Der 1,5 Mrd. $ Hack von Bybit ein Jahr später: 88 % rückverfolgbar, nur 3 % eingefroren – Was schiefgelaufen ist

11. März 2026 · 11 Min. Lesezeit

Software Engineer

Am 21. Februar 2025 führte die nordkoreanische Lazarus-Gruppe den größten Kryptowährungsdiebstahl der Geschichte durch — 1,5 Milliarden $ in Ethereum wurden in einer einzigen Transaktion aus der Cold Wallet von Bybit abgezogen. Ein Jahr später erzählen die Zahlen eine ernüchternde Geschichte: Während Blockchain-Analysefirmen anfangs 88,87 % der gestohlenen Gelder verfolgten, wurden nur 3,54 % eingefroren. Der Rest liegt in Tausenden von Wallets und wartet.

Dies ist nicht nur eine Geschichte über einen Raubüberfall. Es ist eine Fallstudie darüber, wie eine staatliche Hacking-Operation die Sicherheitsinfrastruktur einer ganzen Branche überlistet hat und was die Krypto-Welt in den zwölf Monaten seither gelernt — und nicht gelernt — hat.

Der Angriff: Eine Web2-Schwachstelle, die die größte Web3-Wallet knackte

Der Bybit-Hack war kein Smart-Contract-Exploit. Es war kein Flash-Loan-Angriff oder ein Rug Pull. Es war eine Supply-Chain-Kompromittierung, die auf die menschliche Ebene abzielte — genau die Ebene, die Multisig-Wallets eigentlich schützen sollen.

Die Kill Chain

Der Angriff entfaltete sich über 17 Tage mit chirurgischer Präzision:

4. Februar 2025: Die Lazarus-Gruppe kompromittierte eine macOS-Workstation eines Safe{Wallet}-Entwicklers, wahrscheinlich durch Social Engineering — eine Taktik, die die Gruppe in Hunderten von Operationen verfeinert hat.
19. Februar: Die Angreifer änderten JavaScript-Ressourcen, die auf dem AWS S3-Bucket von Safe{Wallet} gehostet wurden. Der injizierte Code enthielt eine Aktivierungsbedingung, die nur dann ausgelöst werden sollte, wenn die spezifische Cold Wallet von Bybit eine Transaktion einleitete.
21. Februar: Das Betriebsteam von Bybit leitete eine routinemäßige Überweisung von der Cold Wallet zur Warm Wallet ein. Die Safe{Wallet}-Benutzeroberfläche zeigte eine legitim aussehende Transaktion an. Doch hinter der Schnittstelle wurde ein anderer Payload an die Ledger-Hardware-Geräte der Unterzeichner gesendet. Drei Unterzeichner genehmigten das, was sie für eine Standardüberweisung hielten, und autorisierten unwissentlich eine bösartige Transaktion, die 401.347 ETH an von den Angreifern kontrollierte Wallets umleitete.
Zwei Minuten später: Die Angreifer luden saubere Versionen der JavaScript-Dateien in den S3-Bucket hoch und löschten damit die Beweise für die Injektion.

Die gesamte Operation — vom Auslösen bis zur Bereinigung — dauerte weniger als zehn Minuten aktiver Ausführung. Die Vorbereitung dauerte Wochen. Die Nachwirkungen halten seit einem Jahr an.

Warum Multisig scheiterte

Der Bybit-Hack zerstörte eine grundlegende Annahme der Krypto-Sicherheit: dass Multisig-Wallets mit Hardware-Signierern resistent gegen hochentwickelte Angriffe sind. Das Problem war nicht die kryptografische Sicherheit der Multisig selbst. Es war die UI-Ebene, die zwischen den menschlichen Unterzeichnern und der von ihnen genehmigten Transaktion saß.

