Direkt zum Hauptinhalt

Operation Atlantic: How Coinbase, the Secret Service, and the NCA Froze $12M in Stolen Crypto in One Week

· 9 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Im Januar 2026 allein wurden Phishing-Angriffe mehr als $311 Millionen von Krypto-Nutzern gestohlen. Bis die meisten Opfer merkten, dass ihre Wallets kompromittiert wurden, waren die Mittel bereits durch Mixer und Cross-Chain-Brücken fließend. Jahrelang spielte die Strafverfolgung Nachholspiele — sie ermittelten Verbrechen Monate nach ihrem Auftreten und erholten sich nur Pfennige auf den Dollar.

Dann kam Operation Atlantic.

Gestartet am 16. März 2026 vom Londoner Hauptsitz der UK National Crime Agency brachte Operation Atlantic die US Secret Service, kanadische Strafverfolgungsbehörden, Blockchain-Analytics-Firmen Chainalysis und TRM Labs sowie die Krypto-Börsen Coinbase und Kraken für einen beispiellosen einwöchigen Sprint zusammen. Das Ergebnis: $12 Millionen gefroren, $45 Millionen an Betrug kartiert, 20.000 Opfer-Wallets über 30 Länder identifiziert und über 120 Betrugs-Domains gestört — alles innerhalb von sieben Tagen.

Dies war keine typische Ermittlung. Es war ein Proof of Concept, dass öffentlich-private Partnerschaften die Krypto-Sicherheit von reaktiver Forensik zu Echtzeitintervention verschieben können.

Was ist Approval Phishing — und warum ist es so gefährlich?

Im Gegensatz zu traditionellem Phishing, das Anmeldedaten stiehlt, nutzt Approval Phishing die Berechtigungsarchitektur aus, die in Smart Contracts selbst eingebaut ist. Opfer werden durch das angelockt, was wie legitime Investitionsmöglichkeiten, NFT-Mints oder DeFi-Yield-Plattformen aussieht. Sie signieren eine Transaktion, die Routine aussieht, aber dem Angreifer tatsächlich eine unbegrenzte Ausgabeberechtigung über ihre Wallet-Token gewährt.

Der Angreifer benötigt Ihren privaten Schlüssel nicht. Er hat bereits Ihre Berechtigung.

Was Approval Phishing besonders tückisch macht, ist die zeitliche Verzögerung. Angreifer warten oft Tage oder Wochen, bevor sie Wallets leeren, was es für Opfer fast unmöglich macht, das böswillige Genehmigung zum Diebstahl zu verbinden. Bis die Mittel verschwinden, könnten Opfer Dutzende legitimer Transaktionen signiert haben und die fraudulente Genehmigung tief in ihrer Transaktionshistorie begraben.

Laut Chainalysis' 2026 Crypto Crime Report bleiben Approval Phishing und Authorization Abuse die dominanten Angriffsvektoren im Krypto-Ökosystem. Die Technik skaliert effizient: Eine einzige Phishing-Kampagne kann Tausende böswilliger Genehmigungen generieren, und Angreifer können Wallets nach ihrem eigenen Zeitplan leeren.

Inside Operation Atlantic: Ein einwöchiger Sprint

Operation Atlantic war nicht Monate langsamer Ermittlung. Es wurde als konzentrierter operativer Sprint konzipiert, der Behörden und Privatsektor-Partner physisch am Londoner Sitz der NCA zusammenbrachte.

Die Teilnehmer umfassten:

  • Strafverfolgung: US Secret Service, UK National Crime Agency (NCA), kanadische Behörden
  • Blockchain-Analytics: Chainalysis und TRM Labs stellten Transaktionsverfolgung und Wallet-Clustering bereit
  • Krypto-Börsen: Coinbase's Global Intelligence Team und Kraken trugen Börsendaten, Wallet-Identifikation und Fund-Freezing-Fähigkeiten bei

Die Operation arbeitete in drei Phasen:

Phase 1 — Identifikation. Mit Blockchain-Analytics kartographierten Ermittler Approval-Phishing-Transaktionsmuster über mehrere Ketten hinweg. Sie identifizierten mehr als 20.000 Wallet-Adressen, die mit Betrugsopfern in über 30 Ländern verlinkt waren.

