DeFis Sicherheitsabrechnung: Was der 1,5-Milliarden-Dollar-Bybit-Raub über Schwachstellen in Cross-Chain-Bridges verrät

Ein einziger kompromittierter Laptop. Siebzehn Tage Geduld. Eine bösartige JavaScript-Injektion. Das war alles, was die nordkoreanische Lazarus-Gruppe brauchte, um den größten Kryptowährungs-Raub der Geschichte auszuführen – 1,5 Milliarden $ wurden im Februar 2025 von Bybit abgezogen, was 44 % aller in jenem Jahr gestohlenen Krypto-Assets entspricht.

Der Bybit-Hack war kein Versagen der Kryptographie oder der Blockchain-Technologie. Es war ein operatives Versagen, das die fragile menschliche Ebene unter den mathematischen Sicherheitsgarantien von DeFi offenlegte. Während die Branche mit insgesamt 3,4 Milliarden $ an Diebstählen im Jahr 2025 konfrontiert ist, stellt sich nicht die Frage, ob eine weitere katastrophale Sicherheitslücke auftreten wird – sondern ob Protokolle die notwendigen Änderungen implementieren, um sie zu überleben.

Die Anatomie einer 1,5-Milliarden-Dollar-Kompromittierung

Um den Bybit-Hack zu verstehen, muss man untersuchen, wie die Angreifer jede Sicherheitsmaßnahme umgingen, ohne ein einziges kryptographisches Siegel zu brechen.

Laut der technischen Analyse der NCC Group begann der Angriff am 4. Februar 2025, als die MacOS-Workstation eines Safe{Wallet}-Entwicklers durch Social Engineering kompromittiert wurde. Die Angreifer verbrachten daraufhin über zwei Wochen damit, die Transaktionsmuster und die Infrastruktur von Bybit zu studieren.

Am 19. Februar ersetzten die Angreifer eine harmlose JavaScript-Datei im AWS S3-Speicher von Safe{Wallet} durch bösartigen Code, der speziell auf das Ethereum Cold Wallet von Bybit abzielte. Die Änderung war chirurgisch präzise – die gesamte Anwendung funktionierte normal, außer wenn Bybit eine Transaktion initiierte.

Als das Team von Bybit am 21. Februar eine scheinbar routinemäßige Überweisung vom Cold zum Hot Wallet ausführte, aktivierte sich der bösartige Code. Die Unterzeichner genehmigten das, was sie für eine legitime Transaktion hielten, aber der zugrunde liegende Code leitete etwa 401.000 ETH an von den Angreifern kontrollierte Adressen um.

Das FBI bestätigte innerhalb weniger Tage die Verantwortung Nordkoreas und schrieb den Angriff TraderTraitor zu – demselben Bedrohungsakteur, der hinter jahrelangen Milliarden-Raubzügen steckt.

Der Multisig-Mythos: Warum Mehrfachsignaturen keine Rolle spielten

Der Bybit-Hack zerstörte eine gefährliche Annahme: dass Multisig-Wallets einen inhärenten Schutz gegen hochentwickelte Angreifer bieten.

Wie die Analyse von Certora schlussfolgerte: „Dies war kein Multisig-Versagen, sondern ein operatives: Die Schlüssel wurden nicht gestohlen, und die Unterzeichner wurden in die Irre geführt.“

Die Angreifer verstanden, dass kryptographische Sicherheit nichts bedeutet, wenn Unterzeichner dazu verleitet werden können, bösartige Transaktionen zu genehmigen. Durch die Kompromittierung der UI-Ebene erstellten sie legitim aussehende Transaktionen, die Geldtransfers an feindliche Adressen verschleierten. Die zusätzlichen Schlüssel spielten keine Rolle, da jeder Unterzeichner dieselben manipulierten Informationen sah.

Dies stellt eine grundlegende Verschiebung der Angriffsmethodik dar. Anstatt zu versuchen, private Schlüssel zu stehlen – was durch Hardware-Sicherheit immer schwieriger wird – zielen hoch entwickelte Angreifer auf die menschliche Verifizierungsebene ab. Wenn man kontrolliert, was die Unterzeichner sehen, kontrolliert man, was sie unterschreiben.

