10 Beiträge getaggt mit „Cybersicherheit“

Ungefähr 6,26 Millionen Bitcoin – im Wert von 650 bis 750 Milliarden US-Dollar – liegen auf Adressen, die anfällig für Quantenangriffe sind. Während die meisten Experten darin übereinstimmen, dass kryptographisch relevante Quantencomputer noch Jahre entfernt sind, kann die Infrastruktur zum Schutz dieser Vermögenswerte nicht über Nacht aufgebaut werden. Ein Protokoll behauptet, bereits die Antwort zu haben, und die SEC stimmt dem zu.

Das Naoris-Protokoll wurde als erstes dezentrales Sicherheitsprotokoll in einem US-Regulierungsdokument zitiert, als das Post-Quantum Financial Infrastructure Framework (PQFIF) der SEC es als Referenzmodell für quantensichere Blockchain-Infrastruktur benannte. Mit einem Mainnet-Launch vor Ende des ersten Quartals 2026, 104 Millionen bereits im Testnet verarbeiteten Post-Quanten-Transaktionen und Partnerschaften mit NATO-nahen Institutionen stellt Naoris eine radikale Wette dar: Dass die nächste Grenze von DePIN nicht Rechenleistung oder Speicherplatz ist – sondern die Cybersicherheit selbst.

Ihre Cold Wallet ist nicht so sicher, wie Sie denken. Im Jahr 2025 machten Infrastrukturangriffe — die auf private Schlüssel, Wallet-Systeme und die Menschen, die sie verwalten, abzielen — 76 % aller gestohlenen Kryptowährungen aus, was sich in nur 45 Vorfällen auf insgesamt 2,2 Milliarden US-Dollar belief. Die Lazarus-Gruppe, die staatlich geförderte Hacker-Einheit Nordkoreas, hat ein Playbook perfektioniert, das die traditionelle Cold-Storage-Sicherheit fast bedeutungslos macht: monatelange Infiltrationskampagnen, die auf Menschen statt auf Code abzielen.

Als der Safe{Wallet}-Entwickler „Developer1“ am 4. Februar 2025 eine scheinbar routinemäßige Anfrage erhielt, ahnte er nicht, dass sein Apple MacBook zum Einstiegspunkt für den größten Kryptowährungs-Raub der Geschichte werden würde. Innerhalb von siebzehn Tagen nutzte die nordkoreanische Lazarus Group diesen einzigen kompromittierten Laptop aus, um 1,5 Milliarden $ von Bybit zu stehlen – mehr als das gesamte BIP einiger Nationen.

Dies war keine Anomalie. Es war der Höhepunkt einer jahrzehntelangen Entwicklung, die eine Gruppe staatlich geförderter Hacker in die weltweit raffiniertesten Kryptowährungs-Diebe verwandelte, die für kumulierte Diebstähle von mindestens 6,75 Milliarden $ verantwortlich sind.

Die Zahlen sind erschütternd: 3,4 Mrd. $ wurden 2025 von Kryptowährungsplattformen gestohlen, wobei ein einziger Nationalstaat für fast zwei Drittel der Beute verantwortlich ist. Die Lazarus-Gruppe aus Nordkorea hat nicht nur Rekorde gebrochen – sie hat das Regelwerk für staatlich gesponserte Cyberkriminalität neu geschrieben, indem sie weniger Angriffe ausführte und dabei exponentiell mehr Wert abschöpfte. Zu Beginn des Jahres 2026 sieht sich die Kryptowährungsbranche mit einer unangenehmen Wahrheit konfrontiert: Die Sicherheitsparadigmen der letzten fünf Jahre sind grundlegend gescheitert.

Der 3,4-Milliarden-Dollar-Weckruf​

Das Blockchain-Analyseunternehmen Chainalysis veröffentlichte im Dezember 2025 seinen jährlichen Bericht zur Krypto-Kriminalität und bestätigte damit die Befürchtungen von Branchenkennern. Der gesamte Diebstahl von Kryptowährungen erreichte 3,4 Mrd. $, wobei nordkoreanische Hacker 2,02 Mrd. $ für sich beanspruchten – ein Anstieg von 51 % gegenüber dem bereits rekordverdächtigen Wert von 1,34 Mrd. $ im Jahr 2024. Damit beläuft sich die Gesamtsumme der Krypto-Diebstähle der DVRK auf etwa 6,75 Mrd. $.

Was den Diebstahl im Jahr 2025 so beispiellos macht, ist nicht nur die Summe in Dollar. Es ist die Effizienz. Nordkoreanische Hacker erzielten diese Rekordbeute mit 74 % weniger bekannten Angriffen als in den Vorjahren. Die Lazarus-Gruppe hat sich von einem verstreuten Bedrohungsakteur zu einem Präzisionsinstrument der finanziellen Kriegsführung entwickelt.

TRM Labs und Chainalysis haben diese Zahlen unabhängig voneinander verifiziert, wobei TRM feststellte, dass die Krypto-Kriminalität „organisierter und professionalisierter“ als je zuvor geworden ist. Die Angriffe sind schneller, besser koordiniert und weitaus einfacher zu skalieren als in früheren Zyklen.

Der Bybit-Raub: Eine Meisterklasse in Supply-Chain-Angriffen​

Am 21. Februar 2025 erlebte die Kryptowelt den größten Einzeldiebstahl ihrer Geschichte. Hacker entwendeten etwa 401.000 ETH – zum damaligen Zeitpunkt 1,5 Mrd. $ wert – von Bybit, einer der weltweit größten Kryptowährungsbörsen.

Der Angriff war kein Brute-Force-Einbruch oder ein Smart-Contract-Exploit. Es war eine meisterhafte Kompromittierung der Lieferkette (Supply Chain). Die Lazarus-Gruppe – agierend unter dem Pseudonym „TraderTraitor“ (auch bekannt als Jade Sleet und Slow Pisces) – nahm einen Entwickler bei Safe{Wallet} ins Visier, dem beliebten Anbieter von Multi-Signatur-Wallets. Durch das Einschleusen von bösartigem Code in die Benutzeroberfläche des Wallets umgingen sie die herkömmlichen Sicherheitsebenen vollständig.

