Direkt zum Hauptinhalt

Ihr Code ist in Ordnung – sie haben es auf Ihre Keys abgesehen: Ein Blick in den 2,2 Milliarden Dollar schweren Strategiewechsel bei Krypto-Infrastruktur-Angriffen

· 10 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Die teuerste Codezeile in der Geschichte der Kryptowährungen war kein Fehler. Es war ein Phishing-Link.

Im Februar 2025 klickte ein Entwickler bei Safe{Wallet} auf eine Nachricht, die wie eine Routine-Mitteilung aussah. Innerhalb weniger Stunden hatten nordkoreanische Akteure AWS-Sitzungstoken gekapert, die Multi-Faktor-Authentifizierung umgangen und 1,5 Milliarden $ von Bybit abgezogen — der größte Diebstahl in der Geschichte der Kryptowährungen. Es wurde keine Schwachstelle in einem Smart Contract ausgenutzt. Keine On-Chain-Logik versagte. Der Code war in Ordnung. Die Menschen waren es nicht.

Der Crypto Crime Report 2026 von TRM Labs bestätigt, was dieser Raubzug bereits andeutete: Die Ära des Smart-Contract-Exploits als primärer Bedrohungsvektor für Krypto ist vorbei. Angreifer sind „den Stack hinaufgewandert“ und haben die Jagd nach neuartigen Code-Schwachstellen aufgegeben. Stattdessen kompromittieren sie die operative Infrastruktur — Keys, Wallets, Signierer und Cloud-Kontrollebenen —, die ansonsten sichere Protokolle umgibt.

Die Zahlen erzählen eine deutliche Geschichte

Im Jahr 2025 stahlen illegale Akteure 2,87 Milliarden infast150verschiedenenHacksundExploits.DochdieVerteilungdieserVerlusteoffenbartdeneigentlichenWandel:2,2Milliardenin fast 150 verschiedenen Hacks und Exploits. Doch die Verteilung dieser Verluste offenbart den eigentlichen Wandel: **2,2 Milliarden — 76 % der gesamten gestohlenen Vermögenswerte — stammten aus Infrastruktur-Angriffen**, nicht aus Smart-Contract-Exploits. Die Angreifer zielten auf private Keys ab, kompromittierten Cloud-Zugangsdaten und nutzten Wallet-Orchestrierungsschichten bei zentralisierten Unternehmen aus.

Das Paradoxon ist frappierend:

  • Vorfälle halbiert: von 410 im Jahr 2024 auf etwa 200 im Jahr 2025
  • Verluste gestiegen: von 2,01 Milliarden auf2,94Milliardenauf 2,94 Milliarden
  • Durchschnittlicher Verlust pro Ereignis mehr als verdoppelt: von etwa 5 Millionen auffast15Millionenauf fast 15 Millionen

Weniger Angriffe, größere Beute — das Markenzeichen einer reifenden Angreiferklasse, die gelernt hat, ihre Feuerkraft auf hochwertige Ziele zu konzentrieren.

Währenddessen erreichte das gesamte illegale Krypto-Volumen im Jahr 2025 mit 158 Milliarden $ ein Allzeithoch, was einem Anstieg von 145 % gegenüber dem Vorjahr entspricht. Dieser Anstieg wurde nicht von Kleinkriminellen vorangetrieben, sondern von staatlich gelenkten Akteuren und hochentwickelten Finanznetzwerken, wobei die Umgehung von Sanktionen mit Bezug zu Russland der Hauptfaktor war.

Warum Angreifer den Stack hinaufgewandert sind

Der Wechsel ist wirtschaftlich sinnvoll. Das Auditing von Smart Contracts ist erheblich ausgereifter geworden. Zwischen 2020 und 2025 investierte die Branche Milliarden in das Auditing von Code — Firmen wie CertiK, Trail of Bits und OpenZeppelin entwickelten systematische Methoden, formale Verifizierungstools wurden zum Standard, und Bug-Bounty-Programme schufen wirtschaftliche Anreize für die Entdeckung durch White-Hats.

Das Ergebnis? Eine neuartige Smart-Contract-Schwachstelle in einem erstklassigen DeFi-Protokoll zu finden, erfordert heute wesentlich mehr Aufwand und Fachwissen als noch vor drei Jahren. Die „tief hängenden Früchte“ wurden bereits gepflückt.

