeste crypto hacks die gericht zijn op hot wallets, lijkt deze aanval de koude opslag van Bybit te hebben aangetast, wat zorgen baart over diepere gaten in de beveiliging.
- Dit alles ging gepaard met phishing & social engineering aanvallen. De schurken kunnen toegang hebben gekregen tot interne referenties via phishing oplichting gericht op Bybit werknemers. Maar dat was allemaal een deel van de vroege hypothese, en Bybit lijkt de primaire reden te hebben gekraakt (waarover later meer).
Wat is een single-signing transactiekwetsbaarheid?
Deze kwetsbaarheid maakt het mogelijk om een enkele goedkeuring van een transactie te hergebruiken of te manipuleren, wat kan leiden tot onbevoegde opnames. Laten we dit stap voor stap ontleden:
- Smart contract signing flaw – Wanneer geld wordt verplaatst van een cold wallet naar een hot wallet, genereert het systeem een goedkeuringshandtekening om de transactie te verifiëren.
- Misbruik maken van het goedkeuringsproces – Aanvallers onderschepten deze handtekening en gebruikten deze om meerdere ongeautoriseerde transacties te starten.
- Geld aftappen in enkele seconden– Omdat het systeem deze transacties als goedgekeurde transacties behandelde, konden de hackers Ethereum (ETH) uit de reserves van Bybit halen zonder onmiddellijk alarm te slaan.
Stel je voor dat je een blanco cheque ondertekent voor een vertrouwde vriend. In plaats van het afgesproken bedrag op te nemen, kopiëren ze je handtekening en legen ze je hele bankrekening. Dat is wat hier gebeurde: de hackers onderschepten een geldige handtekening en hergebruikten deze om de fondsen van Bybit leeg te trekken.
Waren er andere beveiligingslekken?
Hoewel het probleem met de eenmalige ondertekening van transacties de belangrijkste exploit lijkt te zijn, kunnen andere potentiële problemen phishing-aanvallen, kwetsbaarheden in smart contracts en natuurlijk de vertraagde detectie van de aanval zijn.
Wist je dat? De Bybit hack 2025 werd voor het eerst ontdekt door on-chain onderzoeker ZachXBT, die op 21 februari 2025 een sterke uitstroom van fondsen waarnam van het Bybit-platform. Kort daarna bevestigden blockchain-beveiligingsbedrijven SlowMist en PeckShield de inbreuk en merkten op dat Bybit te maken had met ongekende geldonttrekkingen.
Terwijl al deze inzichten in eerste instantie opdoken, is er nieuwe informatie opgedoken over de hoofdoorzaak van de Bybit hack van 2025.
Wat veroorzaakte de Bybit hack in 2025?
In tegenstelling tot de aanvankelijke vrees voor een interne beveiligingsfout, heeft forensisch onderzoek gewezen op een inbreuk in Safe{Wallet}, een third-party wallet infrastructuur die Bybit gebruikte voor multi-signature transacties.
Wat is Safe{Wallet}?
Safe{Wallet} kan worden gezien als een kluis op basis van smart contracts, ontworpen om transacties veilig te houden door middel van goedkeuringen met meerdere handtekeningen. Het draait op AWS S3, wat betekent dat het JavaScript-bestanden opslaat en laadt vanuit de cloud om transacties te verwerken. Klinkt efficiënt, toch? Helaas is dat precies waar het misging.
Hackers ontdekten een manier om kwaadaardig JavaScript in de AWS S3-bucket van Safe{Wallet} te injecteren, waardoor ze transacties in realtime konden aanpassen zonder opgemerkt te worden. Hoewel Bybit’s kernbeveiliging technisch gezien niet “gehackt” was, werd de tool die werd gebruikt voor het goedkeuren en uitvoeren van transacties gemanipuleerd. Bybit ondertekende de overdrachten, maar de hackers herschreven de eindbestemming van de fondsen zonder dat iemand het merkte.
Hoe vond de aanval plaats?
Tijdens een reguliere ETH cold wallet-overdracht naar een hot wallet, wijzigde het kwaadaardige script, dat in Safe{Wallet}’s JavaScript was ingebed, de transactiegegevens terwijl deze werd ondertekend.