Innerhalb von 11 Tagen hatten die Hacker 100 % der gestohlenen Gelder gewaschen. Bybit-CEO Ben Zhou gab Anfang März bekannt, dass sie die Spur von fast 300 Mio. $ verloren hatten. Das FBI schrieb den Angriff am 26. Februar 2025 offiziell Nordkorea zu, doch zu diesem Zeitpunkt waren die Gelder bereits in Mixing-Protokollen und Bridge-Diensten verschwunden.

Allein der Bybit-Hack machte 74 % der nordkoreanischen Krypto-Diebstähle im Jahr 2025 aus und demonstrierte eine beängstigende Weiterentwicklung der Taktik. Wie das Sicherheitsunternehmen Hacken anmerkte, zeigte die Lazarus-Gruppe „klare Präferenzen für chinesischsprachige Geldwäsche-Dienste, Bridge-Dienste und Mixing-Protokolle mit einem 45-tägigen Geldwäschezyklus nach größeren Diebstählen“.

Das Lazarus-Playbook: Von Phishing bis hin zur tiefen Infiltration​

Die Cyber-Operationen Nordkoreas haben eine grundlegend Transformation durchlaufen. Die Zeiten einfacher Phishing-Angriffe und Hot-Wallet-Kompromittierungen sind vorbei. Die Lazarus-Gruppe hat eine mehrgleisige Strategie entwickelt, die eine Entdeckung nahezu unmöglich macht.

Die Wagemole-Strategie​

Die vielleicht heimtückischste Taktik ist das, was Forscher „Wagemole“ nennen – das Einschleusen verdeckter IT-Mitarbeiter in Kryptowährungsunternehmen weltweit. Unter falschen Identitäten oder über Briefkastenfirmen verschaffen sich diese Agenten legitimen Zugang zu Unternehmenssystemen, einschließlich Krypto-Firmen, Verwahrstellen und Web3-Plattformen.

Dieser Ansatz ermöglicht es Hackern, Perimeter-Verteidigungen vollständig zu umgehen. Sie brechen nicht ein – sie sind bereits drin.

KI-gestützte Ausbeutung​

Im Jahr 2025 begannen staatlich gesponserte Gruppen, künstliche Intelligenz einzusetzen, um jede Phase ihrer Operationen zu verstärken. KI scannt nun Tausende von Smart Contracts in Minuten, identifiziert ausnutzbaren Code und automatisiert Multi-Chain-Angriffe. Was früher Wochen manueller Analyse erforderte, dauert heute nur noch Stunden.

Die Analyse von Coinpedia ergab, dass nordkoreanische Hacker die Krypto-Kriminalität durch KI-Integration neu definiert haben, wodurch ihre Operationen skalierbarer und schwerer zu entdecken sind als je zuvor.

Identitätsdiebstahl von Führungskräften​

Die Verlagerung von rein technischen Exploits hin zu Angriffen auf den Faktor Mensch war ein prägender Trend des Jahres 2025. Sicherheitsfirmen stellten fest, dass „extreme Verluste überwiegend auf Fehler bei der Zugangskontrolle zurückzuführen waren, nicht auf neuartige On-Chain-Mathematik“. Hacker wechselten von manipulierten Frontends und Multisig-UI-Tricks zum Identitätsdiebstahl von Führungskräften und zum Diebstahl privater Schlüssel.

Jenseits von Bybit: Die Hacker-Landschaft 2025​

Während Bybit die Schlagzeilen dominierte, erstreckten sich die Operationen Nordkoreas weit über ein einzelnes Ziel hinaus:

• DMM Bitcoin (Japan): 305 Mio. $ gestohlen, was zur schließlichen Abwicklung der Börse beitrug
• WazirX (Indien): 235 Mio. $ von Indiens größter Kryptowährungsbörse abgezogen
• Upbit (Südkorea): 36 Mio. $ durch die Ausnutzung der Signatur-Infrastruktur Ende 2025 beschlagnahmt

Dies waren keine Einzelfälle – sie stellten eine koordinierte Kampagne dar, die auf zentralisierte Börsen, dezentralisierte Finanzplattformen (DeFi) und einzelne Wallet-Anbieter in mehreren Jurisdiktionen abzielte.

Unabhängige Zählungen identifizierten über 300 größere Sicherheitsvorfälle im Laufe des Jahres, was systemische Schwachstellen im gesamten Kryptowährungs-Ökosystem verdeutlicht.

Die Huione-Verbindung: Kambodschas 4-Milliarden-Dollar-Geldwäschemaschine​

Auf der Seite der Geldwäsche identifizierte das Financial Crimes Enforcement Network (FinCEN) des US-Finanzministeriums einen kritischen Knotenpunkt in den Operationen Nordkoreas: die in Kambodscha ansässige Huione Group.

FinCEN stellte fest, dass die Huione Group zwischen August 2021 und Januar 2025 mindestens 4 Milliarden $an illegalen Erlösen gewaschen hat. Das Blockchain-Unternehmen Elliptic schätzt, dass die tatsächliche Zahl eher bei 11 Milliarden$ liegen könnte.

Die Untersuchung des Finanzministeriums ergab, dass die Huione Group 37 Millionen $verarbeitete, die direkt mit der Lazarus Group in Verbindung standen, einschließlich 35 Millionen$ aus dem DMM-Bitcoin-Hack. Das Unternehmen arbeitete direkt mit dem Reconnaissance General Bureau von Nordkorea zusammen, Pjöngjangs primärem Auslandsnachrichtendienst.

Was Huione besonders gefährlich machte, war das völlige Fehlen von Compliance-Kontrollen. Keiner seiner drei Geschäftsbereiche – Huione Pay (Bankwesen), Huione Guarantee (Treuhand) und Huione Crypto (Börse) – hatte AML / KYC-Richtlinien veröffentlicht.

Die Verbindungen des Unternehmens zur herrschenden Hun-Familie in Kambodscha, einschließlich eines Cousins von Premierminister Hun Manet als Hauptaktionär, erschwerten die internationalen Durchsetzungsbemühungen, bis die USA im Mai 2025 dazu übergingen, den Zugang zum amerikanischen Finanzsystem zu kappen.

Die regulatorische Antwort: MiCA, PoR und darüber hinaus​

Das Ausmaß der Diebstähle im Jahr 2025 hat die regulatorischen Maßnahmen weltweit beschleunigt.