Phase 2 — Intervention. Anstatt Fälle für zukünftige Strafen zu bauen, priorisierte das Team den Echtzeit-Opferschutz. Über 3.000 Personen, die als aktiv gefährdet identifiziert wurden, wurden direkt kontaktiert — gewarnt, dass ihre Wallets kompromittiert wurden, und leiteten sie auf das Widerrufen böswilliger Genehmigungen, bevor Angreifer verbleibende Mittel leeren konnten.

Phase 3 — Einfrieren. Mit Börsen und Stablecoin-Ausstellern zusammenarbeitend wurden $12 Millionen in gestohlenen Mitteln an Ausstiegspunkten gefroren, wo Angreifer versucht hatten, auszuzahlen. Zusätzlich $33 Millionen an betrügerischen Flüssen wurden kartiert und für laufende Ermittlungen gekennzeichnet. Über 120 Web-Domains, die von Betrügern verwendet werden, wurden identifiziert und gestört.

Der Paradigmenwechsel: Von Post-Hack zu Pre-Drain

Die traditionelle Zeitleiste der Krypto-Kriminalermittlung sieht ungefähr so aus: Ein Hack tritt auf, Opfer melden Verluste Wochen später, Ermittler verbringen Monate damit, Mittel zu verfolgen, und bis zum Zeitpunkt, an dem Vermögenswerte eingefroren werden — falls es überhaupt geschieht — wurden die meisten durch Mixer, Brücken und Offshore-Börsen gewaschen.

Operation Atlantic komprimierte diese Zeitleiste von Monaten auf Tage. Die kritische Innovation war nicht irgendeine einzelne Technologie, sondern das operative Modell selbst: Co-Lokalisierung von Strafverfolgung und Privatsektor-Analysten im selben Raum mit Echtzugang zu sowohl Blockchain-Daten als auch Börsen-Systemen.

Dies ist wichtig, weil Blockchain-Transaktionen unwiderruflich sind, aber nicht augenblicklich auf der Cash-Out-Schicht. Angreifer müssen weiterhin gestohlene Kryptos über Börsen, OTC-Desks oder Stablecoin-Rückzahlungen in Fiat umwandeln. Dieser Ausstiegspunkt ist, wo Intervention möglich ist — aber nur, wenn Ermittler Mittel schneller verfolgen und einfrieren können als Angreifer sie bewegen können.

Coinbase's Erfolgsbilanz zeigt das Potenzial. Vor Operation Atlantic hatte Coinbase's Global Intelligence Team bereits der Secret Service dabei geholfen, $225 Millionen USDT von Schweine-Schlachterei-Betrügereien zu beschlagnahmen, unterstützte die Wiederherstellung von $28,6 Millionen aus einer Phishing-Kampagne, die über 1.000 Nutzer anstrebte, und half bei der Zerschlagung eines Bandenviolenzrings mit $3,5 Millionen in verfolgten gestohlenen Mitteln.

Der Umfang des Problems: Warum dies jetzt wichtig ist

Operation Atlantic's $12-Millionen-Einfrieren ist nicht für seine Größe bedeutsam — es ist ein Bruchteil der gesamten Krypto-Kriminalität — aber für das, was es über operative Geschwindigkeit beweist. Die Dringlichkeit wird durch den bloßen Umfang des Problems angetrieben:

  • $154 Milliarden an illegalen Kryptowährungsflüssen wurden 2025 aufgezeichnet, ein 162% Jahr-über-Jahr-Anstieg laut Chainalysis
  • $17 Milliarden wurden global durch Krypto-Betrügereien und Betrug 2025 gestohlen
  • $2 Milliarden wurden allein durch DPRK-verbundene Hacker 2025 gestohlen
  • AI-gesteuerte Betrügereien sind 4,5-mal profitabler als traditionelle Betrügereien, mit Imitationsbetrügereien um über 1.400% in 2025 ansteigend

Die Industrialisierung der Krypto-Kriminalität beschleunigt sich. Phishing-as-a-Service-Plattformen ermöglichen Angreifern mit niedrigen Fähigkeiten, ausgefeilte Approval-Phishing-Kampagnen einzusetzen. AI-generierte Deepfakes ermöglichen überzeugende Nachahmung von Börsen-Support-Agenten, Projekt-Gründern und sogar Regierungsbeamten. Und da die DeFi Total Value Locked wächst, erweitert sich die Angriffsfläche.

