Der 3,4-Milliarden-Dollar-Krypto-Raub der Lazarus-Gruppe: Eine neue Ära staatlich geförderter Cyberkriminalität

31. Januar 2026 · 9 Min. Lesezeit

Software Engineer

Die Zahlen sind erschütternd: 3,4 Mrd. $ wurden 2025 von Kryptowährungsplattformen gestohlen, wobei ein einziger Nationalstaat für fast zwei Drittel der Beute verantwortlich ist. Die Lazarus-Gruppe aus Nordkorea hat nicht nur Rekorde gebrochen – sie hat das Regelwerk für staatlich gesponserte Cyberkriminalität neu geschrieben, indem sie weniger Angriffe ausführte und dabei exponentiell mehr Wert abschöpfte. Zu Beginn des Jahres 2026 sieht sich die Kryptowährungsbranche mit einer unangenehmen Wahrheit konfrontiert: Die Sicherheitsparadigmen der letzten fünf Jahre sind grundlegend gescheitert.

Der 3,4-Milliarden-Dollar-Weckruf

Das Blockchain-Analyseunternehmen Chainalysis veröffentlichte im Dezember 2025 seinen jährlichen Bericht zur Krypto-Kriminalität und bestätigte damit die Befürchtungen von Branchenkennern. Der gesamte Diebstahl von Kryptowährungen erreichte 3,4 Mrd. $, wobei nordkoreanische Hacker 2,02 Mrd. $ für sich beanspruchten – ein Anstieg von 51 % gegenüber dem bereits rekordverdächtigen Wert von 1,34 Mrd. $ im Jahr 2024. Damit beläuft sich die Gesamtsumme der Krypto-Diebstähle der DVRK auf etwa 6,75 Mrd. $.

Was den Diebstahl im Jahr 2025 so beispiellos macht, ist nicht nur die Summe in Dollar. Es ist die Effizienz. Nordkoreanische Hacker erzielten diese Rekordbeute mit 74 % weniger bekannten Angriffen als in den Vorjahren. Die Lazarus-Gruppe hat sich von einem verstreuten Bedrohungsakteur zu einem Präzisionsinstrument der finanziellen Kriegsführung entwickelt.

TRM Labs und Chainalysis haben diese Zahlen unabhängig voneinander verifiziert, wobei TRM feststellte, dass die Krypto-Kriminalität „organisierter und professionalisierter“ als je zuvor geworden ist. Die Angriffe sind schneller, besser koordiniert und weitaus einfacher zu skalieren als in früheren Zyklen.

Der Bybit-Raub: Eine Meisterklasse in Supply-Chain-Angriffen

Am 21. Februar 2025 erlebte die Kryptowelt den größten Einzeldiebstahl ihrer Geschichte. Hacker entwendeten etwa 401.000 ETH – zum damaligen Zeitpunkt 1,5 Mrd. $ wert – von Bybit, einer der weltweit größten Kryptowährungsbörsen.

Der Angriff war kein Brute-Force-Einbruch oder ein Smart-Contract-Exploit. Es war eine meisterhafte Kompromittierung der Lieferkette (Supply Chain). Die Lazarus-Gruppe – agierend unter dem Pseudonym „TraderTraitor“ (auch bekannt als Jade Sleet und Slow Pisces) – nahm einen Entwickler bei Safe{Wallet} ins Visier, dem beliebten Anbieter von Multi-Signatur-Wallets. Durch das Einschleusen von bösartigem Code in die Benutzeroberfläche des Wallets umgingen sie die herkömmlichen Sicherheitsebenen vollständig.

Innerhalb von 11 Tagen hatten die Hacker 100 % der gestohlenen Gelder gewaschen. Bybit-CEO Ben Zhou gab Anfang März bekannt, dass sie die Spur von fast 300 Mio. $ verloren hatten. Das FBI schrieb den Angriff am 26. Februar 2025 offiziell Nordkorea zu, doch zu diesem Zeitpunkt waren die Gelder bereits in Mixing-Protokollen und Bridge-Diensten verschwunden.