Europas MiCA Stufe 2​

Die Europäische Union hat „Stufe 2“ der Markets in Crypto-Assets (MiCA) Verordnung im Eilverfahren verabschiedet und schreibt nun vierteljährliche Audits von Drittanbieter-Softwareanbietern für jede in der Eurozone tätige Börse vor. Der Supply-Chain-Angriffsvektor des Bybit-Hacks war der Auslöser für diese spezifische Anforderung.

US-Proof-of-Reserves-Mandate​

In den Vereinigten Staaten hat sich der Fokus auf obligatorische Echtzeit-Anforderungen für den Proof-of-Reserves (PoR) verlagert. Die Theorie: Wenn Börsen ihre Vermögenswerte in Echtzeit on-chain nachweisen müssen, werden verdächtige Abflüsse sofort sichtbar.

Südkoreas Digital Financial Security Act​

Nach dem Upbit-Hack schlug die südkoreanische Finanzdienstleistungskommission im Dezember 2025 den „Digital Financial Security Act“ vor. Das Gesetz würde vorgeschriebene Cold-Storage-Quoten, routinemäßige Penetrationstests und eine verstärkte Überwachung verdächtiger Aktivitäten bei allen Kryptowährungsbörsen erzwingen.

Was die Verteidigung im Jahr 2026 benötigt​

Die Bybit-Sicherheitslücke erzwang eine grundlegende Änderung in der Art und Weise, wie zentralisierte Börsen Sicherheit verwalten. Branchenführer haben mehrere kritische Upgrades für 2026 identifiziert:

Migration zur Multi-Party Computation (MPC)​

Die meisten erstklassigen Plattformen sind von traditionellen Smart-Contract-Multi-Sigs auf die Multi-Party Computation-Technologie migriert. Im Gegensatz zum Safe{Wallet}-Setup, das 2025 ausgenutzt wurde, teilt MPC private Schlüssel in Shards auf, die niemals an einem einzigen Ort existieren, was UI-Spoofing und „Ice Phishing“-Techniken nahezu unmöglich macht.

Cold-Storage-Standards​

Renommierte Custodial-Exchanges implementieren jetzt Cold-Storage-Quoten von 90-95 %, und bewahren den Großteil der Nutzergelder offline in Hardware-Sicherheitsmodulen auf. Multi-Signatur-Wallets erfordern mehrere autorisierte Parteien, um große Transaktionen zu genehmigen.

Überprüfung der Lieferkette (Supply Chain Auditing)​

Die wichtigste Erkenntnis aus dem Jahr 2025 ist, dass sich die Sicherheit über die Blockchain hinaus auf den gesamten Software-Stack erstreckt. Börsen müssen ihre Anbieterbeziehungen mit der gleichen Strenge prüfen, die sie bei ihrem eigenen Code anwenden. Der Bybit-Hack war erfolgreich aufgrund kompromittierter Drittanbieter-Infrastruktur, nicht aufgrund von Schwachstellen der Börse selbst.

Verteidigung des Faktors Mensch​

Kontinuierliche Schulungen zu Phishing-Versuchen und sicheren Passwortpraktiken sind obligatorisch geworden, da menschliches Versagen eine Hauptursache für Sicherheitsverletzungen bleibt. Sicherheitsexperten empfehlen regelmäßige Red- und Blue-Team-Übungen, um Schwachstellen im Sicherheitsprozessmanagement zu identifizieren.

Quantenresistente Upgrades​

Mit Blick auf die Zukunft rücken Post-Quanten-Kryptographie (PQC) und quantengeschützte Hardware als kritische zukünftige Verteidigungsmaßnahmen in den Fokus. Die prognostizierte CAGR des Cold-Wallet-Marktes von 15,2 % zwischen 2026 und 2033 spiegelt das Vertrauen der Institutionen in die Entwicklung der Sicherheit wider.

Der Weg nach vorn​

Die abschließende Warnung von Chainalysis in ihrem Bericht für 2025 sollte in der gesamten Branche Nachhall finden: „Die rekordverdächtige Leistung des Landes im Jahr 2025 – erzielt mit 74 Prozent weniger bekannten Angriffen – deutet darauf hin, dass wir möglicherweise nur den sichtbarsten Teil seiner Aktivitäten sehen. Die Herausforderung für 2026 wird darin bestehen, diese hochwirksamen Operationen zu erkennen und zu verhindern, bevor mit der DVRK verbundene Akteure einen weiteren Vorfall vom Ausmaß von Bybit verursachen.“

Nordkorea hat bewiesen, dass staatlich gesponserte Hacker die Verteidigung der Industrie überholen können, wenn sie durch Sanktionsumgehung und Waffenfinanzierung motiviert sind. Die kumulierte Gesamtsumme von 6,75 Milliarden $ stellt nicht nur gestohlene Kryptowährungen dar – sie steht für Raketen, Nuklearprogramme und das Überleben des Regimes.

Für die Kryptowährungsbranche muss 2026 das Jahr der Sicherheitstransformation sein. Keine inkrementellen Verbesserungen, sondern eine grundlegende Neugestaltung der Art und Weise, wie Vermögenswerte gespeichert, abgerufen und übertragen werden. Die Lazarus Group hat gezeigt, dass die Best Practices von gestern die Schwachstellen von heute sind.

Es stand noch nie so viel auf dem Spiel.

---

Die Sicherung der Blockchain-Infrastruktur erfordert ständige Wachsamkeit und branchenführende Sicherheitspraktiken. BlockEden.xyz bietet Node-Infrastruktur auf Enterprise-Niveau mit einer mehrschichtigen Sicherheitsarchitektur und hilft Entwicklern und Unternehmen dabei, auf Fundamenten aufzubauen, die darauf ausgelegt sind, sich entwickelnden Bedrohungen standzuhalten.