Cross-Chain-Bridges: Die 55-Milliarden-Dollar-Schwachstelle von DeFi

Der Bybit-Hack beleuchtete umfassendere Schwachstellen in der Cross-Chain-Infrastruktur. Laut Chainalysis führten Exploits von Cross-Chain-Bridges bis Mitte 2025 zu gestohlenen Geldern in Höhe von über 1,5 Milliarden $, was Bridges zum primären Interoperabilitäts-Risikofaktor in ganz DeFi macht.

Mit einem Gesamtwert von 55 Milliarden $, der in Bridges gesperrt ist (Total Value Locked), ist die Angriffsfläche enorm. Die Forschung von Chainlink identifiziert sieben kritische Schwachstellenkategorien:

Übernahme von Validatoren: Viele Bridges arbeiten mit kleinen Validator-Sets oder begrenzten Multisig-Konfigurationen. Der Ronin-Bridge-Hack demonstrierte dieses Risiko, als Angreifer fünf von neun Validator-Schlüsseln kompromittierten und so einen Diebstahl von 625 Millionen $ ermöglichten.

Schwachstellen in Smart Contracts: Beim Wormhole-Exploit im Februar 2022 umgingen Angreifer die Verifizierung durch das Einschleusen gefälschter Konten und prägten unbefugt 120.000 wETH.

Kompromittierung privater Schlüssel: Der Force-Bridge-Exploit im Mai-Juni 2025 resultierte aus einem einzigen kompromittierten Schlüssel, der eine unbefugte Validator-Kontrolle ermöglichte und einen Abfluss von 3,6 Millionen $ zur Folge hatte.

Orakel-Manipulation: Angreifer manipulieren externe Datenfeeds, was 13 % der DeFi-Exploits im Jahr 2025 ausmachte.

Supply-Chain-Angriffe: Der Bybit-Hack zeigte, dass die Kompromittierung vorgelagerter Abhängigkeiten alle nachgelagerten Sicherheitsmaßnahmen umgehen kann.

Die 48-Stunden-Geldwäschemaschine

Die Geschwindigkeit der Geldwäsche nach einem Raubzug hat industrielle Effizienz erreicht. TRM Labs berichtete dass innerhalb von 48 Stunden nach dem Bybit-Hack mindestens 160 Millionen $über illegale Kanäle abgewickelt wurden. Bis zum 26. Februar waren über 400 Millionen$ bewegt worden.

Die Geldwäsche-Methodik hat sich standardisiert:

1. Sofortige Verteilung: Gestohlene Gelder werden auf hunderte von Zwischen-Wallets aufgeteilt.
2. Cross-Chain Hopping: Vermögenswerte werden über THORChain, Chainflip und andere Bridges zwischen Blockchains verschoben.
3. DEX-Swapping: Ethereum wird in Bitcoin, DAI und Stablecoins umgetauscht.
4. Mixer-Integration: Tornado Cash und ähnliche Dienste verschleiern die Transaktionsspuren.
5. OTC-Auszahlung: Auf Tron basierendes USDT wird für die Umwandlung über chinesische OTC-Netzwerke bereitgestellt.

Bis zum 20. März 2025 bestätigte Bybit-CEO Ben Zhou, dass 86,29 % der gestohlenen ETH in BTC umgewandelt worden waren – was die Kapazität der Geldwäsche-Infrastruktur demonstriert, Milliarden innerhalb weniger Wochen zu verarbeiten.

Smart Contract-Schwachstellen: Die statistische Realität

Über Supply-Chain-Angriffe hinaus bleiben Schwachstellen in Smart Contracts die primäre technische Sicherheitslücke. Laut dem Top 100 DeFi Hacks Report 2025 von Halborn:

• 67 % der DeFi-Verluste im Jahr 2025 resultierten aus Fehlern in Smart Contracts
• $ 630 Millionen gingen durch nicht verifizierte Smart Contracts verloren
• $ 325 Millionen wurden durch Reentrancy-Bugs gestohlen
• 34,6 % der Contract-Exploits resultierten aus fehlerhafter Eingabevalidierung
• 13 % der Angriffe beinhalteten Oracle-Manipulationen

Der besorgniserregendste Trend: Off-Chain-Schwachstellen machen jedes Jahr einen wachsenden Anteil an den Verlusten aus. Da sich die On-Chain-Sicherheit verbessert, visieren Angreifer zunehmend die Infrastruktur um die Smart Contracts herum an, anstatt die Verträge selbst.