Die Schnittstelle von Safe{Wallet} zeigte eine Transaktion an. Die Ledger-Geräte erhielten eine andere. Die Unterzeichner hatten keine praktische Möglichkeit, die Rohdaten der Transaktion auf ihren Hardware-Wallets mit dem abzugleichen, was die Weboberfläche anzeigte. Diese "What you see is not what you sign"-Schwachstelle verwandelte die vertrauenswürdigste Wallet-Infrastruktur der Branche in einen Angriffsvektor.

Die Geldwäsche: Wie Lazarus 1,5 Milliarden $ bewegt

Innerhalb weniger Stunden nach dem Diebstahl aktivierte die Lazarus-Gruppe ein Playbook zur Geldwäsche, das über Jahre hinweg verfeinert wurde. Die Geschwindigkeit und Raffinesse waren beispiellos — doch die Methodik war Blockchain-Ermittlern vertraut.

Phase 1: Konvertierung und Streuung

Die Hacker begannen sofort damit, das gestohlene ETH in andere Vermögenswerte umzuwandeln. Bis zum 20. März 2025 bestätigte Bybit-CEO Ben Zhou, dass 86,29 % des gestohlenen Ethers in Bitcoin umgetauscht worden waren. Die Gelder wurden über Tausende von Zwischen-Wallets verteilt, wodurch ein enormer Transaktionsgraph entstand, der manuelle Ermittlungen überfordern sollte.

Phase 2: Mixing und Cross-Chain-Verschleierung

Die gestohlenen Vermögenswerte flossen durch dezentrale Börsen, Cross-Chain-Bridges und Mixing-Dienste. THORChain — ein dezentrales Cross-Chain-Liquiditätsprotokoll — wurde zu einer primären Leitung. Die anonyme Börse eXch erleichterte ebenfalls den Tausch und generierte Hunderttausende von Dollar an Gebühren, während sie die Anfragen von Bybit, die Aktivitäten zu blockieren, ablehnte.

Der Einsatz dezentraler Infrastruktur schuf ein philosophisches und praktisches Dilemma für die Branche: Permissionless-Protokolle können Transaktionen nicht selektiv zensieren, ohne ihr Kernversprechen zu untergraben. Doch einem Nationalstaat zu erlauben, 1,5 Milliarden $ über das eigene Protokoll zu waschen, schafft ein existenzielles regulatorisches Risiko.

Phase 3: Das Warten

Historisch gesehen lässt die Lazarus-Gruppe gestohlene Gelder monate- oder sogar jahrelang ungenutzt liegen, bevor sie versucht, diese über Fiat-Off-Ramps auszucashen. Diese Geduld ist ein strategischer Vorteil. Mit der Zeit aktualisieren Börsen ihre Compliance-Systeme, die regulatorische Aufmerksamkeit verschiebt sich, und die Blockchain-Forensik-Community widmet sich neueren Vorfällen.

Bis April 2025 hatten sich die Rückverfolgbarkeitsstatistiken erheblich verschlechtert. Die ursprüngliche Zahl von 88,87 % verfolgbar sank auf 68,6 %, während der Prozentsatz der "untergetauchten" Gelder von 7,59 % auf 27,6 % anstieg. Nur 3,8 % blieben eingefroren — ein geringfügig besserer Wert als die einen Monat zuvor gemeldeten 3,54 %, aber ein verheerendes Ergebnis angesichts des Ausmaßes der Mobilisierung der Branche.

Die Reaktion : 72 Stunden , die eine Börse auf die Probe stellten

Bybits sofortige Krisenreaktion wurde zu einem Maßstab für die Branche . Innerhalb von 72 Stunden nach dem Hack stellte die Börse die volle Auszahlungsfunktionalität wieder her – ein entscheidender Schritt zur Aufrechterhaltung des Nutzervertrauens während eines potenziell fatalen Bank-Runs .