Vor diesem Hintergrund ist die Frage nicht, ob öffentlich-private Partnerschaften funktionieren — Operation Atlantic hat das beantwortet. Die Frage ist, ob sie skalieren können.

Kann das Modell skalieren? Herausforderungen voraus

Operation Atlantic war ein Erfolg, aber es war auch eine Ausnahme. Ein einwöchiger Sprint am NCA-Sitz mit dedizierten Teams aus mehreren Behörden und Unternehmen ist teuer und schwierig, kontinuierlich zu replizieren. Mehrere strukturelle Herausforderungen bleiben:

Jurisdiktionsfragmentierung. Krypto-Kriminalität ist von Natur aus über Grenzen hinweg, aber rechtliche Rahmen zum Einfrieren von Vermögenswerten, Austausch von Geheimdiensten und Verfolgung von Straftätern variieren dramatisch je nach Land. Operation Atlantic gelang teilweise, weil sie sich auf verbündete Nationen (USA, UK, Kanada) mit kompatiblen Rechtssystemen konzentrierte. Die Erweiterung auf Jurisdiktionen, die weniger kooperativ mit westlicher Strafverfolgung sind, ist viel schwieriger.

Geschwindigkeit vs. Datenschutz. Echtzeitintervention erfordert Echtzeitüberwachung von Blockchain-Transaktionen und Börsenkonten. Dies erzeugt Spannungen mit Datenschutzfürsprechern, die argumentieren, dass dieselben Fähigkeiten, die verwendet werden, um Opfer zu schützen, für Massen-Finanzüberwachung verwendet werden können. Die Tornado Cash-Strafverfolgung zeigte, wie dünn die Linie zwischen Anti-Geldwäsche-Durchsetzung und Kriminalisierung von Datenschutz-Tools sein kann.

Zentralisierungsrisiko. Coinbase's Intelligence-Fähigkeiten erzeugen einen Wettbewerbsvorteil — Institutionelle Kunden vertrauen der Börse, die aktiv gestohlene Mittel wiederhergestellt. Aber Kritiker bemerken, dass die Konzentration von Überwachungs-Fähigkeiten in einem privaten Unternehmen Fragen darüber aufwirft, wer die Wächter beobachtet. Wenn Coinbase Mittel verfolgen und einfrieren kann, was verhindert, dass diese Fähigkeiten missbraucht werden?

Angreifer-Anpassung. Ausgefeilte Angreifer bewegen sich bereits zu Datenschutz-Ketten, Cross-Chain-Brücken und dezentralisierten Börsen, die kein Compliance-Team anrufen können. Operation Atlantic gefrorene Mittel hauptsächlich an zentralisierten Ausstiegspunkten. Mit der Reifung der DeFi-Infrastruktur und Angreifer, die mehr dezentralisierte Off-Ramps finden, verengt sich das Interventionsfenster.

Das Blockchain-Forensik-Wettrüsten

Operation Atlantic ereignete sich nicht isoliert. Es sitzt innerhalb eines schnell wachsenden Blockchain-Forensik-Ökosystems:

  • Chainalysis hat über $130 Millionen an kumulativen Regierungsverträgen erhalten und hat kürzlich AI-gesteuerte Blockchain Intelligence Agents gestartet, die auf mehr als 10 Millionen Fälle trainiert wurden
  • TRM Labs bereitete seinen Co-Case Agent zur natürlichsprachigen Blockchain-Ermittlung ein und unterstützte direkt Operation Atlantic's analytische Arbeit
  • Coinbase hat sich kürzlich mit Microsoft zusammengetan, um Tycoon 2FA zu unterbrechen, eine Phishing-as-a-Service-Plattform, die Credential-Diebstahl auf globaler Ebene antreibt

Die Konvergenz von AI und Blockchain-Analytics beschleunigt Erkennungsfähigkeiten. Aber dieselben AI-Tools, die Ermittlern helfen, sind auch Angreifern verfügbar. Die Frage, ob die Verteidigung Schritt mit dem Angriff halten kann, bleibt offen.