Allein der Bybit-Hack machte 74 % der nordkoreanischen Krypto-Diebstähle im Jahr 2025 aus und demonstrierte eine beängstigende Weiterentwicklung der Taktik. Wie das Sicherheitsunternehmen Hacken anmerkte, zeigte die Lazarus-Gruppe „klare Präferenzen für chinesischsprachige Geldwäsche-Dienste, Bridge-Dienste und Mixing-Protokolle mit einem 45-tägigen Geldwäschezyklus nach größeren Diebstählen“.

Das Lazarus-Playbook: Von Phishing bis hin zur tiefen Infiltration

Die Cyber-Operationen Nordkoreas haben eine grundlegend Transformation durchlaufen. Die Zeiten einfacher Phishing-Angriffe und Hot-Wallet-Kompromittierungen sind vorbei. Die Lazarus-Gruppe hat eine mehrgleisige Strategie entwickelt, die eine Entdeckung nahezu unmöglich macht.

Die Wagemole-Strategie

Die vielleicht heimtückischste Taktik ist das, was Forscher „Wagemole“ nennen – das Einschleusen verdeckter IT-Mitarbeiter in Kryptowährungsunternehmen weltweit. Unter falschen Identitäten oder über Briefkastenfirmen verschaffen sich diese Agenten legitimen Zugang zu Unternehmenssystemen, einschließlich Krypto-Firmen, Verwahrstellen und Web3-Plattformen.

Dieser Ansatz ermöglicht es Hackern, Perimeter-Verteidigungen vollständig zu umgehen. Sie brechen nicht ein – sie sind bereits drin.

KI-gestützte Ausbeutung

Im Jahr 2025 begannen staatlich gesponserte Gruppen, künstliche Intelligenz einzusetzen, um jede Phase ihrer Operationen zu verstärken. KI scannt nun Tausende von Smart Contracts in Minuten, identifiziert ausnutzbaren Code und automatisiert Multi-Chain-Angriffe. Was früher Wochen manueller Analyse erforderte, dauert heute nur noch Stunden.

Die Analyse von Coinpedia ergab, dass nordkoreanische Hacker die Krypto-Kriminalität durch KI-Integration neu definiert haben, wodurch ihre Operationen skalierbarer und schwerer zu entdecken sind als je zuvor.

Identitätsdiebstahl von Führungskräften

Die Verlagerung von rein technischen Exploits hin zu Angriffen auf den Faktor Mensch war ein prägender Trend des Jahres 2025. Sicherheitsfirmen stellten fest, dass „extreme Verluste überwiegend auf Fehler bei der Zugangskontrolle zurückzuführen waren, nicht auf neuartige On-Chain-Mathematik“. Hacker wechselten von manipulierten Frontends und Multisig-UI-Tricks zum Identitätsdiebstahl von Führungskräften und zum Diebstahl privater Schlüssel.

Jenseits von Bybit: Die Hacker-Landschaft 2025

Während Bybit die Schlagzeilen dominierte, erstreckten sich die Operationen Nordkoreas weit über ein einzelnes Ziel hinaus:

DMM Bitcoin (Japan): 305 Mio. $ gestohlen, was zur schließlichen Abwicklung der Börse beitrug
WazirX (Indien): 235 Mio. $ von Indiens größter Kryptowährungsbörse abgezogen
Upbit (Südkorea): 36 Mio. $ durch die Ausnutzung der Signatur-Infrastruktur Ende 2025 beschlagnahmt

Dies waren keine Einzelfälle – sie stellten eine koordinierte Kampagne dar, die auf zentralisierte Börsen, dezentralisierte Finanzplattformen (DeFi) und einzelne Wallet-Anbieter in mehreren Jurisdiktionen abzielte.

Unabhängige Zählungen identifizierten über 300 größere Sicherheitsvorfälle im Laufe des Jahres, was systemische Schwachstellen im gesamten Kryptowährungs-Ökosystem verdeutlicht.

Die Huione-Verbindung: Kambodschas 4-Milliarden-Dollar-Geldwäschemaschine

Auf der Seite der Geldwäsche identifizierte das Financial Crimes Enforcement Network (FinCEN) des US-Finanzministeriums einen kritischen Knotenpunkt in den Operationen Nordkoreas: die in Kambodscha ansässige Huione Group.

