Direkt zum Hauptinhalt

Hacken Q1 2026: 482 Mio. $ gestohlen und das Quartal, das die „Audit-First“-Religion von Krypto brach

· 13 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Eine Person verlor 282 Millionen $ in einem einzigen Telefonat. Kein Smart Contract wurde ausgenutzt. Keine Zeile Solidity wurde angerührt. Ein gefälschter IT-Support-Mitarbeiter führte einen Krypto-Besitzer durch einen „Wiederherstellungsprozess“ für eine Hardware-Wallet am 10. Januar 2026 und entkam mit mehr Bitcoin und Litecoin, als die meisten DeFi-Protokolle an Gesamtwert (Total Value Locked) halten. Dieser einzige Vorfall – größer als Drift, größer als Kelp DAO allein – macht mehr als die Hälfte jedes Dollars aus, den Web3 im ersten Quartal 2026 verloren hat.

Hackens Q1 2026 Blockchain Security & Compliance Report beziffert das gesamte Quartal auf 482,6 Millionen angestohlenenGeldernin44Vorfa¨llen.PhishingundSocialEngineeringalleinmachten306Millionenan gestohlenen Geldern in 44 Vorfällen. Phishing und Social Engineering allein machten 306 Millionen aus – 63,4 % des vierteljährlichen Schadens. Smart-Contract-Exploits trugen nur 86,2 Millionen bei.ZugriffskontrollfehlerkompromittierteKeys,CloudZugangsdaten,MultisigU¨bernahmenfu¨gtenweitere71,9Millionenbei. Zugriffskontrollfehler – kompromittierte Keys, Cloud-Zugangsdaten, Multisig-Übernahmen – fügten weitere 71,9 Millionen hinzu. Die Rechnung ist ernüchternd: Für jeden Dollar, der im letzten Quartal durch fehlerhaften Code gestohlen wurde, entwendeten Angreifer etwa dreieinhalb durch die Menschen, Prozesse und Zugangsdaten, die den Code umgeben.

Für eine Branche, die fünf Jahre lang „geprüft“ (audited) als Synonym für „sicher“ behandelt hat, sind die Zahlen des ersten Quartals ein Weckruf. Die Angriffsfläche hat sich verschoben. Die Ausgaben nicht.

Die Kategorie-Inversion, die niemand eingepreist hat

In den meisten Jahren von 2020 bis 2024 war der vierteljährliche Rhythmus der Krypto-Sicherheit vorhersehbar: Eine Bridge wird geleert, ein Lending-Protokoll wird einem Reentrancy-Angriff ausgesetzt, eine Audit-Firma veröffentlicht einen Post-Mortem-Bericht, die Governance stimmt über ein Bounty ab und Entwickler verschärfen die Reentrancy-Schutzmaßnahmen. Smart-Contract-Exploits dominierten Quartal für Quartal die Verlustspalte, weshalb die Branche ihren gesamten Verteidigungsapparat – Bug Bounties, Audit-Wettbewerbe, formale Verifizierung, Reviews vor dem Deployment – um den Code herum aufgebaut hat.

Q1 2026 hat das Diagramm invertiert. Vergleichen Sie die drei Kategorien, die Hacken verfolgt:

  • **Phishing / Social Engineering: 306 Mio. eineKategorie,angefu¨hrtvoneinemeinzigen282Mio.** – eine Kategorie, angeführt von einem einzigen 282-Mio.--Ereignis
  • Smart-Contract-Exploits: 86,2 Mio. $ in 28 Vorfällen
  • Zugriffskontrolle / Key-Kompromittierung: 71,9 Mio. $

Stellt man diese Zahlen den tatsächlichen Investitionen der Branche gegenüber, wird die Fehlbewertung offensichtlich. Audit-Budgets für ein DeFi-Protokoll mittlerer Komplexität liegen heute bei 60.000 bis 120.000 $ pro Auftrag, und Teams weisen zunehmend 15–20 % ihres jährlichen Entwicklungsbudgets für „Security-as-a-Service“-Angebote rund um Code-Reviews aus. In der Zwischenzeit kostete die Phishing-Kill-Chain, die Step Finance zu Fall brachte, die Angreifer lediglich einen Videoanruf und ein mit Malware versehenes „Investor-Deck“. Die Verteidigungsausgaben sind immer noch auf die Angriffsverteilung von gestern kalibriert.