Kryptowährungs-Geldwäsche ist im Jahr 2025 auf 82 Milliarden US-Dollar explodiert – eine achtfache Steigerung gegenüber den 10 Milliarden US-Dollar vor nur fünf Jahren. Aber die wahre Geschichte ist nicht die schwindelerregende Summe. Es ist die Industrialisierung der Finanzkriminalität selbst. Professionelle Geldwäschenetzwerke verarbeiten heute täglich 44 Millionen US-Dollar über hochentwickelte, auf Telegram basierende Marktplätze, Nordkorea hat Krypto-Diebstahl zur Finanzierung von Nuklearprogrammen instrumentalisiert, und die Infrastruktur, die globale Betrügereien ermöglicht, ist 7.325-mal schneller gewachsen als die legitime Krypto-Adoption. Die Ära der Amateur-Krypto-Kriminellen ist vorbei. Wir sind im Zeitalter der organisierten, professionalisierten Blockchain-Kriminalität angekommen.

Am Heiligabend 2025, während der Großteil der Krypto-Welt im Urlaub war, schleusten Angreifer ein bösartiges Update in die Chrome-Erweiterung von Trust Wallet ein. Innerhalb von 48 Stunden verschwanden 8,5 Millionen $ aus 2.520 Wallets. Die Seed-Phrasen von Tausenden von Nutzern waren unbemerkt abgeschöpft worden, getarnt als routinemäßige Telemetriedaten. Doch dies war kein isolierter Vorfall – es war der Höhepunkt eines Supply-Chain-Angriffs, der sich bereits seit Wochen durch das Krypto-Entwicklungs-Ökosystem verbreitet hatte.

Die Shai-Hulud-Kampagne, benannt nach den Sandwürmern aus Dune, stellt den aggressivsten npm-Supply-Chain-Angriff des Jahres 2025 dar. Sie kompromittierte über 700 npm-Pakete, infizierte 27.000 GitHub-Repositories und legte etwa 14.000 Entwickler-Secrets in 487 Organisationen offen. Der Gesamtschaden: über 58 Millionen $ an gestohlener Kryptowährung, was ihn zu einem der kostspieligsten Angriffe auf Entwickler in der Geschichte der Krypto-Branche macht.

Die Anatomie eines Supply-Chain-Wurms​

Im Gegensatz zu typischer Malware, bei der Nutzer bösartige Software herunterladen müssen, vergiften Supply-Chain-Angriffe die Tools, denen Entwickler bereits vertrauen. Die Shai-Hulud-Kampagne instrumentalisierte npm, den Paketmanager, der den Großteil der JavaScript-Entwicklung antreibt – einschließlich fast jeder Krypto-Wallet, jedes DeFi-Frontends und jeder Web3-Anwendung.

Der Angriff begann im September 2025 mit der ersten Welle, die zum Diebstahl von Kryptowährungen im Wert von etwa 50 Millionen $ führte. Doch erst "Das zweite Kommen" im November demonstrierte die wahre Raffinesse der Operation. Zwischen dem 21. und 23. November kompromittierten Angreifer die Entwicklungsinfrastruktur großer Projekte wie Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase und Postman.

Der Ausbreitungsmechanismus war elegant und erschreckend zugleich. Wenn Shai-Hulud ein legitimes npm-Paket infiziert, injiziert es zwei bösartige Dateien – setup_bun.js und bun_environment.js –, die durch ein Preinstall-Skript ausgelöst werden. Im Gegensatz zu herkömmlicher Malware, die erst nach der Installation aktiviert wird, wird diese Payload ausgeführt, bevor die Installation abgeschlossen ist, und sogar dann, wenn die Installation fehlschlägt. Bis Entwickler bemerken, dass etwas nicht stimmt, sind ihre Zugangsdaten bereits gestohlen.

Der Wurm identifiziert weitere Pakete, die von kompromittierten Entwicklern verwaltet werden, injiziert automatisch bösartigen Code und veröffentlicht neue kompromittierte Versionen in der npm-Registry. Diese automatisierte Verbreitung ermöglichte es der Malware, sich exponentiell ohne direktes Eingreifen der Angreifer auszubreiten.

Von Entwickler-Secrets zu Nutzer-Wallets​

Die Verbindung zwischen kompromittierten npm-Paketen und dem Trust-Wallet-Hack zeigt, wie Supply-Chain-Angriffe von Entwicklern auf Endnutzer kaskadieren.

Die Untersuchung von Trust Wallet ergab, dass deren GitHub-Secrets für Entwickler während des Shai-Hulud-Ausbruchs im November offengelegt wurden. Diese Exponierung gab den Angreifern Zugriff auf den Quellcode der Browser-Erweiterung und, was noch kritischer war, auf den API-Key für den Chrome Web Store. Mit diesen Zugangsdaten bewaffnet, umgingen die Angreifer den internen Release-Prozess von Trust Wallet vollständig.

Am 24. Dezember 2025 erschien die Version 2.68 der Trust Wallet Chrome-Erweiterung im Chrome Web Store – veröffentlicht von den Angreifern, nicht von den Trust Wallet-Entwicklern. Der bösartige Code war darauf ausgelegt, alle in der Erweiterung gespeicherten Wallets zu durchlaufen und für jede Wallet eine Abfrage der Mnemonic-Phrase auszulösen. Unabhängig davon, ob sich die Nutzer mit einem Passwort oder biometrischen Daten authentifizierten, wurden ihre Seed-Phrasen unbemerkt an von den Angreifern kontrollierte Server exfiltriert, getarnt als legitime Analysedaten.

Die gestohlenen Gelder teilten sich wie folgt auf: etwa 3 Millionen $in Bitcoin, über 3 Millionen$ in Ethereum sowie kleinere Beträge in Solana und anderen Token. Innerhalb weniger Tage begannen die Angreifer, Gelder über zentrale Börsen zu waschen – 3,3 Millionen $an ChangeNOW, 340.000$ an FixedFloat und 447.000 $ an KuCoin.

Der Dead Man's Switch​

Besonders beunruhigend ist der "Dead Man's Switch"-Mechanismus der Shai-Hulud-Malware. Wenn sich der Wurm nicht bei GitHub oder npm authentifizieren kann – falls seine Verbreitungs- und Exfiltrationskanäle gekappt werden –, löscht er alle Dateien im Home-Verzeichnis des Nutzers.

Diese destruktive Funktion dient mehreren Zwecken. Sie bestraft Erkennungsversuche, erzeugt Chaos, das die Spuren der Angreifer verwischt, und bietet ein Druckmittel, falls Verteidiger versuchen, die Command-and-Control-Infrastruktur abzuschneiden. Für Entwickler, die keine ordnungsgemäßen Backups erstellt haben, könnte ein fehlgeschlagener Bereinigungsversuch zusätzlich zum Diebstahl der Zugangsdaten zu einem katastrophalen Datenverlust führen.