Die operative Infrastruktur hat jedoch nicht die gleiche Aufmerksamkeit erhalten. Die Praktiken für das Key-Management variieren in der Branche extrem. Konfigurationen für die Cloud-Sicherheit bleiben inkonsistent. Und Menschen — das schwächste Glied in jeder Sicherheitskette — bleiben anfällig für Social-Engineering-Angriffe, die kein Code-Audit verhindern kann.

Für hochkarätige Angreifer ist die Rechnung einfach: Warum Monate damit verbringen, nach einem obskuren Reentrancy-Bug zu suchen, wenn man einen Entwickler mit erweiterten AWS-Zugriffsrechten phishen und an einem einzigen Nachmittag 1,5 Milliarden $ stehlen kann?

Nordkorea: Der gefährlichste Krypto-Gegner der Welt

Keine Diskussion über den Strategiewechsel hin zur Infrastruktur-Targetierung bei Krypto ist vollständig ohne Nordkorea. Die Lazarus-Gruppe und ihr TraderTraitor-Subcluster stellen den am weitesten entwickelten und am besten ausgestatteten Krypto-Gegner auf dem Planeten dar.

Im Jahr 2025 stahlen nordkoreanische Hacker mindestens 2,02 Milliarden $ in Kryptowährungen — eine Steigerung von 51 % im Jahresvergleich und etwa 60 % aller weltweiten Krypto-Diebstähle. Dies war kein opportunistisches Hacking. Es war ein staatliches Programm.

Der Bybit-Angriff war beispielhaft für ihre weiterentwickelte Methodik. TraderTraitor-Akteure suchten nicht nach Smart-Contract-Bugs. Sie identifizierten einen bestimmten Entwickler bei Safe{Wallet} mit erweiterten Systemzugriffen, führten eine gezielte Social-Engineering-Kampagne durch — wahrscheinlich mit gefälschten Stellenangeboten oder Investitionsmöglichkeiten — und überzeugten den Entwickler, bösartige Software herunterzuladen. Von dort aus kaperten sie AWS-Sitzungstoken, also die temporären Zugangsdaten, die Zugriff auf die Cloud-Infrastruktur eines Arbeitgebers gewähren.

Durch den Diebstahl aktiver Sitzungstoken anstelle von Passwörtern umgingen die Angreifer die MFA vollständig. Einmal in der AWS-Umgebung von Safe{Wallet}, manipulierten sie den Prozess der Transaktionssignierung, um Ethereum im Wert von 1,5 Milliarden $ auf von ihnen kontrollierte Wallets umzuleiten.

Dieses Angriffsmuster — Social Engineering für den Erstzugang, seitliche Bewegung durch die Cloud-Infrastruktur und Manipulation von Signiermechanismen — spiegelt das Playbook von Advanced Persistent Threat (APT)-Gruppen wider, die traditionelle Finanzinstitute ins Visier nehmen. Der Unterschied besteht darin, dass die operative Sicherheit bei Krypto noch nicht mit der Bedrohung Schritt gehalten hat.

Das Programm geht über direktes Hacking hinaus. Akteure der Demokratischen Volksrepublik Korea (DPRK) schleusen IT-Mitarbeiter unter falscher Identität in Krypto-Unternehmen ein und verschaffen sich so privilegierten Zugang von innen heraus. Diese Insider kartieren interne Systeme, Sicherheitskontrollen und Key-Management-Praktiken — eine Aufklärung, die jene folgenschweren Kompromittierungen ermöglicht, die für Schlagzeilen sorgen.

Der $ 300 Millionen Januar: Die Dominanz von Phishing im Jahr 2026

Während 2025 den Wandel hin zum Angriff auf die Infrastruktur aufzeigte, bestätigte der Anfang des Jahres 2026 dies als die neue Normalität. Laut den Sicherheitsfirmen CertiK und PeckShield haben Phishing- und Social-Engineering-Angriffe allein im Januar 2026 über $ 300 Millionen von Krypto-Nutzern entwendet.