FinCEN stellte fest, dass die Huione Group zwischen August 2021 und Januar 2025 mindestens 4 Milliarden $an illegalen Erlösen gewaschen hat. Das Blockchain-Unternehmen Elliptic schätzt, dass die tatsächliche Zahl eher bei 11 Milliarden$ liegen könnte.

Die Untersuchung des Finanzministeriums ergab, dass die Huione Group 37 Millionen $verarbeitete, die direkt mit der Lazarus Group in Verbindung standen, einschließlich 35 Millionen$ aus dem DMM-Bitcoin-Hack. Das Unternehmen arbeitete direkt mit dem Reconnaissance General Bureau von Nordkorea zusammen, Pjöngjangs primärem Auslandsnachrichtendienst.

Was Huione besonders gefährlich machte, war das völlige Fehlen von Compliance-Kontrollen. Keiner seiner drei Geschäftsbereiche – Huione Pay (Bankwesen), Huione Guarantee (Treuhand) und Huione Crypto (Börse) – hatte AML / KYC-Richtlinien veröffentlicht.

Die Verbindungen des Unternehmens zur herrschenden Hun-Familie in Kambodscha, einschließlich eines Cousins von Premierminister Hun Manet als Hauptaktionär, erschwerten die internationalen Durchsetzungsbemühungen, bis die USA im Mai 2025 dazu übergingen, den Zugang zum amerikanischen Finanzsystem zu kappen.

Die regulatorische Antwort: MiCA, PoR und darüber hinaus

Das Ausmaß der Diebstähle im Jahr 2025 hat die regulatorischen Maßnahmen weltweit beschleunigt.

Europas MiCA Stufe 2

Die Europäische Union hat „Stufe 2“ der Markets in Crypto-Assets (MiCA) Verordnung im Eilverfahren verabschiedet und schreibt nun vierteljährliche Audits von Drittanbieter-Softwareanbietern für jede in der Eurozone tätige Börse vor. Der Supply-Chain-Angriffsvektor des Bybit-Hacks war der Auslöser für diese spezifische Anforderung.

US-Proof-of-Reserves-Mandate

In den Vereinigten Staaten hat sich der Fokus auf obligatorische Echtzeit-Anforderungen für den Proof-of-Reserves (PoR) verlagert. Die Theorie: Wenn Börsen ihre Vermögenswerte in Echtzeit on-chain nachweisen müssen, werden verdächtige Abflüsse sofort sichtbar.

Südkoreas Digital Financial Security Act

Nach dem Upbit-Hack schlug die südkoreanische Finanzdienstleistungskommission im Dezember 2025 den „Digital Financial Security Act“ vor. Das Gesetz würde vorgeschriebene Cold-Storage-Quoten, routinemäßige Penetrationstests und eine verstärkte Überwachung verdächtiger Aktivitäten bei allen Kryptowährungsbörsen erzwingen.

Was die Verteidigung im Jahr 2026 benötigt

Die Bybit-Sicherheitslücke erzwang eine grundlegende Änderung in der Art und Weise, wie zentralisierte Börsen Sicherheit verwalten. Branchenführer haben mehrere kritische Upgrades für 2026 identifiziert:

Migration zur Multi-Party Computation (MPC)

Die meisten erstklassigen Plattformen sind von traditionellen Smart-Contract-Multi-Sigs auf die Multi-Party Computation-Technologie migriert. Im Gegensatz zum Safe{Wallet}-Setup, das 2025 ausgenutzt wurde, teilt MPC private Schlüssel in Shards auf, die niemals an einem einzigen Ort existieren, was UI-Spoofing und „Ice Phishing“-Techniken nahezu unmöglich macht.

Cold-Storage-Standards

Renommierte Custodial-Exchanges implementieren jetzt Cold-Storage-Quoten von 90-95 %, und bewahren den Großteil der Nutzergelder offline in Hardware-Sicherheitsmodulen auf. Multi-Signatur-Wallets erfordern mehrere autorisierte Parteien, um große Transaktionen zu genehmigen.

Überprüfung der Lieferkette (Supply Chain Auditing)

Die wichtigste Erkenntnis aus dem Jahr 2025 ist, dass sich die Sicherheit über die Blockchain hinaus auf den gesamten Software-Stack erstreckt. Börsen müssen ihre Anbieterbeziehungen mit der gleichen Strenge prüfen, die sie bei ihrem eigenen Code anwenden. Der Bybit-Hack war erfolgreich aufgrund kompromittierter Drittanbieter-Infrastruktur, nicht aufgrund von Schwachstellen der Börse selbst.

