Der 1,5-Milliarden-Dollar-Raub bei Bybit: Wie Nordkorea den größten Krypto-Diebstahl der Geschichte beging

9. Januar 2026 · 11 Min. Lesezeit

Software Engineer

Am 21. Februar 2025 stahlen nordkoreanische Hacker 1,5 Milliarden US-Dollar in Kryptowährung von der in Dubai ansässigen Börse Bybit in etwa 30 Minuten. Es war nicht nur der größte Krypto-Raub der Geschichte – wäre Bybit eine Bank, würde dies als der größte Bankraub eingestuft werden, der jemals im Guinness-Buch der Rekorde verzeichnet wurde.

Der Angriff nutzte keinen Smart-Contract-Fehler aus und beruhte nicht auf dem Brute-Forcing eines privaten Schlüssels. Stattdessen kompromittierten Hacker den Laptop eines einzelnen Entwicklers bei einem Drittanbieter von Wallets, warteten geduldig wochenlang und schlugen zu, als Bybit-Mitarbeiter eine Transaktion genehmigten, die wie eine routinemäßige interne Überweisung aussah. Bis jemand bemerkte, dass etwas nicht stimmte, waren 500.000 ETH in einem Labyrinth von Wallets verschwunden, die von der nordkoreanischen Lazarus Group kontrolliert werden.

Dies ist die Geschichte darüber, wie es geschah, warum es wichtig ist und was es über den Stand der Krypto-Sicherheit im Jahr 2025 verrät.

Der Angriff: Ein Meisterstück an Geduld und Präzision

Der Bybit-Hack war kein gewöhnlicher Blitzüberfall. Es war eine chirurgische Operation, die sich über Wochen hinweg entfaltete.

Phase 1: Die Kompromittierung des Entwicklers

Am 4. Februar 2025 lud ein Entwickler bei Safe{Wallet} – einer weit verbreiteten Multi-Signatur-Wallet-Plattform, auf die Bybit zur Sicherung großer Überweisungen vertraute – ein scheinbar legitimes Docker-Projekt namens „MC-Based-Stock-Invest-Simulator-main“ herunter. Die Datei wurde wahrscheinlich über einen Social-Engineering-Angriff zugestellt, möglicherweise getarnt als Jobangebot oder Investment-Tool.

Der bösartige Docker-Container baute sofort eine Verbindung zu einem vom Angreifer kontrollierten Server auf. Von dort extrahierten die Hacker AWS-Sitzungstoken von der Workstation des Entwicklers – jene temporären Anmeldedaten, die Zugriff auf die Cloud-Infrastruktur von Safe{Wallet} gewähren.

Mit diesen Token umgingen die Angreifer die Multi-Faktor-Authentifizierung vollständig. Sie besaßen nun die Schlüssel zum Imperium von Safe{Wallet}.

Phase 2: Der schlafende Code

Anstatt sofort zu handeln, schleusten die Angreifer subtilen JavaScript-Code in die Web-Oberfläche von Safe{Wallet} einschleusten. Dieser Code war speziell auf Bybit zugeschnitten – er blieb inaktiv, bis er erkannte, dass ein Bybit-Mitarbeiter sein Safe-Konto geöffnet hatte und im Begriff war, eine Transaktion zu autorisieren.

Die Raffinesse ist hier bemerkenswert. Die gesamte Safe{Wallet}-Anwendung funktionierte für jeden anderen Benutzer normal. Nur Bybit war das Ziel.

Phase 3: Der Raubzug

Am 21. Februar 2025 leiteten Bybit-Mitarbeiter eine vermeintliche Routineüberweisung von einem Cold Wallet (sicherer Offline-Speicher) zu einem Warm Wallet (für den aktiven Handel) ein. Dies erforderte mehrere Signaturen von autorisiertem Personal – eine Standard-Sicherheitspraxis namens Multisig.