Hacken bringt den Wandel auf den Punkt: „Anstatt Schwachstellen im On-Chain-Code ins Visier zu nehmen, nutzen Angreifer zunehmend Off-Chain-Schwachstellen aus, darunter das Nutzerverhalten, das Management von Zugangsdaten und Lücken in der operativen Sicherheit.“ Code wurde schwieriger zu knacken. Menschen nicht.

Sechs auditierte Protokolle, 37,7 Millionen $, und die Audit-Signal-Illusion

Die unangenehmste Erkenntnis des Berichts versteckt sich in einem einzigen Satz: Sechs auditierte Protokolle wurden im ersten Quartal 2026 ausgenutzt, was zusammen 37,7 Millionen $ an Verlusten ausmachte. Eines davon – Resolv – hatte 18 separate Audits durchlaufen. Ein anderes, Venus Protocol, hatte Reviews von fünf verschiedenen Firmen.

Die das Narrativ zerstörende Implikation ist, dass die Anzahl der Audits keine Sicherheitsergebnisse vorhersagt. Wenn überhaupt, korreliert sie am Ende negativ: Protokolle mit den umfangreichsten Audit-Historien neigen auch dazu, mehr TVL zu halten, mehr Wert zu bewegen und daher die entschlossensten Gegner anzuziehen. Man phisht kein Hobbyprojekt; man phisht das Protokoll, dessen Admin-Keys 290 Millionen $ freischalten.

Hackens eigene Partner-Umfrage – entwickelt zusammen mit 11 Börsen und Infrastruktur-Teams wie KuCoin, MEXC, WhiteBIT, Bybit, Centrifuge, Global Ledger, Allium, SVRN, M0, C4 und Gray Wolf – bestätigt dasselbe Muster. Audits bleiben notwendig. Sie sind nicht mehr ausreichend. Und sie haben nie die Angriffsfläche geprüft, über die das Geld im ersten Quartal tatsächlich abgeflossen ist.

Drei Vorfälle, die die ganze Geschichte erzählen

Der 282-Mio.-$-Hardware-Wallet-Betrug im Januar

Am 10. Januar verlor ein langfristiger Krypto-Halter 282 Millionen $ in Bitcoin und Litecoin, nachdem er laut ZachXBTs Rekonstruktion während eines gefälschten IT-Support-Anrufs die Wiederherstellungsdaten preisgegeben hatte. Kein Börsen-Hack. Kein Smart Contract. Kein Admin-Key. Ein Gespräch.

Was diesen Vorfall erfolgreich machte, ist auch das, was ihn verallgemeinerbar macht: Die UX von Hardware-Wallets leitet die Wiederherstellung immer noch über einen Prozess, der fast identisch aussieht, egal ob er legitim oder bösartig ist. Die Angreifer mussten nicht das Sicherheitselement auf einem Ledger-Gerät knacken – sie mussten das mentale Modell des Nutzers davon knacken, was „meine Wallet fordert mich zur Wiederherstellung auf“ bedeutet. Sobald diese Schwelle überschritten war, wurden 282 Mio. $ bewegt, ohne dass eine einzige kryptografische Primitive gebrochen wurde.

Step Finance: Der vorgetäuschte VC-Call

Am 31. Januar wurden etwa 40 Millionen US-Dollar aus der Treasury von Step Finance abgezogen, nachdem Angreifer Geräte von Führungskräften des Protokolls kompromittiert hatten. Der ursprüngliche Vektor war, laut Step Finances eigener Offenlegung, ein vorgetäuschter Call mit einem Risikokapitalgeber (Venture Capitalist) — die Art von Meeting, die ein Gründungsteam während einer Finanzierungsrunde zwanzigmal im Monat wahrnimmt. Malware, die über die „Pitch-Unterlagen“ eingeschleust wurde, verschaffte den Angreifern dauerhaften Zugriff auf die Laptops der Führungskräfte und von dort aus auf die Signierabläufe (Signing Flows), mit denen Treasury-Gelder bewegt wurden.