Notfall-Liquidität

Der dramatischste Moment kam , als Bitget-CEO Gracy Chen Bybit ein Darlehen in Höhe von 40.000 ETH ( ca. 104 Millionen $ ) gewährte – zinslos und ohne Sicherheiten . " Es ging schlicht darum , einen Kollegen in Not zu unterstützen " , sagte Chen . Bybit zahlte das Darlehen innerhalb von drei Tagen zurück .

Insgesamt erhielt Bybit etwa 446.870 ETH ( ca. 1,23 Milliarden $ ) durch eine Kombination aus Notfallkrediten , Whale-Einlagen und direkten Asset-Käufen . Die Reserven der Börse wurden effektiv wieder aufgebaut , wodurch sichergestellt wurde , dass die Kundengelder trotz des Diebstahls unangetastet blieben .

Das Bounty-Programm

Bybit startete das sogenannte " LazarusBounty " -Programm und bot 10 % aller wiedererlangten Gelder – bis zu 140 Millionen $ – für Sicherheitsforscher , Bounty-Hunter und Blockchain-Ermittler an , die dabei helfen konnten , gestohlene Vermögenswerte aufzuspüren oder einzufrieren .

Das Programm zog über 5.000 Einsendungen an , wovon jedoch nur 63 als gültig eingestuft wurden . Insgesamt wurden 2,2 Millionen $ an 12 Bounty-Hunter ausgezahlt . Der Krypto-Ermittler ZachXBT verdiente 50.000 ARKM-Token dafür , dass er zu den Ersten gehörte , die den Exploit definitiv mit der nordkoreanischen Lazarus Group in Verbindung brachten – eine Erkenntnis , die das FBI Tage später offiziell bestätigte .

Generalüberholung der Sicherheit

In den Monaten nach dem Hack implementierte Bybit über 50 Sicherheits-Upgrades und unterzog sich mehr als 30 externen Audits . Die Börse baute ihre Wallet-Infrastruktur neu auf , verlagerte Signaturprozesse in isolierte Umgebungen , führte strengere Kontrollen bei Code-Reviews ein , auditierte alle Drittanbieter-Tools und implementierte eine Echtzeit-Anomalieerkennung . Multisig-Verfahren wurden von Grund auf neu konzipiert .

Trotz der Sicherheitsverletzung wuchs Bybit bis Ende 2025 von 50 Millionen auf 80 Millionen registrierte Nutzer – ein Beweis sowohl für das Krisenmanagement der Börse als auch für das kurze Gedächtnis des Kryptomarktes bei Sicherheitsvorfällen .

Das Gesamtbild : Nordkoreas Krypto-Kriegsmaschine

Der Bybit-Hack geschah nicht isoliert . Er war das Kronjuwel einer systematischen , staatlich geförderten Diebstahlsoperation für Kryptowährungen , die Nordkorea in den letzten zehn Jahren schätzungsweise 6,75 Milliarden $ eingebracht hat .

Eskalierendes Ausmaß

Die Zahlen haben sich beschleunigt :

2024 : Die Lazarus Group stahl 1,3 Milliarden $ in mehreren Operationen
2025 : Der der DVRK zugeschriebene Krypto-Diebstahl erreichte 2,02 Milliarden $ – eine Steigerung von 51 % gegenüber dem Vorjahr – wobei der Bybit-Hack allein 1,5 Milliarden $ dieser Summe ausmachte
2025 Gesamte Verluste der Branche : Überstiegen 4 Milliarden $ , was es zum schlimmsten Jahr für Krypto-Diebstähle in der Geschichte macht

Der Bybit-Hack stellte eine taktische Evolution dar . Anstatt DeFi-Bridges ins Visier zu nehmen oder Smart-Contract-Schwachstellen auszunutzen – das bisherige Kerngeschäft der Gruppe – griff Lazarus die Lieferkette eines vertrauenswürdigen Infrastrukturanbieters an . Die Angriffsfläche war nicht die Blockchain . Es war Web2 : der Laptop eines Entwicklers , ein AWS S3-Bucket , eine JavaScript-Datei .