Was Protokolle vor dem nächsten Angriff beheben müssen

Die Sicherheitslandschaft von 2025 liefert klare Rezepte für das Überleben von Protokollen. Basierend auf Best Practices der Branche und Post-Mortem-Analysen müssen Protokolle mehrere Ebenen gleichzeitig adressieren.

Hardware-erzwungene Signierung

Softwarebasierte Transaktionssignierung — selbst über Multisig-Vereinbarungen — erwies sich als unzureichend gegen Angriffe durch UI-Manipulation. Die Multisig-Best-Practices von Polygon empfehlen:

• Obligatorische Hardware-Wallets für alle Unterzeichner mit hohem Transaktionswert
• Offline-Signiergeräte, die Online-Angriffsvektoren abschwächen
• Geografische Verteilung der Signaturschlüssel, um Kompromittierungen an einem einzelnen Standort zu verhindern
• Echtzeit-Überwachung mit Warnmeldungen bei verdächtigen Signaturmustern

Transaktionssimulation vor der Ausführung

Die Bybit-Unterzeichner genehmigten Transaktionen, ohne deren wahre Auswirkungen zu verstehen. Protokolle müssen obligatorische Simulationsschichten implementieren, die:

• Tatsächliche Fondsbewegungen vor der Unterzeichnung anzeigen
• Transaktionseffekte mit den erklärten Absichten vergleichen
• Diskrepanzen zwischen UI-Beschreibungen und On-Chain-Ergebnissen markieren
• Eine explizite Bestätigung der Zieladressen erfordern

Verifizierung der Lieferkette (Supply Chain Verification)

Die Kompromittierung von Safe{Wallet} hat gezeigt, dass vorgelagerte Abhängigkeiten Angriffsflächen schaffen. Protokolle sollten:

• Signierte Builds und reproduzierbare Releases implementieren
• Integritätsprüfungen für Inhalte (Content Integrity Verification) für alle geladenen Skripte einsetzen
• Eine kontinuierliche Überwachung von Änderungen an Abhängigkeiten aufrechterhalten
• Subresource Integrity (SRI) Hashes für kritisches JavaScript verwenden

Geschwindigkeitsbegrenzungen und Zeitverzögerungen

Die Möglichkeit, $ 1,5 Milliarden in einer einzigen Transaktion abzuziehen, stellt einen fundamentalen Designfehler dar. Institutionelle Verwahrungsstandards empfehlen nun:

• Gestufte Genehmigungsschwellen: 2-aus-3 für kleine Transaktionen, 5-aus-7 mit obligatorischen Verzögerungen für große Überweisungen
• Tägliche Auszahlungslimits, die auf Vertragsebene erzwungen werden
• Cooling-off-Phasen für Transaktionen, die Schwellenwerte überschreiten
• Circuit Breaker (Notabschaltungen), die den Betrieb bei Anomalien pausieren

Bug-Bounty-Programme und kontinuierliche Audits

Smart Contract Auditing hat sich von einmaligen Ereignissen zu kontinuierlichen Prozessen entwickelt. Der neue Standard umfasst:

• KI-gestützte Audits, die nach Mustern über historische Exploits hinweg suchen
• Aktive Bug-Bounty-Programme, die zu einer fortlaufenden Sicherheitsüberprüfung einladen
• Mehrere Audit-Firmen, um blinde Flecken einzelner Prüfer zu eliminieren
• Monitoring nach dem Deployment auf anomales Vertragsverhalten

Die Audit-Kosten spiegeln diese Komplexität wider: Einfache Verträge kosten $ 10.000 – $ 25.000, während komplexe Protokolle mit Cross-Chain-Komponenten $ 100.000 – $ 250.000 überschreiten können.

Das Venus-Protokoll-Modell: Erkennung in Aktion

Nicht jeder Sicherheitsvorfall im Jahr 2025 endete in einer Katastrophe. Der Vorfall beim Venus-Protokoll im September 2025 zeigt, wie proaktive Überwachung Verluste verhindern kann:

• Die Sicherheitsplattform Hexagate erkannte verdächtige Aktivitäten 18 Stunden vor dem geplanten Angriff
• Venus unterbrach sofort den Betrieb
• Gelder wurden innerhalb weniger Stunden zurückgewonnen
• Eine Governance-Abstimmung fror $ 3 Millionen ein, die der Angreifer bereits bewegt hatte

Dieser Vorfall beweist, dass Echtzeit-Überwachung und schnelle Reaktionsfähigkeit potenzielle Katastrophen in bewältigbare Zwischenfälle verwandeln können. Die Frage ist, ob Protokolle in Erkennungsinfrastrukturen investieren, bevor sie durch katastrophale Verluste dazu gezwungen werden.