Als die Unterzeichner Safe{Wallet} öffneten, um die Transaktion zu genehmigen, zeigte die Benutzeroberfläche die scheinbar korrekte Zieladresse an. Doch der bösartige Code hatte bereits einen anderen Befehl untergeschoben. Die Mitarbeiter genehmigten unwissentlich eine Transaktion, die das gesamte Cold Wallet von Bybit leerte.

Innerhalb weniger Minuten flossen 500.000 ETH – im Wert von etwa 1,5 Milliarden US-Dollar – auf Adressen, die von den Angreifern kontrolliert wurden.

Der technische Exploit: Delegatecall

Die entscheidende Schwachstelle war die delegatecall-Funktion von Ethereum, die es einem Smart Contract ermöglicht, den Code eines anderen Vertrages innerhalb seines eigenen Speicherkontexts auszuführen. Die Angreifer täuschten die Unterzeichner von Bybit dazu, die Vertragslogik ihrer Wallet in eine bösartige Version zu ändern, wodurch die Hacker faktisch die volle Kontrolle erhielten.

Dies war kein Fehler in Ethereum oder im Kernprotokoll von Safe{Wallet}. Es war ein Angriff auf die menschliche Ebene – jener Moment, in dem vertrauenswürdige Mitarbeiter Transaktionen verifizieren und genehmigen.

Nordkoreas Lazarus Group: Die profitabelsten Hacker der Welt

Innerhalb von 24 Stunden nach dem Angriff übermittelte der Blockchain-Ermittler ZachXBT Beweise an Arkham Intelligence, die den Hack definitiv mit der nordkoreanischen Lazarus Group in Verbindung brachten. Das FBI bestätigte diese Zuschreibung am 26. Februar 2025.

Die Lazarus Group – auch bekannt als TraderTraitor und APT38 – untersteht dem nordkoreanischen Aufklärungs-Hauptbüro (Reconnaissance General Bureau). Es handelt sich nicht um eine kriminelle Bande, die Profit zur persönlichen Bereicherung sucht. Es ist eine staatlich gesponserte Operation, deren Erlöse Nordkoreas Atomwaffen- und ballistische Raketenprogramme finanzieren.

Die Zahlen sind erschreckend:

Allein 2025: Nordkoreanische Hacker stahlen Kryptowährungen im Wert von 2,02 Milliarden US-Dollar
Anteil von Bybit: 1,5 Milliarden US-Dollar (74 % der nordkoreanischen Beute des Jahres 2025 aus einem einzigen Angriff)
Seit 2017: Nordkorea hat Krypto-Assets im Wert von über 6,75 Milliarden US-Dollar gestohlen
2025 vs. 2024: Ein Anstieg des gestohlenen Wertes um 51 % im Vergleich zum Vorjahr

Nordkorea war im Jahr 2025 für 59 % aller weltweit gestohlenen Kryptowährungen und für 76 % aller Börsenkompromittierungen verantwortlich. Kein anderer Bedrohungsakteur kommt dem auch nur nahe.

Die Industrialisierung des Krypto-Diebstahls

Was Nordkorea unterscheidet, ist nicht nur das Ausmaß, sondern die Raffinesse ihrer Operation.

Die Mehrheit der großen Hacks im Jahr 2025 wurde durch Social Engineering anstatt durch technische Schwachstellen verübt. Dies stellt eine grundlegende Verschiebung dar. Hacker suchen nicht mehr primär nach Smart-Contract-Fehlern oder kryptografischen Schwächen. Sie zielen auf Menschen ab.

Agenten der Lazarus Group haben sich als IT-Mitarbeiter in Krypto-Unternehmen eingeschleust. Sie gaben sich als Führungskräfte aus. Sie verschickten Jobangebote mit Malware an Entwickler. Der Bybit-Angriff begann damit, dass ein Entwickler einen gefälschten Aktiensimulator herunterlud – ein klassischer Social-Engineering-Vektor.

Der chinesische Waschsalon

Krypto zu stehlen ist nur die halbe Herausforderung. Es in nutzbare Gelder umzuwandeln, ohne erwischt zu werden, ist ebenso komplex.