Die Angreifer bewiesen auch psychologisches Geschick. Als Trust Wallet den Sicherheitsverstoß bekannt gab, starteten dieselben Angreifer eine Phishing-Kampagne, die die aufkommende Panik ausnutzte. Sie erstellten gefälschte Websites im Trust Wallet-Design, auf denen Nutzer aufgefordert wurden, ihre Recovery-Seed-Phrasen zur "Wallet-Verifizierung" einzugeben. Einige Opfer wurden so zweimal geschädigt.

Die Insider-Frage​

Binance-Mitbegründer Changpeng Zhao (CZ) deutete an, dass der Trust-Wallet-Exploit "höchstwahrscheinlich" von einem Insider oder jemandem mit vorherigem Zugriff auf Deployment-Berechtigungen durchgeführt wurde. Die eigene Analyse von Trust Wallet deutet darauf hin, dass Angreifer möglicherweise die Kontrolle über Entwicklergeräte erlangt oder Deployment-Berechtigungen vor dem 8. Dezember 2025 erhalten haben.

Sicherheitsforscher haben Muster festgestellt, die auf eine mögliche Beteiligung von Nationalstaaten hindeuten. Der Zeitpunkt – Heiligabend – folgt einem gängigen Playbook für Advanced Persistent Threats (APT): Angriffe während der Feiertage, wenn Sicherheitsteams unterbesetzt sind. Die technische Raffinesse und das Ausmaß der Shai-Hulud-Kampagne, kombiniert mit der schnellen Geldwäsche, lassen auf Ressourcen schließen, die über typische kriminelle Operationen hinausgehen.

Warum Browser-Erweiterungen besonders anfällig sind​

Der Vorfall bei Trust Wallet verdeutlicht eine grundlegende Schwachstelle im Krypto-Sicherheitsmodell. Browser-Erweiterungen operieren mit außergewöhnlichen Privilegien – sie können Webseiten lesen und modifizieren, auf lokalen Speicher zugreifen und im Falle von Krypto-Wallets die Schlüssel zu Vermögenswerten in Millionenhöhe halten.

Die Angriffsfläche ist gewaltig:

• Update-Mechanismen: Erweiterungen aktualisieren sich automatisch, und eine einzige kompromittierte Aktualisierung erreicht alle Benutzer.
• API-Schlüssel-Sicherheit: Wenn API-Schlüssel für den Chrome Web Store durchsickern, kann jeder Updates veröffentlichen.
• Vertrauensannahmen: Benutzer gehen davon aus, dass Updates aus offiziellen Stores sicher sind.
• Feiertags-Timing: Reduzierte Sicherheitsüberwachung während der Feiertage ermöglicht eine längere Verweildauer der Angreifer im System.

Dies ist nicht der erste Angriff über Browser-Erweiterungen auf Krypto-Nutzer. Frühere Vorfälle umfassen die GlassWorm-Kampagne gegen VS-Code-Erweiterungen und den Betrug mit der FoxyWallet-Firefox-Erweiterung. Der Trust-Wallet-Einbruch war jedoch der größte in finanzieller Hinsicht und demonstrierte, wie Supply-Chain-Kompromittierungen die Auswirkungen von Angriffen auf Erweiterungen verstärken.

Die Reaktion von Binance und der SAFU-Präzedenzfall​

Binance bestätigte, dass betroffene Trust-Wallet-Nutzer über seinen Secure Asset Fund for Users (SAFU) vollständig entschädigt würden. Dieser Fonds, der nach einem Börsen-Hack im Jahr 2018 eingerichtet wurde, hält einen Teil der Handelsgebühren in Reserve, um speziell Nutzerverluste aus Sicherheitsvorfällen abzudecken.

Die Entscheidung zur Rückerstattung setzt einen wichtigen Präzedenzfall – und wirft eine interessante Frage zur Verantwortungsverteilung auf. Trust Wallet wurde ohne direktes Verschulden der Nutzer kompromittiert, die lediglich ihre Wallets während des betroffenen Zeitfensters öffneten. Die Grundursache war jedoch ein Supply-Chain-Angriff, der die Infrastruktur der Entwickler kompromittierte, was wiederum durch umfassendere Schwachstellen im npm-Ökosystem ermöglicht wurde.

Die sofortige Reaktion von Trust Wallet umfasste das Deaktivieren aller Release-APIs, um neue Versionsveröffentlichungen für zwei Wochen zu blockieren, die Meldung der bösartigen Exfiltrations-Domain an den Registrar (was zu einer sofortigen Sperrung führte) und die Veröffentlichung einer sauberen Version 2.69. Den Nutzern wurde geraten, ihr Guthaben sofort auf neue Wallets zu übertragen, falls sie die Erweiterung zwischen dem 24. und 26. Dezember entsperrt hatten.

Lehren für das Krypto-Ökosystem​

Die Shai-Hulud-Kampagne deckt systemische Schwachstellen auf, die weit über Trust Wallet hinausgehen:

Für Entwickler​

Abhängigkeiten explizit festschreiben (Pinning). Die Ausnutzung von Preinstall-Skripten funktioniert, weil npm-Installationen beliebigen Code ausführen können. Das Festschreiben auf bekannte, saubere Versionen verhindert, dass automatische Updates kompromittierte Pakete einführen.

Geheimnisse als kompromittiert betrachten. Jedes Projekt, das zwischen dem 21. November und Dezember 2025 npm-Pakete heruntergeladen hat, sollte von einer Offenlegung der Zugangsdaten ausgehen. Dies bedeutet das Widerrufen und Neugenerieren von npm-Token, GitHub PATs, SSH-Schlüsseln und Cloud-Provider-Zugangsdaten.

Implementieren Sie ein ordnungsgemäßes Geheimnis-Management. API-Schlüssel für kritische Infrastrukturen wie die Veröffentlichung in App-Stores sollten niemals in der Versionskontrolle gespeichert werden, auch nicht in privaten Repositories. Nutzen Sie Hardware-Sicherheitsmodule oder dedizierte Geheimnis-Management-Dienste.