Stel je voor dat je in een winkel betaalt, en de caissière verwisselt ongemerkt de betaalterminal. Je denkt dat de transactie legitiem is, maar je geld wordt ergens anders naartoe gestuurd.
Dat is precies wat hier gebeurde: Bybit’s ondertekenaars keurden de transactie goed in de veronderstelling dat alles veilig was, maar het aangepaste Safe{Wallet}-script wijzigde stilletjes het ontvangersadres naar dat van de aanvaller.
Real-time transactiekapingen
De JavaScript-injectie was ontworpen om alleen te activeren wanneer transacties afkomstig waren van specifieke adressen – Bybit’s cold wallet-contract en een ander onbekend adres (waarschijnlijk een testadres gebruikt door de aanvallers). Dit betekende dat:
- Als een normale gebruiker interactie had met Safe{Wallet}, gebeurde er niets verdachts.
- Wanneer Bybit een transfer van hoge waarde verwerkte, veranderde het script de bestemmings-wallet vlak vóór de uitvoering.
Omdat de transactie nog steeds cryptografisch ondertekend was door Bybit’s geautoriseerde wallets, was er geen onmiddellijke rode vlag; het zag er volledig legitiem uit op de blockchain.
Geen typische exchange-hack
Bij de meeste crypto exchange-hacks zoals Mt. Gox (2014) of Coincheck (2018) ging het om het lekken van private keys of directe inbraken in wallets van exchanges. Dat is als inbrekers die in een bankkluis inbreken.
De Bybit hack 2025 was echter anders; het was een aanval op infrastructuurniveau. In plaats van het stelen van privé sleutels, manipuleerden de hackers het transactie-ondertekeningsproces zelf:
- Bybit’s eigenlijke wallet-beveiliging werd niet geschonden.
- De hack maakte gebruik van een hulpmiddel dat werd gebruikt bij het ondertekenen van transacties in plaats van de opslag van assets zelf.
Waarom dit belangrijk is voor crypto-beveiliging
Deze hack onthult een ernstig beveiligingslek: zelfs als een exchange zijn eigen systemen goed beveiligt, kunnen integraties met derden toch kwetsbaarheden introduceren.
Safe{Wallet} was niet gebouwd als speeltuin voor hackers, maar de afhankelijkheid van JavaScript-bestanden in AWS S3 bleek de zwakke schakel te zijn. Niemand verwachtte dat aanvallers kwaadaardige code op infrastructuurniveau zouden binnensmokkelen, maar dat deden ze wel; ze herschreven transacties stilletjes vlak voor de uitvoering.
Deze hele situatie is een waarschuwing: crypto-platforms kunnen niet zomaar vertrouwen op tools van derden zonder voortdurende beveiligingsaudits, onafhankelijke transactiecontroles en strengere bescherming van meerdere handtekeningen. Als hackers het ondertekeningsproces zelf kunnen kapen, betekent zelfs de beste wallet-beveiliging niets.
Zelfs in een multi-sig setup, zoals deze hack bewijst, als de ondertekenaars onbewust frauduleuze transacties goedkeuren, worden beveiligingsmaatregelen zinloos.
Wie zat er achter de Bybit hack van 2025?
De Bybit hack van 2025 wordt toegeschreven aan de beruchte Lazarus Group, een Noord-Koreaans hackerscollectief dat verantwoordelijk is voor enkele van de grootste cryptocurrency-diefstallen in de geschiedenis. Deze groep is in verband gebracht met meerdere high-profile cybermisdaden, waaronder de recente Phemex-hack, waarbij ongeveer $85 miljoen werd gestolen.
Hoe hebben ze het voor elkaar gekregen?
De Lazarus Group heeft niet simpelweg gehackt en gestolen, maar voerde een aanval uit op het goedkeuringsproces van Bybit voor transacties. Door het Safe{Wallet}-systeem binnen te sluipen, wisten ze stilletjes geld om te leiden tijdens legitieme overschrijvingen.
Het resultaat? 401.000 ETH verdween voordat iemand met zijn ogen kon knipperen, een ramp van $1,5 miljard.