Finanzierung dessen , was zählt

Jeder gestohlene Dollar finanziert die Kernwaffen- und ballistischen Raketenprogramme Nordkoreas . Das UN-Expertenpanel hat wiederholt dokumentiert , wie Cyber-Operationen der DVRK die Entwicklung von Massenvernichtungswaffen direkt finanzieren . Der Bybit-Hack allein – mit 1,5 Milliarden $ – übersteigt das geschätzte jährliche Militärbudget Nordkoreas .

Diese Realität verwandelt das , was sonst eine Cybersicherheitsgeschichte wäre , in eine geopolitische . Die Sicherheitsmängel der Krypto-Branche haben direkte Konsequenzen für die globale nukleare Nichtverbreitung .

Was die Branche lernte ( und was nicht )

Der Bybit-Hack katalysierte bedeutende Verbesserungen bei den Krypto-Sicherheitspraktiken . Doch ein Jahr später sind die grundlegenden Schwachstellen , die den Angriff ermöglichten , in der gesamten Branche nach wie vor weit verbreitet .

Was sich änderte

Die Standards für die Multisig-Verifizierung verbesserten sich . Große Börsen und Custody-Anbieter implementierten unabhängige Kanäle zur Transaktionsverifizierung , wodurch die Abhängigkeit von einer einzelnen UI-Ebene verringert wurde . Das Konzept von " What You See Is What You Sign " ( WYSIWYS ) rückte von einem akademischen Anliegen zu einer operativen Priorität auf .

Das Bewusstsein für die Sicherheit der Lieferkette stieg . Die Krypto-Branche begann Praktiken zu übernehmen , die in der traditionellen Software-Sicherheit seit langem Standard sind – Code-Signierung , Integritätsprüfung für Drittanbieter-Abhängigkeiten und Zero-Trust-Architektur für die Signatur-Infrastruktur .

Die Aufmerksamkeit der Regulierungsbehörden verschärfte sich . Behörden in den Vereinigten Staaten , Singapur und der Europäischen Union begannen mit der Überprüfung strengerer Anforderungen für Wallet-Audits , Risikooffenlegungen , Kontrollen der Software-Lieferkette und Transparenz bei der Reaktion auf Vorfälle .

Was sich nicht änderte

Die Rückgewinnungsrate von 3 % spricht für sich selbst . Trotz 140 Millionen $ an Bounty-Anreizen konnten die kombinierten Bemühungen von Bybit , Blockchain-Analysefirmen , Strafverfolgungsbehörden und Tausenden von Bounty-Huntern weniger als 50 Millionen $ der gestohlenen 1,5 Milliarden $ zurückgewinnen . Erlaubnisfreie Infrastruktur bleibt grundsätzlich resistent gegen die Wiedererlangung von Vermögenswerten nach einem Diebstahl .

Dezentrale Protokolle können ( oder wollen ) immer noch nicht zensieren . THORChain und eXch erleichterten das Waschen von Milliarden . Das Spannungsfeld zwischen erlaubnisfreiem Design und der Zusammenarbeit mit Strafverfolgungsbehörden bleibt ungelöst , und die Branche verfügt über keinen Rahmen , um mit staatlich organisiertem Diebstahl über dezentrale Infrastrukturen umzugehen .

Die Betriebssicherheit der Entwickler bleibt schwach . Die ursprüngliche Kompromittierung war der Laptop eines einzelnen Entwicklers . Ein Jahr später fehlen bei den meisten Krypto-Projekten immer noch formale Sicherheitsanforderungen für Entwickler-Workstations , und das Vertrauen der Branche auf browserbasierte Wallet-Schnittstellen setzt Signaturprozesse weiterhin Angriffen auf der Web-Ebene aus .