Einführung von Phishing-resistenter MFA. Die Standard-Zwei-Faktor-Authentifizierung kann von hochentwickelten Angreifern umgangen werden. Hardware-Keys wie YubiKeys bieten einen stärkeren Schutz für Entwickler- und CI/CD-Konten.

Für Nutzer​

Wallet-Infrastruktur diversifizieren. Bewahren Sie nicht alle Guthaben in Browser-Erweiterungen auf. Hardware-Wallets bieten eine Isolierung von Software-Schwachstellen – sie können Transaktionen signieren, ohne die Seed-Phrasen jemals potenziell kompromittierten Browsern auszusetzen.

Gehen Sie davon aus, dass Updates bösartig sein können. Das Auto-Update-Modell, das Software bequem macht, macht sie auch anfällig. Erwägen Sie, automatische Updates für sicherheitskritische Erweiterungen zu deaktivieren und neue Versionen manuell zu überprüfen.

Wallet-Aktivitäten überwachen. Dienste, die bei ungewöhnlichen Transaktionen alarmieren, können eine Frühwarnung bei Kompromittierungen bieten und potenziell Verluste begrenzen, bevor Angreifer ganze Wallets leeren.

Für die Branche​

Stärkung des npm-Ökosystems. Das npm-Register ist eine kritische Infrastruktur für die Web3-Entwicklung, dennoch fehlen ihm viele Sicherheitsfunktionen, die eine wurmartige Ausbreitung verhindern würden. Obligatorische Code-Signierung, reproduzierbare Builds und Anomalieerkennung für Paket-Updates könnten die Hürde für Angreifer erheblich erhöhen.

Überdenken der Sicherheit von Browser-Erweiterungen. Das aktuelle Modell – in dem Erweiterungen automatisch aktualisiert werden und umfassende Berechtigungen haben – ist grundlegend unvereinbar mit den Sicherheitsanforderungen für die Verwahrung erheblicher Vermögenswerte. Sandboxed-Ausführungsumgebungen, verzögerte Updates mit Benutzerprüfung und reduzierte Berechtigungen könnten helfen.

Koordinierung der Reaktion auf Vorfälle. Die Shai-Hulud-Kampagne betraf Hunderte von Projekten im gesamten Krypto-Ökosystem. Ein besserer Informationsaustausch und eine koordinierte Reaktion hätten den Schaden begrenzen können, sobald kompromittierte Pakete identifiziert wurden.

Die Zukunft der Supply-Chain-Sicherheit im Kryptobereich​

Die Kryptowährungsbranche hat ihre Sicherheitsbemühungen historisch auf Smart-Contract-Audits, Cold Storage von Börsen und Phishing-Schutz für Nutzer konzentriert. Die Shai-Hulud-Kampagne zeigt, dass die gefährlichsten Angriffe von kompromittierten Entwickler-Tools ausgehen können – einer Infrastruktur, mit der Krypto-Nutzer nie direkt interagieren, die aber jeder Anwendung zugrunde liegt, die sie nutzen.

Da Web3-Anwendungen immer komplexer werden, vergrößern sich ihre Abhängigkeitsgraphen. Jedes npm-Paket, jede GitHub-Action, jede CI/CD-Integration stellt einen potenziellen Angriffsvektor dar. Die Reaktion der Branche auf Shai-Hulud wird darüber entscheiden, ob dies ein einmaliger Weckruf bleibt oder der Beginn einer Ära von Supply-Chain-Angriffen auf die Krypto-Infrastruktur ist.

Bisher bleiben die Angreifer unbekannt. Ungefähr 2,8 Millionen US-Dollar an gestohlenen Trust-Wallet-Geldern befinden sich noch in den Wallets der Angreifer, während der Rest über zentralisierte Börsen und Cross-Chain-Bridges gewaschen wurde. Die früheren Diebstähle der breiteren Shai-Hulud-Kampagne in Höhe von über 50 Millionen US-Dollar sind größtenteils in den pseudonymen Tiefen der Blockchain verschwunden.

Der Sandwurm hat sich tief in die Fundamente von Krypto eingegraben. Ihn auszumerzen wird ein Umdenken bei Sicherheitsannahmen erfordern, die die Branche seit ihren Anfängen als selbstverständlich erachtet hat.

---

Der Aufbau sicherer Web3-Anwendungen erfordert eine robuste Infrastruktur. BlockEden.xyz bietet RPC-Nodes und APIs auf Enterprise-Niveau mit integrierter Überwachung und Anomalieerkennung, die Entwicklern helfen, ungewöhnliche Aktivitäten zu identifizieren, bevor sie die Nutzer beeinträchtigen. Erkunden Sie unseren API-Marktplatz, um auf sicherheitsorientierten Fundamenten aufzubauen.

Die Kompromittierung individueller Wallets stieg im Jahr 2025 sprunghaft auf 158.000 Vorfälle an, von denen 80.000 einzelne Opfer betroffen waren. Dies führte zu einem Diebstahl von 713 Millionen $ allein aus persönlichen Wallets. Dabei handelt es sich nicht um einen Börsen-Hack oder einen Protokoll-Exploit – das sind alltägliche Krypto-Nutzer, die ihre Ersparnisse an Angreifer verlieren, die sich weit über einfache Phishing-E-Mails hinaus entwickelt haben. Die Kompromittierung persönlicher Wallets macht mittlerweile 37 % des gesamten gestohlenen Krypto-Werts aus, gegenüber nur 7,3 % im Jahr 2022. Die Botschaft ist klar: Wenn Sie Krypto-Werte halten, sind Sie ein Ziel, und die Schutzstrategien von gestern reichen nicht mehr aus.

Allein im ersten Halbjahr 2025 entwendeten Angreifer über 2,3 Milliarden $aus Krypto-Protokollen – mehr als im gesamten Jahr 2024 zusammen. Schwachstellen in der Zugriffskontrolle machten allein 1,6 Milliarden$ dieses Schadens aus. Der Bybit-Hack im Februar 2025, ein Supply-Chain-Angriff in Höhe von 1,4 Milliarden $, zeigte, dass selbst die größten Börsen anfällig bleiben. Zu Beginn des Jahres 2026 steht die Smart-Contract-Audit-Branche vor ihrem kritischsten Moment: sich weiterentwickeln oder zusehen, wie weitere Milliarden in den Wallets der Angreifer verschwinden.