Ein einziger Angriff in Höhe von $ 284 Millionen durch eine Trezor-Imitierung machte 71 % der Verluste im Januar aus, was verdeutlicht, wie Social-Engineering-Kampagnen mit relativ geringem technischem Aufwand überproportionale Erträge erzielen können.

KI beschleunigt diesen Trend. Angreifer nutzen nun KI-generierte Deepfakes, maßgeschneiderte Phishing-Nachrichten und automatisierte Scam-Agenten, um Opfer in großem Stil anzugreifen. Gefälschte Einstellungstests für Entwickler – eine beliebte Technik der Lazarus Group – sind von legitimen Rekrutierungsprozessen fast nicht mehr zu unterscheiden.

Die Schlussfolgerung ist ernüchternd: Da Smart Contracts immer sicherer werden, verlagert sich die Angriffsfläche entscheidend auf die Menschen, die diese Verträge verwalten, bereitstellen und mit ihnen interagieren.

Das Audit-Paradoxon

Die Sicherheitsausgaben der Krypto-Industrie offenbaren eine gefährliche Fehlallokation. Milliarden fließen in Smart Contract Audits – und diese Audits haben die Codequalität nachweislich verbessert. Aber die Daten zeigen, dass die teuersten Angriffe keine Smart-Contract-Fehler mehr sind; es sind Fehler in der Schlüsselverwaltung (Key Management).

Betrachten Sie diese Statistik: Die Medianzeit zwischen dem Bestehen eines Audits durch ein DeFi-Protokoll und dessen Ausnutzung beträgt 47 Tage. Zwischen 2020 und 2025 wurden über $ 4,2 Milliarden aus Protokollen abgezogen, die Audits bestanden hatten. Die Audits waren nicht das Problem – sie haben den Code korrekt validiert. Das Problem war alles um den Code herum: wie Schlüssel gespeichert wurden, wie die Signaturberechtigung verteilt war, wie Cloud-Umgebungen konfiguriert waren und wie Mitarbeiter geschult wurden, um Social Engineering zu erkennen.

Die fortschrittlichsten Sicherheitsfirmen haben ihren Umfang entsprechend erweitert. Moderne Audit-Frameworks für 2026 umfassen nun die Überprüfung der Schlüsselverwaltung, Audits der Governance-Konfiguration, Analysen von Cross-Chain-Vertrauensgrenzen, die Einrichtung von Runtime-Monitoring und die Planung der Reaktion auf Vorfälle – eine dramatische Erweiterung gegenüber dem Code-Review- und statischen Analyseansatz, der den Bereich noch vor zwei Jahren prägte.

Von der Perimeter-Verteidigung zu Zero Trust

Die Krypto-Sicherheit durchläuft denselben architektonischen Wandel, den das traditionelle Finanzwesen im letzten Jahrzehnt vollzogen hat: von der Perimeter-Verteidigung zu Zero Trust.

Im Perimeter-Modell konzentriert sich die Sicherheit auf den Bau starker Mauern – strenge Smart Contract Audits, formale Verifizierung und Bug Bounties. Allem innerhalb des Perimeters wird implizit vertraut. Dieses Modell scheitert katastrophal, wenn ein Angreifer den Perimeter durch Social Engineering umgeht, wie der Bybit-Hack demonstrierte.

Die Zero-Trust-Architektur geht davon aus, dass jede Zugriffsanfrage bösartig sein könnte, unabhängig von ihrem Ursprung. Große DeFi-Protokolle wie Aave und Lido haben begonnen, Multi-Signature-Wallets und Zero-Trust-Frameworks zu integrieren, um Phishing und Kontoübernahmen zu bekämpfen.

Die praktischen Auswirkungen für Krypto-Organisationen umfassen:

  • Multi-Party Computation (MPC) für die Schlüsselverwaltung: Eliminierung von Single Points of Failure bei der Signaturberechtigung
  • Hardware-Sicherheitsmodule (HSMs): Isolierung kryptografischer Operationen von universellen Rechenumgebungen
  • Kontinuierliches Runtime-Monitoring: Erkennung anomaler Transaktionsmuster in Echtzeit, anstatt sich nur auf Audits nach der Bereitstellung zu verlassen
  • Sicherheitsbewusste Kultur: Schulung jedes Mitarbeiters – nicht nur der Ingenieure – um Social-Engineering-Versuche zu erkennen
  • Incident Response Playbooks: Vorbereitung auf Sicherheitsverletzungen als unvermeidlich, anstatt sie als unmöglich zu behandeln