Anstatt direkt auszuzahlen, hat Nordkorea die Geldwäsche an das ausgelagert, was Ermittler den „chinesischen Waschsalon“ nennen – ein weitverzweigtes Netzwerk aus Untergrund-Bankern, OTC-Brokern und handelsbasierten Geldwäsche-Vermittlern. Diese Akteure waschen gestohlene Vermögenswerte über Ketten, Jurisdiktionen und Zahlungsschienen hinweg.

Bis zum 20. März 2025 – weniger als einen Monat nach dem Bybit-Hack – berichtete CEO Ben Zhou, dass Hacker bereits 86,29 % des gestohlenen ETH über mehrere Intermediär-Wallets, dezentrale Börsen und Cross-Chain-Bridges in Bitcoin umgewandelt hatten. Der 45-tägige Geldwäschezyklus nach großen Diebstählen ist zu einem vorhersehbaren Muster geworden.

Trotz dieser Bemühungen stellte Zhou fest, dass 88,87 % der gestohlenen Vermögenswerte rückverfolgbar blieben. Aber „rückverfolgbar“ bedeutet nicht „wiederherstellbar“. Die Gelder fließen durch Jurisdiktionen, die keine kooperative Beziehung zu US-amerikanischen oder internationalen Strafverfolgungsbehörden unterhalten.

Bybits Reaktion: Krisenmanagement unter Beschuss

Innerhalb von 30 Minuten nach Entdeckung der Sicherheitslücke übernahm CEO Ben Zhou das Kommando und begann mit Echtzeit-Updates auf X (ehemals Twitter). Seine Nachricht war unverblümt: „Bybit ist solvent, auch wenn dieser Hack-Verlust nicht wiederhergestellt wird; alle Kundenvermögen sind 1 zu 1 gedeckt, wir können den Verlust auffangen.“

Die Börse bearbeitete innerhalb von 12 Stunden über 350.000 Auszahlungsanfragen – ein Signal an die Nutzer, dass der Betrieb trotz des katastrophalen Verlusts normal weiterlaufen würde.

Notfallfinanzierung

Innerhalb von 72 Stunden hatte Bybit seine Reserven aufgefüllt, indem es 447.000 ETH durch Notfallfinanzierungen von Partnern wie Galaxy Digital, FalconX und Wintermute sicherte. Bitget lieh 40.000 ETH, um sicherzustellen, dass Auszahlungen ununterbrochen fortgesetzt werden konnten – ein Darlehen, das Bybit innerhalb von drei Tagen zurückzahlte.

Das Cybersicherheitsunternehmen Hacken führte ein Proof-of-Reserves-Audit durch, das bestätigte, dass die Hauptvermögenswerte von Bybit mit mehr als 100 % Sicherheiten hinterlegt waren. Die Transparenz war beispiellos für eine Krise dieser Größenordnung.

Das Kopfgeldprogramm

Zhou erklärte Lazarus den „Krieg“ und startete ein globales Kopfgeldprogramm, das Belohnungen von bis zu 10 % für Informationen anbot, die zu eingefrorenen Vermögenswerten führten. Bis Ende des Jahres hatte Bybit 2,18 Millionen $ in USDT an Mitwirkende ausgezahlt, die bei der Rückverfolgung oder Wiedererlangung von Geldern halfen.

Das Urteil des Marktes

Bis Ende 2025 hatte Bybit weltweit die Marke von 80 Millionen Nutzern überschritten, verzeichnete ein tägliches Handelsvolumen von 7,1 Milliarden $ und belegte den 5. Platz unter den Kryptowährungs-Spot-Börsen. Die Krisenreaktion war zu einer Fallstudie dafür geworden, wie man einen katastrophalen Hack überlebt.

2025: Das Jahr, in dem Kryptodiebstähle 3,4 Milliarden $ erreichten

Der Bybit-Hack dominierte die Schlagzeilen, war jedoch Teil eines größeren Musters. Der Gesamtwert der Kryptodiebstähle erreichte im Jahr 2025 3,4 Milliarden $ – ein neuer Rekord und das dritte Jahr in Folge mit steigenden Zahlen.