Am 21. Februar 2025 stahlen nordkoreanische Hacker 1,5 Milliarden US-Dollar in Kryptowährung von der in Dubai ansässigen Börse Bybit in etwa 30 Minuten. Es war nicht nur der größte Krypto-Raub der Geschichte – wäre Bybit eine Bank, würde dies als der größte Bankraub eingestuft werden, der jemals im Guinness-Buch der Rekorde verzeichnet wurde.

Der Angriff nutzte keinen Smart-Contract-Fehler aus und beruhte nicht auf dem Brute-Forcing eines privaten Schlüssels. Stattdessen kompromittierten Hacker den Laptop eines einzelnen Entwicklers bei einem Drittanbieter von Wallets, warteten geduldig wochenlang und schlugen zu, als Bybit-Mitarbeiter eine Transaktion genehmigten, die wie eine routinemäßige interne Überweisung aussah. Bis jemand bemerkte, dass etwas nicht stimmte, waren 500.000 ETH in einem Labyrinth von Wallets verschwunden, die von der nordkoreanischen Lazarus Group kontrolliert werden.

Dies ist die Geschichte darüber, wie es geschah, warum es wichtig ist und was es über den Stand der Krypto-Sicherheit im Jahr 2025 verrät.

Der Angriff: Ein Meisterstück an Geduld und Präzision​

Der Bybit-Hack war kein gewöhnlicher Blitzüberfall. Es war eine chirurgische Operation, die sich über Wochen hinweg entfaltete.

Phase 1: Die Kompromittierung des Entwicklers​

Am 4. Februar 2025 lud ein Entwickler bei Safe{Wallet} – einer weit verbreiteten Multi-Signatur-Wallet-Plattform, auf die Bybit zur Sicherung großer Überweisungen vertraute – ein scheinbar legitimes Docker-Projekt namens „MC-Based-Stock-Invest-Simulator-main“ herunter. Die Datei wurde wahrscheinlich über einen Social-Engineering-Angriff zugestellt, möglicherweise getarnt als Jobangebot oder Investment-Tool.

Der bösartige Docker-Container baute sofort eine Verbindung zu einem vom Angreifer kontrollierten Server auf. Von dort extrahierten die Hacker AWS-Sitzungstoken von der Workstation des Entwicklers – jene temporären Anmeldedaten, die Zugriff auf die Cloud-Infrastruktur von Safe{Wallet} gewähren.

Mit diesen Token umgingen die Angreifer die Multi-Faktor-Authentifizierung vollständig. Sie besaßen nun die Schlüssel zum Imperium von Safe{Wallet}.

Phase 2: Der schlafende Code​

Anstatt sofort zu handeln, schleusten die Angreifer subtilen JavaScript-Code in die Web-Oberfläche von Safe{Wallet} einschleusten. Dieser Code war speziell auf Bybit zugeschnitten – er blieb inaktiv, bis er erkannte, dass ein Bybit-Mitarbeiter sein Safe-Konto geöffnet hatte und im Begriff war, eine Transaktion zu autorisieren.

Die Raffinesse ist hier bemerkenswert. Die gesamte Safe{Wallet}-Anwendung funktionierte für jeden anderen Benutzer normal. Nur Bybit war das Ziel.

Phase 3: Der Raubzug​

Am 21. Februar 2025 leiteten Bybit-Mitarbeiter eine vermeintliche Routineüberweisung von einem Cold Wallet (sicherer Offline-Speicher) zu einem Warm Wallet (für den aktiven Handel) ein. Dies erforderte mehrere Signaturen von autorisiertem Personal – eine Standard-Sicherheitspraxis namens Multisig.

Als die Unterzeichner Safe{Wallet} öffneten, um die Transaktion zu genehmigen, zeigte die Benutzeroberfläche die scheinbar korrekte Zieladresse an. Doch der bösartige Code hatte bereits einen anderen Befehl untergeschoben. Die Mitarbeiter genehmigten unwissentlich eine Transaktion, die das gesamte Cold Wallet von Bybit leerte.

Innerhalb weniger Minuten flossen 500.000 ETH – im Wert von etwa 1,5 Milliarden US-Dollar – auf Adressen, die von den Angreifern kontrolliert wurden.

Der technische Exploit: Delegatecall​

Die entscheidende Schwachstelle war die delegatecall-Funktion von Ethereum, die es einem Smart Contract ermöglicht, den Code eines anderen Vertrages innerhalb seines eigenen Speicherkontexts auszuführen. Die Angreifer täuschten die Unterzeichner von Bybit dazu, die Vertragslogik ihrer Wallet in eine bösartige Version zu ändern, wodurch die Hacker faktisch die volle Kontrolle erhielten.

Dies war kein Fehler in Ethereum oder im Kernprotokoll von Safe{Wallet}. Es war ein Angriff auf die menschliche Ebene – jener Moment, in dem vertrauenswürdige Mitarbeiter Transaktionen verifizieren und genehmigen.

Nordkoreas Lazarus Group: Die profitabelsten Hacker der Welt​

Innerhalb von 24 Stunden nach dem Angriff übermittelte der Blockchain-Ermittler ZachXBT Beweise an Arkham Intelligence, die den Hack definitiv mit der nordkoreanischen Lazarus Group in Verbindung brachten. Das FBI bestätigte diese Zuschreibung am 26. Februar 2025.

Die Lazarus Group – auch bekannt als TraderTraitor und APT38 – untersteht dem nordkoreanischen Aufklärungs-Hauptbüro (Reconnaissance General Bureau). Es handelt sich nicht um eine kriminelle Bande, die Profit zur persönlichen Bereicherung sucht. Es ist eine staatlich gesponserte Operation, deren Erlöse Nordkoreas Atomwaffen- und ballistische Raketenprogramme finanzieren.