Hoe de hackers het geld doorsluisten
Het stelen van crypto is makkelijk. Het uitgeven zonder gepakt te worden is de echte uitdaging. Lazarus volgde hun gebruikelijke draaiboek voor witwassen:
- Gecentraliseerde mixers
- Cross-chain bruggen
- Obscure exchanges
- Geld doorsluizen via low-KYC platforms die niet te veel vragen stellen.
Dezelfde oude trucs, maar dit keer met een veel groter bedrag. Wil je dieper ingaan op hoe het gebeurde? Bekijk dan deze uitsplitsing:
Bybit hack 2025 was niet zomaar een eenvoudige Ethereum-diefstal; het was een geraffineerde roof waarbij meerdere assets betrokken waren die verder gingen dan alleen ETH. De aanvallers stalen 401.347 ETH (~$1,4 miljard), 90.376 stETH (Lido’s staked Ethereum), cmETH & METH tokens (Liquid-staked ETH van Mantle en andere protocollen), en $100.000 USDT, waarvan later een deel door Tether werd bevroren.
Deze mix van gestolen assets maakte het witwassen moeilijker, aangezien staked assets niet eenvoudig kunnen worden geliquideerd zonder dat het opvalt. Dit dwong de aanvallers om gebruik te maken van bridges, mixers en gecentraliseerde exchanges, wat hen uiteindelijk beter traceerbaar maakte.
Wat was de reactie van Bybit?
Bybit reageerde snel na de inbreuk en voerde een gelaagd reactieplan uit om de schade te beperken en verdere verliezen te voorkomen.
Onmiddellijke acties
- Gestolen fondsen werden veiliggesteld, en Bybit bood gebruikers de garantie van een 1:1 asset-backing.
- Er was een beveiligingsrevisie geleid door de versterking van multi-sig wallets, monitoring tools en API-beveiliging.
- Bybit bood een 10% bounty van $140 miljoen aan voor white-hat hackers om de gestolen fondsen terug te halen.
- Bybit bevroor orders en begon fondsen te volgen met partners als Chainalysis, Arkham en meer.
LazarusBounty.com: een nieuw wapen tegen crypto-misdaad
Bybit lanceerde LazarusBounty.com, een baanbrekende bounty-aggregator gericht op het Noord-Koreaanse hackerscollectief Lazarus Group.
Wat maakt het anders?
- Bounty-hunters kunnen direct verdienen
- Exchanges & mixers worden gestimuleerd om te handelen
- Good vs. bad actor rankings
- Live data van wallets voor onderzoekers
Hoe kan LazarusBounty verbeteren?
Onze suggesties om deze service aan te scherpen zijn onder andere
1. Het introduceren van een “Hot Wallet Defense” netwerk
Momenteel is LazarusBounty reactief, waarbij het gestolen fondsen achteraf opspoort. Bybit zou echter proactief kunnen handelen door hot wallets van exchanges te beveiligen vóór een aanval.
Dit kan worden gerealiseerd met een gedecentraliseerd honeypot-systeem, waarbij exchanges real-time tracking scripts gebruiken om verdachte transacties te markeren voordat ze on-chain worden uitgevoerd.
2. Regelgevers betrekken met real-time waarschuwingen
Bybit zou een dashboard voor toezichthouders kunnen toevoegen, dat wetshandhavingsinstanties onmiddellijk op de hoogte stelt wanneer Lazarus-gelinkte fondsen bewegen.
Het huidige probleem is dat exchanges assets vaak te laat bevriezen. Een directe link naar Interpol, OFAC of FATF zou de actie kunnen versnellen.
3. Open bounty’s op wallet-bewegingen
Momenteel is de premie gekoppeld aan het bevriezen van tegoeden, maar wat als premiejagers specifieke wallets kunnen opsporen en claimen? Bybit zou gebruikers in staat kunnen stellen om een wallet te “claimen”, waarbij ze een beloning ontvangen voor het volgen van het witwaspad zodra de wallet beweegt.
4. Openbare API voor zwarte lijsten van exchanges
Exchanges handelen niet altijd snel, omdat ze vaak geen real-time tracking van wallets hebben. De oplossing? Een live API die direct wallets met hoog risico bijwerkt, waardoor exchanges gedwongen worden om actie te ondernemen voordat de fondsen in mixers verdwijnen.