Verteidigung des Faktors Mensch

Kontinuierliche Schulungen zu Phishing-Versuchen und sicheren Passwortpraktiken sind obligatorisch geworden, da menschliches Versagen eine Hauptursache für Sicherheitsverletzungen bleibt. Sicherheitsexperten empfehlen regelmäßige Red- und Blue-Team-Übungen, um Schwachstellen im Sicherheitsprozessmanagement zu identifizieren.

Quantenresistente Upgrades

Mit Blick auf die Zukunft rücken Post-Quanten-Kryptographie (PQC) und quantengeschützte Hardware als kritische zukünftige Verteidigungsmaßnahmen in den Fokus. Die prognostizierte CAGR des Cold-Wallet-Marktes von 15,2 % zwischen 2026 und 2033 spiegelt das Vertrauen der Institutionen in die Entwicklung der Sicherheit wider.

Der Weg nach vorn

Die abschließende Warnung von Chainalysis in ihrem Bericht für 2025 sollte in der gesamten Branche Nachhall finden: „Die rekordverdächtige Leistung des Landes im Jahr 2025 – erzielt mit 74 Prozent weniger bekannten Angriffen – deutet darauf hin, dass wir möglicherweise nur den sichtbarsten Teil seiner Aktivitäten sehen. Die Herausforderung für 2026 wird darin bestehen, diese hochwirksamen Operationen zu erkennen und zu verhindern, bevor mit der DVRK verbundene Akteure einen weiteren Vorfall vom Ausmaß von Bybit verursachen.“

Nordkorea hat bewiesen, dass staatlich gesponserte Hacker die Verteidigung der Industrie überholen können, wenn sie durch Sanktionsumgehung und Waffenfinanzierung motiviert sind. Die kumulierte Gesamtsumme von 6,75 Milliarden $ stellt nicht nur gestohlene Kryptowährungen dar – sie steht für Raketen, Nuklearprogramme und das Überleben des Regimes.

Für die Kryptowährungsbranche muss 2026 das Jahr der Sicherheitstransformation sein. Keine inkrementellen Verbesserungen, sondern eine grundlegende Neugestaltung der Art und Weise, wie Vermögenswerte gespeichert, abgerufen und übertragen werden. Die Lazarus Group hat gezeigt, dass die Best Practices von gestern die Schwachstellen von heute sind.

Es stand noch nie so viel auf dem Spiel.

Die Sicherung der Blockchain-Infrastruktur erfordert ständige Wachsamkeit und branchenführende Sicherheitspraktiken. BlockEden.xyz bietet Node-Infrastruktur auf Enterprise-Niveau mit einer mehrschichtigen Sicherheitsarchitektur und hilft Entwicklern und Unternehmen dabei, auf Fundamenten aufzubauen, die darauf ausgelegt sind, sich entwickelnden Bedrohungen standzuhalten.

Share on Twitter

API Marketplace Featured

Der 3,4-Milliarden-Dollar-Weckruf​

Der Bybit-Raub: Eine Meisterklasse in Supply-Chain-Angriffen​

Das Lazarus-Playbook: Von Phishing bis hin zur tiefen Infiltration​

Die Wagemole-Strategie​

KI-gestützte Ausbeutung​

Identitätsdiebstahl von Führungskräften​

Jenseits von Bybit: Die Hacker-Landschaft 2025​

Die Huione-Verbindung: Kambodschas 4-Milliarden-Dollar-Geldwäschemaschine​

Die regulatorische Antwort: MiCA, PoR und darüber hinaus​

Europas MiCA Stufe 2​

US-Proof-of-Reserves-Mandate​

Südkoreas Digital Financial Security Act​

Was die Verteidigung im Jahr 2026 benötigt​

Migration zur Multi-Party Computation (MPC)​

Cold-Storage-Standards​

Überprüfung der Lieferkette (Supply Chain Auditing)​

Verteidigung des Faktors Mensch​

Quantenresistente Upgrades​

Der Weg nach vorn​