Die nordkoreanische Bedrohung: Andere Regeln gelten

Um die Bedrohungslandschaft zu verstehen, muss man anerkennen, dass nordkoreanische Akteure anders agieren als typische Cyberkriminelle.

Laut Chainalysis haben mit der DVRK verbundene Akteure mittlerweile insgesamt $ 6,75 Milliarden an Kryptowährungen gestohlen. Ihre Beute von $ 2,02 Milliarden im Jahr 2025 entsprach einer Steigerung von 51 % gegenüber dem Vorjahr, obwohl sie insgesamt weniger Angriffe durchführten.

Das Wilson Center stellt fest: „Die Lazarus Group ist nicht staatlich gesponsert im traditionellen Sinne, wie wir über staatlich gesponserte Gruppen denken. Die Lazarus Group ist Nordkorea und Nordkorea ist die Lazarus Group.“

Diese Unterscheidung ist wichtig, weil:

• Ressourcen unbegrenzt sind: Staatliche Unterstützung bietet dauerhafte Finanzierung für monatelange Aufklärungsoperationen
• Konsequenzen nicht abschrecken: Internationale Sanktionen beeinträchtigen Hacker nicht, die sich bereits in einem isolierten Regime befinden
• Erlöse Waffenprogramme finanzieren: Gestohlene Kryptowährungen finanzieren direkt die Entwicklung ballistischer Raketen
• Methoden sich ständig weiterentwickeln: Jeder erfolgreiche Raubzug finanziert die Erforschung neuer Angriffsvektoren

Die Branche muss erkennen, dass die Verteidigung gegen nordkoreanische Hacker ein Sicherheitsdenken auf staatlicher Ebene erfordert und nicht nur Sicherheitsbudgets auf Startup-Niveau.

Der Weg nach 2026: Sicherheit oder Auslöschung

Die im Jahr 2025 gestohlenen 3,4 Milliarden $ stellen mehr als nur einen finanziellen Verlust dar – sie bedrohen die Legitimität des gesamten DeFi-Ökosystems. Die institutionelle Akzeptanz hängt von Sicherheitsgarantien ab, welche die aktuelle Infrastruktur nicht bieten kann.

Chainalysis warnt: „Die Herausforderung für 2026 wird darin bestehen, diese folgenschweren Operationen zu erkennen und zu verhindern, bevor DPRK-Akteure einen weiteren Vorfall im Ausmaß von Bybit verursachen.“

Protokolle stehen vor einer binären Wahl: Sicherheitsmaßnahmen implementieren, die der Bedrohung angemessen sind, oder akzeptieren, dass der nächste katastrophale Einbruch eine Frage des Wann und nicht des Ob ist.

Die Technologie für eine bessere Sicherheit existiert. Hardware-Signierung, Transaktionssimulation, Überprüfung der Lieferkette und Echtzeit-Überwachung sind bereits heute einsatzbereit. Die Frage ist, ob die Branche in die Prävention investieren oder weiterhin für die Wiederherstellung bezahlen wird.

Für Protokolle, denen das Überleben wichtig ist, sollte der Bybit-Hack als letzte Warnung dienen. Die Angreifer haben Geduld, Raffinesse und eine Geldwäschekapazität im industriellen Maßstab bewiesen. Die einzige angemessene Antwort ist eine Sicherheitsinfrastruktur, die davon ausgeht, dass Einbruchsversuche fortgesetzt werden – und sicherstellt, dass sie keinen Erfolg haben.

---

Der Aufbau sicherer Web3-Anwendungen erfordert eine Infrastruktur, die auf Zuverlässigkeit der Enterprise-Klasse ausgelegt ist. BlockEden.xyz bietet praxiserprobte RPC-Endpunkte mit integrierter Überwachung und Anomalieerkennung über mehrere Chains hinweg. Erkunden Sie unseren API-Marktplatz, um auf Fundamenten aufzubauen, die Sicherheit priorisieren.