Dieses Muster — Social Engineering auf Geräten der Führungsebene, gefolgt von Lateral Movement in Treasury-Operationen — wurde mittlerweile so häufig dokumentiert, dass es wohl am besten als das standardmäßige, mit der DVRK (Nordkorea) verknüpfte Playbook für 2026 zu verstehen ist. Die Offenlegung von Bitrefill vom 1. März nennt nahezu identische Indikatoren: kompromittierter Mitarbeiter-Laptop, exfiltrierte veraltete Anmeldedaten, Überschneidungen im Modus Operandi mit früheren Aktivitäten von Lazarus / Bluenoroff.

Drift: Admin-Keys vor Durable Nonces

Der Drift-Protokoll-Exploit am 1. April entwendete 285 Millionen US-Dollar — mehr als die Hälfte des TVL des Protokolls — in einem Vorfall, den sowohl Chainalysis als auch Elliptic Akteuren mit Verbindungen zur DVRK zuschreiben. Der technische Hebel war clever: Die Durable Nonces von Solana ermöglichen es, Transaktionen im Voraus zu signieren und später auszuführen. Zwischen dem 23. und 30. März bereitete der Angreifer die Abhebungstransaktionen vor. Dann erlangten sie durch Social Engineering Signaturen von echten Mitgliedern des Drift Security Councils auf einem 2 / 5 Threshold-Multisig, das erst wenige Tage zuvor auf Null-Timelock umgestellt worden war.

Sobald die Signaturen vorlagen, war die Ausführung trivial: Ein wertloser Token (CVT) wurde als Sicherheit (Collateral) auf die Whitelist gesetzt, 500 Millionen Einheiten eingezahlt und 285 Millionen US-Dollar in echten Vermögenswerten abgehoben. Die ausgenutzte „Schwachstelle“ lag nicht im Code von Drift — der Code funktionierte genau wie vorgesehen. Sie lag in der Annahme, dass Multisig-Unterzeichner niemals etwas signieren würden, was sie nicht verstehen.

Drei Vorfälle, drei verschiedene Angriffsflächen, eine gemeinsame Ursache: Der Verteidigungsperimeter wies eine Lücke zwischen „dem Vertrag“ und „den Menschen, die den Vertrag kontrollieren“ auf, und jeder Angreifer, der sein Kopfgeld wert ist, weiß jetzt genau, wo diese Lücke liegt.

Wohin die Ausgaben fließen müssen

Wenn das erste Quartal 2026 eher den Beginn einer dauerhaften Verschiebung der Angriffsfläche darstellt als eine statistische Anomalie, sind die Auswirkungen auf die Sicherheitsbudgets struktureller und nicht nur kosmetischer Natur. Eine kurze, ehrliche Liste:

  • Phishing-resistente Authentifizierung als strikte Anforderung, nicht nur als „empfohlene Kontrolle“. Das bedeutet FIDO2 / WebAuthn / Passkeys für jedes operative Konto, das Keys berühren, Transaktionen genehmigen oder auf Cloud-Infrastruktur zugreifen kann. Das NIST betrachtet diese bereits als AAL2-Standard. Krypto sollte sie als Grundvoraussetzung für jeden in einem Multisig behandeln.
  • Neugestaltung der Hardware-Wallet-UX auf Herstellerebene. Der 282-Millionen-Dollar-Betrug funktionierte, weil sich der „vom legitimen Support eingeleitete Wiederherstellungsablauf“ und der „von einem Angreifer während eines Telefonats eingeleitete Wiederherstellungsablauf“ für den Benutzer identisch anfühlen. Gerätehersteller — Ledger, Trezor, SafePal und die Äquivalente für verwaltete Verwahrung — stehen jetzt an der vordersten Front des Anti-Phishing-Problems, nicht als passive Komponente darin.
  • Transaktionsvorschau, nicht nur Simulation. Protokolle wie Drift erhielten Signaturen von echten Menschen, die mit fast völliger Sicherheit nicht gelesen haben, was sie in maschineninterpretierbarer Form unterschrieben haben. Die nächste Generation von Signier-Tools (Rabby, Blockaid, Fordefi, Ledger Clear Signing), die die volle semantische Absicht pro Transaktion darstellen, ist kein UX-Luxus mehr; sie ist der Unterschied zwischen „wir haben es vor dem Signieren bemerkt“ und „wir haben danach auf Twitter darüber gelesen“.
  • Audits der operativen Sicherheit parallel zu Code-Audits. SOC 2 Typ II, Schutz vor SIM-Swapping, Incident-Response-Tabletops, Durchsetzung von Phishing-resistentem MFA, EDR auf Geräteebene für jeden Rechner, der einen Signiervorgang einleiten kann. Die Welt der institutionellen Verwahrung behandelt diese Punkte seit Jahren als Standard. Krypto-native Teams — insbesondere solche, die Protokolle mit bereits 18 Code-Audits betreiben — betrachten sie oft als optional.
  • Dedizierte Budgets für Sicherheitsschulungen. Die meisten Protokoll-Treasuries geben sechsstellige Beträge für das nächste externe Audit aus und null für Phishing-Simulationen für ihre eigenen Führungskräfte. Das erste Quartal 2026 ist das Quartal, in dem dieses Verhältnis nicht mehr vertretbar war.

None of this replaces code auditing. Smart-Contract-Exploits verursachten im ersten Quartal immer noch Schäden in Höhe von 86,2 Millionen US-Dollar, und diese Zahl stieg im Jahresvergleich um 213 %, selbst als sich der Fokus verschob. Aber die Branche führt nun einen Zweifrontenkrieg und budgetiert immer noch nur für eine.

Die Compliance-Ebene

Die Verschiebung der Angriffsfläche erfolgt im selben Moment, in dem die Regulierungsbehörden die operativen Anforderungen an Kryptofirmen verschärfen. MiCA und DORA traten in der EU in aktive Durchsetzungsphasen. Der GENIUS Act schuf den ersten US-Bundesrahmen für Zahlungs-Stablecoins. Dubai strukturierte seine föderale Krypto-Aufsicht um. Singapur begann mit der Durchsetzung von Basel-konformen Kapitalstandards für lizenzierte Anbieter.

Jedes dieser Regelwerke ist funktional eine Regulierung der operativen Sicherheit. DORA schreibt insbesondere Resilienztests, Vorfallsmeldungen und Risikokontrollen für Drittanbieter für Finanzunternehmen vor — Bestimmungen, die fast exakt die Fehlerkategorien abdecken, die im ersten Quartal zu Verlusten in Höhe von 378 Millionen US-Dollar geführt haben (306 Mio. durchPhishing+71,9Mio.durch Phishing + 71,9 Mio. durch Zugriffskontrollen). Die Compliance-Verpflichtung und die Verpflichtung zur Schadensverhütung laufen auf dieselbe Antwort hinaus: Beweisen Sie, dass Ihre Mitarbeiter und Ihre Infrastruktur ebenso gehärtet sind wie Ihr Code.

Für Börsen, Verwahrer und große DeFi-Protokolle ist „Audit-zertifiziert“ gegenüber europäischen oder US-amerikanischen Regulierungsbehörden keine vertretbare Haltung mehr. Was an deren Stelle tritt, ähnelt eher einem Full-Stack-Sicherheitsnachweis: Code-Audits + operative Kontrollen + Anti-Phishing-Architektur + benutzerseitige Authentifizierungsstandards + transparente Reaktion auf Vorfälle.