Was dies für die über $ 100 Mrd. TVL von DeFi bedeutet

Mit über $ 100 Milliarden, die in DeFi-Protokollen gebunden sind, sind die Einsätze des Wandels hin zum Angriff auf die Infrastruktur existenziell. Staatliche Akteure wie die Lazarus Group aus Nordkorea behandeln die Blockchain-Infrastruktur mittlerweile als Geheimdienstziele, nicht nur als finanzielle. Gestohlener Quellcode und Infrastruktur-Blaupausen aus früheren Angriffen ermöglichen künftige, potenziell katastrophale Exploits.

Die Reaktion der Branche wird darüber entscheiden, ob DeFi institutionelle Kapitalzuflüsse aufrechterhalten kann. Institutionelle Investoren bewerten operationelle Risiken anders als Privatanwender. Ein Protokoll mit makellosem Smart-Contract-Code, aber schwachen Praktiken in der Schlüsselverwaltung stellt für einen erfahrenen Allokator ein inakzeptables Risikoprofil dar.

Die gute Nachricht ist, dass Lösungen existieren. Runtime-Monitoring, MPC-basiertes Signieren, Zero-Trust-Architektur und KI-gestützte Bedrohungserkennung sind allesamt ausgereifte Technologien. Die Herausforderung besteht in der Einführung – insbesondere bei Protokollen der mittleren Ebene und zentralisierten Einheiten, denen die Ressourcen der erstklassigen DeFi-Plattformen fehlen.

Der Weg nach vorn

Der Bericht von TRM Labs für 2026 zeichnet das Bild einer Klasse von Gegnern, die sich schneller entwickelt als die Verteidigung der Branche. Der Code wird besser. Die Infrastruktur drumherum hält nicht Schritt.

Drei Entwicklungen werden die Krypto-Sicherheit in den kommenden Jahren prägen:

  1. Regulatorischer Druck: Da Compliance-Rahmenwerke wie die MiCA der EU und der US GENIUS Act Standards für die Betriebssicherheit vorschreiben, werden Protokolle gezwungen sein, neben der Codequalität auch in die Härtung der Infrastruktur zu investieren.

  2. KI-gestützte Verteidigung: Dieselben KI-Fähigkeiten, die ausgeklügelte Phishing-Kampagnen ermöglichen, können Anomalieerkennung, Verhaltensanalyse und automatisierte Reaktionen auf Vorfälle unterstützen. Das Wettrüsten zwischen KI-gestütztem Angriff und Verteidigung wird das nächste Kapitel der Krypto-Sicherheit definieren.

  3. Versicherungs- und Risikomärkte: Mit zunehmender Reife von Krypto-Versicherungen werden Versicherer Praktiken der Betriebssicherheit in die Prämien einpreisen und so finanzielle Anreize für eine bessere Schlüsselverwaltung, Zugriffskontrollen und Reaktionsfähigkeiten auf Vorfälle schaffen.

Die zentrale Botschaft des TRM Labs-Berichts ist klar: Der Sicherheitsperimeter von Krypto hat sich erweitert. Codequalität ist notwendig, aber nicht ausreichend. Die nächste Generation der Krypto-Sicherheit muss nicht nur die Smart Contracts schützen, sondern den gesamten operativen Stack, der sie umgibt – von der Cloud-Infrastruktur bis zur menschlichen Psychologie.

Die Gegner sind bereits im Stack aufgestiegen. Es ist an der Zeit, dass die Verteidigungsmaßnahmen der Branche folgen.

Der Aufbau auf einer sicheren Blockchain-Infrastruktur ist wichtiger denn je. BlockEden.xyz bietet RPC- und API-Dienste für Unternehmen über mehr als 20 Chains hinweg mit integrierter Zuverlässigkeit und Überwachung – die Art von Infrastrukturfundament, die es Teams ermöglicht, sich auf das Bauen zu konzentrieren, anstatt sich um operationelle Risiken zu sorgen. Erkunden Sie unseren API-Marktplatz, um loszulegen.

Share on Twitter