Ein Jahr später: Wo das Geld liegt

Stand Februar 2026 stellt sich die ungefähre Aufteilung der gestohlenen Gelder in Höhe von 1,5 Milliarden $ wie folgt dar:

~ 3 - 4 % eingefroren (~ 42 - 57 Millionen $): Erfolgreich eingefroren durch die Zusammenarbeit mit Börsen und die Koordination der Strafverfolgungsbehörden
~ 27 - 30 % untergetaucht: Gelder, die gemischt (mixed), über Bridges transferiert oder anderweitig über die aktuellen Rückverfolgungsmöglichkeiten hinaus verschleiert wurden
~ 66 - 70 % rückverfolgbar, aber nicht einziehbar: Diese Gelder befinden sich in identifizierten Wallets, bei denen keine zentrale Instanz die Befugnis oder Möglichkeit hat, sie einzufrieren

Diese letzte Kategorie ist die frustrierendste. Die Transparenz der Blockchain bedeutet, dass Ermittler das Geld sehen können. Sie wissen, wo es ist. Aber „rückverfolgbar“ bedeutet in einem erlaubnisfreien (permissionless) System nicht „einziehbar“. Die Lazarus-Gruppe kann es sich leisten, Jahre zu warten. Die Ermittlungsgemeinschaft kann das nicht.

Ausblick

Der erste Jahrestag des Bybit-Hacks ist keine Geschichte mit einem Abschluss. Es ist eine Geschichte, die sich immer noch entfaltet. Die gestohlenen Gelder werden weiterhin in kleinen Tranchen bewegt. Die Lazarus-Gruppe sondiert weiterhin neue Ziele. Und die strukturellen Spannungen, die der Hack offenbart hat – zwischen Dezentralisierung und Rechenschaftspflicht, zwischen erlaubnisfreien Protokollen und Strafverfolgung, zwischen Sicherheit und Benutzerfreundlichkeit – bleiben so akut wie eh und je.

Was der Bybit-Hack letztendlich gezeigt hat, ist, dass die größte Schwachstelle der Kryptoindustrie nicht ihre Smart Contracts oder Konsensmechanismen sind. Es ist die menschliche und Web2-Infrastruktur, die diese Systeme mit der physischen Welt verbindet. Bis die Branche diese Lücke mit der gleichen Gründlichkeit angeht, die sie beim Protokolldesign anwendet, stellt sich nicht die Frage, ob der nächste Milliarden-Dollar-Hack passieren wird. Sondern wann.

Für Teams, die auf Blockchain-Infrastruktur aufbauen, beginnt Sicherheit beim Fundament. BlockEden.xyz bietet Node-Infrastruktur auf Enterprise-Niveau mit integrierter Überwachung und Anomalieerkennung für Ethereum, Sui, Aptos und über 20 weitere Netzwerke – entwickelt für Teams, die keine Kompromisse bei der Sicherheit eingehen können. Entdecken Sie unseren API-Marktplatz, um auf einer Infrastruktur aufzubauen, der Sie vertrauen können.

Share on Twitter

API Marketplace Featured

Der Angriff: Eine Web2-Schwachstelle, die die größte Web3-Wallet knackte​

Die Kill Chain​

Warum Multisig scheiterte​

Die Geldwäsche: Wie Lazarus 1,5 Milliarden $ bewegt​

Phase 1: Konvertierung und Streuung​

Phase 2: Mixing und Cross-Chain-Verschleierung​

Phase 3: Das Warten​

Die Reaktion : 72 Stunden , die eine Börse auf die Probe stellten​

Notfall-Liquidität​

Das Bounty-Programm​

Generalüberholung der Sicherheit​

Das Gesamtbild : Nordkoreas Krypto-Kriegsmaschine​

Eskalierendes Ausmaß​

Finanzierung dessen , was zählt​

Was die Branche lernte ( und was nicht )​

Was sich änderte​

Was sich nicht änderte​

Ein Jahr später: Wo das Geld liegt​

Ausblick​