Noord-Koreaanse hackers hebben in 2026 voor naar schatting $2 miljard aan digitale valuta buitgemaakt. De groep Lazarus wordt genoemd als belangrijkste dader. Het gaat om aanvallen op beurzen, DeFi-diensten en bruggen tussen blockchains. Het bedrag komt neer op ongeveer €1,85 miljard en onderstreept de druk op beveiliging en toezicht.
Lazarus buit $2 miljard
Het totale verlies aan crypto in 2026 wordt door analisten op $2 miljard geschat. Bitcoinmagazine.nl brengt die optelsom naar buiten op basis van meerdere onderzoeken naar blockchain-gegevens. De hacks troffen internationale exchanges, wallets en diensten voor decentrale financiën (DeFi). De aanpak varieerde van technisch misbruik tot slimme trucs richting medewerkers.
De buit bestond uit verschillende munten, waaronder Bitcoin (BTC), Ethereum (ETH) en stablecoins. Stablecoins zijn digitale munten die de waarde van de dollar volgen, en zijn daardoor handig om snel te verplaatsen. De criminelen zetten vaak binnen minuten geld om tussen ketens en munten. Zo proberen zij sporen te wissen voordat beurzen ingrijpen.
Het geschatte bedrag van $2 miljard (ongeveer €1,85 miljard) maakt 2026 tot een van de zwaarste jaren voor crypto-beveiliging. De schaal laat zien dat centrale zwaktes nog bestaan. Het gaat dan om kwetsbare toegangssleutels, fouten in slimme contracten en gebrekkige controles bij leveranciers.
Bruggen en DeFi als doelwit
Cross-chain bridges en DeFi-apps waren vaak de eerste ingang. Bruggen verplaatsen crypto tussen verschillende ketens en houden tijdelijk grote hoeveelheden waarde vast. Dat maakt ze aantrekkelijk voor aanvallers. Een kleine fout in de code of in de sleutelbeveiliging kan al genoeg zijn voor miljoenenverlies.
Een “bridge” is software die crypto van keten A naar keten B helpt verplaatsen. Het protocol houdt tijdelijk waarde vast en geeft een “verpakte” munt terug. Precies die tussenstap is een populair doelwit voor hackers.
Ook DeFi-protocollen bleken kwetsbaar door logische fouten of te ruime rechten in slimme contracten. Audits helpen, maar vangen niet alles. Zodra een gat bekend wordt, volgt vaak een snelle, geautomatiseerde aanval. Daardoor is de schade in minuten aangericht.
Na een hack verplaatsen aanvallers fondsen in hoog tempo. Ze gebruiken zogeheten “chain-hopping”: via meerdere netwerken en tokens de herkomst verhullen. Elke stap vergroot de afstand tot het originele slachtoffer. Dit bemoeilijkt opsporing, zeker als privacytools worden ingezet.
Social engineering blijft ingang
Niet alle aanvallen zijn puur technisch. Regelmatig begint de inbraak met social engineering: slim misleiden van medewerkers. Denk aan nep-recruiters, valse samenwerkingen of geïnfecteerde bijlagen. Een enkele klik op een link kan al toegang geven tot interne systemen.
Leveranciers en open-source bijdragen vormen ook een risico. Kwaadaardige code kan via een software-update in een product belanden. Teams vertrouwen op elkaar, en juist dat vertrouwen wordt misbruikt. Zonder strakke controles kan een supply-chain-aanval lang onopgemerkt blijven.
Organisaties kunnen de kans verkleinen met eenvoudige stappen. Gebruik hardware-sleutels (FIDO) voor inloggen, en beperk rechten tot wat strikt nodig is. Laat gevoelige acties bevestigen door meerdere personen. En test updates eerst in een afgesloten omgeving.
Witwassen via mixers en stablecoins
Na de diefstal volgt het witwassen. Aanvallers mengen fondsen in zogeheten mixers en splitsen bedragen op. Ze gebruiken meerdere netwerken en zetten munten om in stablecoins, omdat transacties dan snel en goedkoop zijn. Zo proberen ze detectie door beurzen en opsporingsdiensten te ontwijken.
Diversen diensten en protocollen liggen hier onder een vergrootglas. Bekende mixers zijn onder sancties geplaatst, en sommige stablecoin-uitgevers kunnen munten bevriezen. Daardoor is het niet vanzelfsprekend dat gestolen geld vrij kan blijven bewegen. Het kat-en-muisspel verplaatst zich telkens naar nieuwe kanalen.
Ook centrale exchanges spelen een rol. Zij zetten on-chain screening in en blokkeren adressen die gelinkt zijn aan sanctielijsten of hacks. Snelle melding en labeling van verdachte stromen helpt om verdere schade te beperken. Maar zodra fondsen de keten wisselen, daalt de pakkans snel.
Europese beurzen scherpen controles
In Europa gelden strengere regels voor cryptodiensten. De Travel Rule verplicht beurzen om afzender- en ontvangerdata mee te sturen bij transfers. Nederlandse partijen zoals Bitvavo en internationale spelers met EU-licenties passen hiervoor blokchain-monitoring toe. Dat maakt het moeilijker om gestolen geld te cashen via gereguleerde kanalen.
Toezichthouders als DNB en AFM controleren op naleving van anti-witwasregels. Dat omvat klantonderzoek, blokkades voor gesanctioneerde adressen en meldingen van ongebruikelijke transacties. Voor gebruikers kan dit betekenen dat een storting langer vaststaat bij een risicoscore. Dat is vervelend, maar verkleint de kans dat gestolen coins in het reguliere verkeer belanden.
Voor Nederlandse en Europese teams in crypto blijft preventie de kern. Beveilig privé-sleutels, segmenteer systemen en beperk toegang. Houd software en afhankelijkheden bij en voer code reviews uit. En train personeel op phishing en nep-samenwerkingen.
- Beveilig toegang met hardware-keys en multisig.
- Gebruik monitoring op on-chain risico’s en adressen.
- Test updates en afhankelijkheden in een veilige omgeving.
Het gemelde bedrag van $2 miljard komt uit de berichtgeving van Bitcoinmagazine.nl, gebaseerd op onderzoek van blockchain-analisten. Het illustreert dat Noord-Koreaanse operaties nog steeds schaal en snelheid combineren. De druk op beveiliging en Europese naleving zal daarom verder toenemen.