Wichtige Statistiken:

2023: 2 Milliarden $ gestohlen
2024: 2,2 Milliarden $ gestohlen
2025: 3,4 Milliarden $ gestohlen

Der Anteil Nordkoreas wuchs von etwa der Hälfte auf fast 60 % aller Kryptodiebstähle. Die DVRK erzielte größere Diebstähle mit weniger Vorfällen, was eine zunehmende Effizienz und Professionalität demonstriert.

Erlernte Lektionen: Wo die Sicherheit versagte

Der Bybit-Hack deckte kritische Schwachstellen auf, die weit über eine einzelne Börse hinausgehen.

Drittanbieterrisiko ist existenziell

Bybit hatte kein direktes Sicherheitsversagen. Safe{Wallet} hatte eines. Aber Bybit trug die Konsequenzen.

Die Krypto-Industrie hat komplexe Abhängigkeitsketten aufgebaut, in denen Börsen auf Wallet-Anbieter angewiesen sind, Wallet-Anbieter auf Cloud-Infrastruktur und Cloud-Infrastruktur auf die Workstations einzelner Entwickler. Eine Kompromittierung an jeder Stelle dieser Kette kann katastrophale Kaskadeneffekte auslösen.

Cold Storage reicht nicht aus

Die Branche hat Cold Wallets lange Zeit als Goldstandard der Sicherheit betrachtet. Aber die Gelder von Bybit befanden sich im Cold Storage, als sie gestohlen wurden. Die Schwachstelle lag im Prozess ihrer Bewegung – dem menschlichen Genehmigungsschritt, den Multisig eigentlich schützen sollte.

Wenn Überweisungen zur Routine werden, entwickeln Unterzeichner ein falsches Sicherheitsgefühl und behandeln Genehmigungen als Formalitäten statt als kritische Sicherheitsentscheidungen. Der Bybit-Angriff nutzte genau dieses Verhaltensmuster aus.

Die Benutzeroberfläche ist ein Single Point of Failure

Multisig-Sicherheit setzt voraus, dass Unterzeichner verifizieren können, was sie genehmigen. Wenn jedoch die Benutzeroberfläche, die Transaktionsdetails anzeigt, kompromittiert ist, wird die Verifizierung bedeutungslos. Die Angreifer zeigten den Unterzeichnern das eine, während sie das andere ausführten.

Pre-Signing-Simulationen – die es Mitarbeitern ermöglichen, das tatsächliche Ziel einer Transaktion vor der Genehmigung in einer Vorschau zu sehen – hätten diesen Angriff verhindern können. Ebenso wie Verzögerungen bei großen Auszahlungen, um Zeit für zusätzliche Prüfungen zu gewinnen.

Man kann die ausgeklügeltste kryptografische Sicherheit der Welt haben, und ein einziger Mitarbeiter, der die falsche Datei herunterlädt, kann alles umgehen. Der Schwachpunkt in der Sicherheit von Kryptowährungen ist zunehmend menschlich, nicht technisch.

Regulatorische und industrielle Auswirkungen

Der Bybit-Hack gestaltet bereits die regulatorische Landschaft neu.

Erwarten Sie verbindliche Anforderungen für:

Hardware-Sicherheitsmodule (HSMs) für die Schlüsselverwaltung
Echtzeit-Transaktionsüberwachung und Anomalieerkennung
Regelmäßige Sicherheitsaudits durch Dritte
Erweiterte AML-Rahmenwerke und Transaktionsverzögerungen für große Überweisungen

Sicherheit und Compliance werden zu Schwellenwerten für den Marktzugang. Projekte, die keine starke Schlüsselverwaltung, kein Berechtigungsdesign und keine glaubwürdigen Sicherheitsframeworks vorweisen können, werden von Bankpartnern und institutionellen Nutzern abgeschnitten sein.