Hoeveel is er teruggevorderd?
Vanaf eind februari 2025 is $42,8 miljoen van de gestolen assets van de Bybit hack 2025 bevroren of teruggevonden. Lees verder voor de volledige uitsplitsing:
- Ethereum (ETH): 34 ETH (≈$97.000) werd onderschept en bevroren door ChangeNOW, waardoor de aanvallers het niet verder konden verplaatsen.
- Bitcoin (BTC): 0,38755 BTC (≈$37.000) werd geblokkeerd op het Avalanche-netwerk nadat hackers het cross-chain overbrugden.
- Stablecoins (USDT/USDC): Tether bevroor 181.000 USDT, terwijl FixedFloat $120.000 aan gemengde USDT en USDC blokkeerde die gekoppeld waren aan de gestolen fondsen.
- Staked Ethereum-derivaten: 15.000 ETH werd met succes teruggehaald door mETH Protocol voordat de aanvallers het konden opnemen. Deze actie voorkwam verdere liquidatie van liquid-staked assets.
Daarnaast heeft het lopende forensische onderzoek op de blockchain meer dan 11.000 wallet-adressen geïdentificeerd die betrokken zijn bij het witwassen van gestolen fondsen. Dit stelt exchanges en protocollen in staat om verdachte activiteiten in realtime te detecteren, deze wallets op een zwarte lijst te plaatsen en de fondsen te bevriezen.
Hoe werden de gestolen fondsen opgespoord en bevroren?
Het terugvinden van deze assets is mogelijk gemaakt door een gelaagde, wereldwijde inspanning, die bestaat uit:
- Bevriezen van exchanges: Platformen zoals FixedFloat, ChangeNOW, Bitget en THORChain hebben deposito’s geïdentificeerd en bevroren die gekoppeld zijn aan de gestolen fondsen.
- Emittenten van stablecoin op de zwarte lijst: Tether en Circle hebben accounts met gestolen USDT en USDC gemarkeerd en bevroren, waardoor de hackers deze assets niet meer kunnen gebruiken.
- Blockchain-intelligentie opsporen: Forensische teams, waaronder Elliptic, Arkham, Chainalysis en TRM Labs, hebben in kaart gebracht hoe de aanvallers hun fondsen verplaatsten, waardoor exchanges transacties konden blokkeren voordat ze konden worden uitbetaald.
- Bounty-programma’s & deelname van de community: Bybit’s LazarusBounty.com heeft onafhankelijke onderzoekers gestimuleerd om gestolen fondsen op te sporen, door 5% bounty’s aan te bieden voor succesvolle bevriezingen en tot 10% voor teruggevonden fondsen.
Hoewel volledig herstel onwaarschijnlijk blijft, zou een combinatie van samenwerking tussen exchanges, real-time analyses en bounty-gedreven onderzoeken effectief kunnen zijn. Dit zou met name de mogelijkheden van hackers om gestolen assets te liquideren, aanzienlijk kunnen beperken.
Wat verandert de Bybit hack voor crypto?
De Bybit hack in 2025 heeft aangetoond dat zelfs multi-signature wallets en cold storage niet immuun zijn voor inbreuken op de infrastructuur. Nu hackers steeds creatiever worden, is het essentieel dat exchanges hun beveiliging verbeteren, integraties grondig controleren en real-time fraudedetectie implementeren. Het draait niet meer om vertrouwen, maar om verifiëren.
De toekomst van cryptobeurzen hangt af van proactieve beveiligingsmaatregelen, sectorbrede samenwerking en slimmere strategieën voor fondsenherstel om steeds geavanceerdere cyberbedreigingen effectief te bestrijden.
Veelgestelde vragen
Werd Bybit zelf gehackt, of was het een kwetsbaarheid van een derde partij?
Hoeveel van de gestolen crypto is tot nu toe teruggevonden?
Hoe hebben de hackers het gestolen geld witgewassen?
Wat doet Bybit om dit soort aanvallen in de toekomst te voorkomen?
OKX
YouHodler
Wirex
eToro
eToro
eToro
eToro
BYDFi
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