Was klar ist, dass das alte Modell — warten auf einen Hack, Ermittlung für Monate, fast nichts wiederhergestellt — obsolet ist. Operation Atlantic zeigte, dass mit dem richtigen operativen Modell Intervention in Tagen statt Monaten geschehen kann. Die Herausforderung ist nun, das zur Norm statt zur Ausnahme zu machen.

Was Benutzer heute tun können

Während institutionelle Operationen wie Atlantic Opfer im großen Maßstab schützen, können einzelne Benutzer sofortige Schritte zum Schutz ergreifen:

  1. Überprüfen Sie Ihre Token-Genehmigungen regelmäßig. Tools wie Revoke.cash und Etherscan's Token Approval Checker lassen Sie alle aktiven Genehmigungen auf Ihrem Wallet sehen und widerrufen.
  2. Seien Sie skeptisch gegenüber jeder Transaktion, die Sie signieren sollen. Legitime Plattformen erfordern selten unbegrenzte Token-Genehmigungen. Wenn eine dApp eine Genehmigung für mehr Token anfordert, als Ihre Transaktion erfordert, das ist eine rote Flagge.
  3. Verwenden Sie Hardware-Wallets für bedeutende Bestände. Selbst wenn Sie eine böswillige Genehmigung signieren, macht die Nutzung von Vermögenswerten auf einem separaten Hardware-Wallet die Exposition begrenzt.
  4. Überwachen Sie Ihre Wallet-Aktivität. Richten Sie Warnungen über Dienste ein, die Sie von ausgehenden Transaktionen benachrichtigen, sodass Sie schnell reagieren können, wenn ein Angreifer eine ruhende Genehmigung aktiviert.

Ausblick: Die Zukunft der Krypto-Sicherheit

Operation Atlantic stellt einen Wendepunkt dar, wie die Krypto-Industrie Sicherheit angeht. Der Übergang von reaktiver Ermittlung zu proaktiver Intervention spiegelt wider, was im traditionellen Finanzkriminalitätsbekämpfung über die letzten zwei Jahrzehnte geschah — von Post-Breach-Forensik zu Echtzeit-Betrugserkenntnis-Systemen, die verdächtige Transaktionen kennzeichnen, bevor sie abgewickelt werden.

Für Krypto ist diese Entwicklung überfällig. Die Technologie zum Verfolgen von Blockchain-Transaktionen hat es jahrelang gegeben. Was fehlte, ist das operative Framework, um auf diese Geheimdienste schnell genug zu handeln, um wichtig zu sein. Operation Atlantic bewies, dass Framework kann funktionieren. Jetzt muss die Industrie — Börsen, Analytics-Firmen, Regulatoren und Strafverfolgung — entscheiden, ob sie es investieren möchte, um es dauerhaft zu machen.

Die $12 Millionen, die in einer Woche gefroren wurden, ist eine kleine Zahl im Verhältnis zu den $154 Milliarden an jährlichen illegalen Flüssen. Aber die 20.000 identifizierten Opfer und die 3.000 Menschen, die vor ihren Mitteln gewarnt wurden, bevor sie geleert konnten, repräsentieren etwas Wertvolleres als jede Dollarzahl: Beweis, dass das Krypto-Ökosystem seine Benutzer schützen kann, nicht nur im Nachhinein, sondern in Echtzeit.

BlockEden.xyz stellt Enterprise-Grade Blockchain API und Node-Infrastruktur für Entwickler bereit, die sichere, transparente Web3-Anwendungen bauen. Da Blockchain-Forensik und On-Chain-Sicherheit kritische Infrastruktur werden, bilden zuverlässiger Node-Zugang und Echtzeitdaten die Grundlage, die Operationen wie Atlantic möglich macht. Erkunden Sie unseren API-Marktplatz um auf Infrastruktur zu bauen, die für die nächste Ära der Blockchain-Sicherheit gestaltet ist.

Share on Twitter