Was das für die Branche bedeutet

Der Bybit-Hack offenbart eine unangenehme Wahrheit: Das Sicherheitsmodell von Kryptowährungen ist nur so stark wie sein schwächstes betriebliches Glied.

Die Branche hat massiv in kryptografische Sicherheit investiert – Zero-Knowledge-Proofs, Threshold-Signaturen, Secure Enclaves. Doch die ausgefeilteste Kryptografie ist irrelevant, wenn ein Angreifer einen Menschen dazu verleiten kann, eine bösartige Transaktion zu genehmigen.

Für Börsen ist die Botschaft klar: Sicherheitsinnovationen müssen über die Technologie hinausgehen und betriebliche Prozesse, das Management von Drittanbieterrisiken sowie kontinuierliche Mitarbeiterschulungen umfassen. Regelmäßige Audits, der gemeinschaftliche Austausch von Bedrohungsinformationen und die Planung von Reaktionen auf Vorfälle sind nicht länger optional.

Für die Nutzer ist die Lektion ebenso deutlich: Selbst die größten Börsen mit der fortschrittlichsten Sicherheit können kompromittiert werden. Self-Custody, Hardware Wallets und die verteilte Speicherung von Vermögenswerten bleiben die sichersten langfristigen Strategien – auch wenn sie weniger komfortabel sind.

Fazit

Die nordkoreanische Lazarus Group hat den Diebstahl von Kryptowährungen industrialisiert. Seit 2017 haben sie über 6,75 Milliarden $gestohlen, wobei 2025 ihr bisher erfolgreichstes Jahr markiert. Allein der Bybit-Hack – 1,5 Milliarden$ in einer einzigen Operation – demonstriert Fähigkeiten, die jeden Geheimdienst neidisch machen würden.

Die Kryptobranche befindet sich in einem Wettrüsten mit staatlich gesponserten Hackern, die unbegrenzte Geduld, hochentwickelte technische Fähigkeiten und keine Angst vor Konsequenzen haben. Der Bybit-Angriff war nicht aufgrund eines neuartigen Exploits erfolgreich, sondern weil die Angreifer verstanden haben, dass Menschen und nicht der Code das schwächste Glied sind.

Bis die Branche die betriebliche Sicherheit mit der gleichen Strenge behandelt wie die kryptografische Sicherheit, werden diese Angriffe anhalten. Die Frage ist nicht, ob ein weiterer Milliarden-Dollar-Hack stattfinden wird – sondern wann, und ob das Ziel so effektiv reagieren wird wie Bybit.

Dieser Artikel dient ausschließlich zu Bildungszwecken und sollte nicht als Finanzberatung betrachtet werden. Führen Sie immer Ihre eigenen Recherchen durch und legen Sie Wert auf Sicherheit, wenn Sie mit Kryptobörsen und Wallets interagieren.

Share on Twitter

API Marketplace Featured

Der Angriff: Ein Meisterstück an Geduld und Präzision​

Phase 1: Die Kompromittierung des Entwicklers​

Phase 2: Der schlafende Code​

Phase 3: Der Raubzug​

Der technische Exploit: Delegatecall​

Nordkoreas Lazarus Group: Die profitabelsten Hacker der Welt​

Die Industrialisierung des Krypto-Diebstahls​

Social Engineering vor technischen Exploits​

Der chinesische Waschsalon​

Bybits Reaktion: Krisenmanagement unter Beschuss​

Notfallfinanzierung​

Das Kopfgeldprogramm​

Das Urteil des Marktes​

2025: Das Jahr, in dem Kryptodiebstähle 3,4 Milliarden $ erreichten​

Erlernte Lektionen: Wo die Sicherheit versagte​

Drittanbieterrisiko ist existenziell​

Cold Storage reicht nicht aus​

Die Benutzeroberfläche ist ein Single Point of Failure​

Social Engineering schlägt technische Sicherheit​

Regulatorische und industrielle Auswirkungen​

Was das für die Branche bedeutet​

Fazit​