Was dies für Entwickler bedeutet

Für Teams, die im Jahr 2026 auf öffentlichen Chains aufbauen, ändern die Daten aus Q1 die Prioritätenliste:

  1. Gehen Sie davon aus, dass Ihre Admin-Keys das Ziel sind. Nicht Ihr Contract. Entwerfen Sie Multisig-Flows, Timelocks und Schulungen für Unterzeichner unter der Prämisse, dass ein raffinierter Gegner versuchen wird, legitime Signaturen von legitimen Personen über illegitime Wege zu erhalten.
  2. Behandeln Sie Ihre Cloud-Infrastruktur als Teil der Angriffsfläche. Der AWS-KMS-Kompromiss von Resolv und der kompromittierte Laptop von Bitrefill waren keine Einzelfälle. Jede Anmeldeinformation, die einen Signing-Key, eine Deployment-Pipeline oder einen Treasury-Autorisierungsflow erreichen kann, gehört unter eine phishing-resistente Authentifizierung mit Hardware-gebundenen Credentials.
  3. Planen Sie Budget für Verteidigungsmaßnahmen auf menschlicher Ebene ein. Phishing-Simulationen. Incident-Response-Übungen. EDR für Endgeräte von Führungskräften. Dedizierter SIM-Swap-Schutz für jeden mit öffentlich bekanntem Zugriff. Diese Posten waren 2024 optional. In der Welt nach Q1 2026 sind sie die tatsächlichen Kosten für den Betrieb eines Protokolls, das Gelder verwaltet.
  4. Erwarten Sie, dass Ihre Nutzer direkt ins Visier genommen werden. Der 282-Millionen-Dollar-Betrug beweist, dass Endnutzer-Phishing nun Ausmaße erreicht, die ganze Protokolle gefährden. Wallet-UX, Transaktionsklarheit, Härtung von Recovery-Flows und In-Produkt-Schulungen sind Teil des Sicherheitsprodukts, nicht des Wachstumsprodukts.

Die Protokolle, die sich an dieses Bedrohungsmodell anpassen, werden weniger wie DeFi-Teams der Ära 2023 mit einem Audit-PDF aussehen und mehr wie Fintechs von 2026 mit einem CISO, einem Compliance-Kalender und einem Risikoausschuss auf Vorstandsebene. Das klingt teuer, weil es teuer ist. Die vergleichbaren Kosten — der Verlust von 282 Millionen Dollar durch einen Telefonanruf — sind höher.

Das Fazit

Der Q1 2026-Bericht von Hacken ist keine „Sicherheit wird schlechter“-Geschichte. Die Qualität von Smart Contracts verbessert sich tatsächlich; der Anstieg der Exploit-Summen um 213 % im Jahresvergleich verschleiert die Tatsache, dass Verteidigungen auf Protokollebene mittlerweile echte Wirkung zeigen. Die Geschichte ist, dass Angreifer rationale Akteure sind und rationale Angreifer dorthin wandern, wo die am wenigsten geschützte produktive Fläche liegt. In der längsten Zeit der Krypto-Geschichte war diese Fläche der Code. Seit Q1 2026 sind es Menschen, Prozesse und privilegierte Infrastruktur.

Die Branche kann weiterhin 80 % ihres Sicherheitsbudgets für die 18 % der Verluste ausgeben, die durch Code entstehen — oder sie kann sich schnell auf die Welt umstellen, die der 282-Millionen-Dollar-Betrug im Januar tatsächlich beschrieben hat. Die wichtigste Zahl des Quartals ist nicht der Gesamtschaden von 482 Millionen Dollar. Es ist das Verhältnis: 306 Millionen Dollar Phishing gegenüber 86,2 Millionen Dollar Exploits. Diese Zahl ist eine Blaupause dafür, wohin die Verteidigungsgelder im Jahr 2026 gehören.

BlockEden.xyz betreibt Blockchain-API-Infrastruktur auf Enterprise-Niveau über mehr als 15 Chains hinweg, mit SOC 2- und ISO 27001-Kontrollen, die die operative Ebene abdecken — Key-Management, Signer-Workflows, Cloud-Credential-Hygiene —, die der Hacken-Q1-Bericht als die neue Frontlinie identifiziert. Erkunden Sie unseren API-Marktplatz, um auf einer Infrastruktur aufzubauen, die für das Bedrohungsmodell entwickelt wurde, dem Web3 im Jahr 2026 tatsächlich gegenübersteht.

Quellen

Share on Twitter