Die Zahlen sind erschreckend:

• Allein 2025: Nordkoreanische Hacker stahlen Kryptowährungen im Wert von 2,02 Milliarden US-Dollar
• Anteil von Bybit: 1,5 Milliarden US-Dollar (74 % der nordkoreanischen Beute des Jahres 2025 aus einem einzigen Angriff)
• Seit 2017: Nordkorea hat Krypto-Assets im Wert von über 6,75 Milliarden US-Dollar gestohlen
• 2025 vs. 2024: Ein Anstieg des gestohlenen Wertes um 51 % im Vergleich zum Vorjahr

Nordkorea war im Jahr 2025 für 59 % aller weltweit gestohlenen Kryptowährungen und für 76 % aller Börsenkompromittierungen verantwortlich. Kein anderer Bedrohungsakteur kommt dem auch nur nahe.

Die Industrialisierung des Krypto-Diebstahls​

Was Nordkorea unterscheidet, ist nicht nur das Ausmaß, sondern die Raffinesse ihrer Operation.

Social Engineering vor technischen Exploits​

Die Mehrheit der großen Hacks im Jahr 2025 wurde durch Social Engineering anstatt durch technische Schwachstellen verübt. Dies stellt eine grundlegende Verschiebung dar. Hacker suchen nicht mehr primär nach Smart-Contract-Fehlern oder kryptografischen Schwächen. Sie zielen auf Menschen ab.

Agenten der Lazarus Group haben sich als IT-Mitarbeiter in Krypto-Unternehmen eingeschleust. Sie gaben sich als Führungskräfte aus. Sie verschickten Jobangebote mit Malware an Entwickler. Der Bybit-Angriff begann damit, dass ein Entwickler einen gefälschten Aktiensimulator herunterlud – ein klassischer Social-Engineering-Vektor.

Der chinesische Waschsalon​

Krypto zu stehlen ist nur die halbe Herausforderung. Es in nutzbare Gelder umzuwandeln, ohne erwischt zu werden, ist ebenso komplex.

Anstatt direkt auszuzahlen, hat Nordkorea die Geldwäsche an das ausgelagert, was Ermittler den „chinesischen Waschsalon“ nennen – ein weitverzweigtes Netzwerk aus Untergrund-Bankern, OTC-Brokern und handelsbasierten Geldwäsche-Vermittlern. Diese Akteure waschen gestohlene Vermögenswerte über Ketten, Jurisdiktionen und Zahlungsschienen hinweg.

Bis zum 20. März 2025 – weniger als einen Monat nach dem Bybit-Hack – berichtete CEO Ben Zhou, dass Hacker bereits 86,29 % des gestohlenen ETH über mehrere Intermediär-Wallets, dezentrale Börsen und Cross-Chain-Bridges in Bitcoin umgewandelt hatten. Der 45-tägige Geldwäschezyklus nach großen Diebstählen ist zu einem vorhersehbaren Muster geworden.

Trotz dieser Bemühungen stellte Zhou fest, dass 88,87 % der gestohlenen Vermögenswerte rückverfolgbar blieben. Aber „rückverfolgbar“ bedeutet nicht „wiederherstellbar“. Die Gelder fließen durch Jurisdiktionen, die keine kooperative Beziehung zu US-amerikanischen oder internationalen Strafverfolgungsbehörden unterhalten.

Bybits Reaktion: Krisenmanagement unter Beschuss​

Innerhalb von 30 Minuten nach Entdeckung der Sicherheitslücke übernahm CEO Ben Zhou das Kommando und begann mit Echtzeit-Updates auf X (ehemals Twitter). Seine Nachricht war unverblümt: „Bybit ist solvent, auch wenn dieser Hack-Verlust nicht wiederhergestellt wird; alle Kundenvermögen sind 1 zu 1 gedeckt, wir können den Verlust auffangen.“

Die Börse bearbeitete innerhalb von 12 Stunden über 350.000 Auszahlungsanfragen – ein Signal an die Nutzer, dass der Betrieb trotz des katastrophalen Verlusts normal weiterlaufen würde.

Notfallfinanzierung​

Innerhalb von 72 Stunden hatte Bybit seine Reserven aufgefüllt, indem es 447.000 ETH durch Notfallfinanzierungen von Partnern wie Galaxy Digital, FalconX und Wintermute sicherte. Bitget lieh 40.000 ETH, um sicherzustellen, dass Auszahlungen ununterbrochen fortgesetzt werden konnten – ein Darlehen, das Bybit innerhalb von drei Tagen zurückzahlte.

Das Cybersicherheitsunternehmen Hacken führte ein Proof-of-Reserves-Audit durch, das bestätigte, dass die Hauptvermögenswerte von Bybit mit mehr als 100 % Sicherheiten hinterlegt waren. Die Transparenz war beispiellos für eine Krise dieser Größenordnung.

Das Kopfgeldprogramm​

Zhou erklärte Lazarus den „Krieg“ und startete ein globales Kopfgeldprogramm, das Belohnungen von bis zu 10 % für Informationen anbot, die zu eingefrorenen Vermögenswerten führten. Bis Ende des Jahres hatte Bybit 2,18 Millionen $ in USDT an Mitwirkende ausgezahlt, die bei der Rückverfolgung oder Wiedererlangung von Geldern halfen.

Das Urteil des Marktes​

Bis Ende 2025 hatte Bybit weltweit die Marke von 80 Millionen Nutzern überschritten, verzeichnete ein tägliches Handelsvolumen von 7,1 Milliarden $ und belegte den 5. Platz unter den Kryptowährungs-Spot-Börsen. Die Krisenreaktion war zu einer Fallstudie dafür geworden, wie man einen katastrophalen Hack überlebt.

2025: Das Jahr, in dem Kryptodiebstähle 3,4 Milliarden $ erreichten​

Der Bybit-Hack dominierte die Schlagzeilen, war jedoch Teil eines größeren Musters. Der Gesamtwert der Kryptodiebstähle erreichte im Jahr 2025 3,4 Milliarden $ – ein neuer Rekord und das dritte Jahr in Folge mit steigenden Zahlen.

Wichtige Statistiken:

• 2023: 2 Milliarden $ gestohlen
• 2024: 2,2 Milliarden $ gestohlen
• 2025: 3,4 Milliarden $ gestohlen

Der Anteil Nordkoreas wuchs von etwa der Hälfte auf fast 60 % aller Kryptodiebstähle. Die DVRK erzielte größere Diebstähle mit weniger Vorfällen, was eine zunehmende Effizienz und Professionalität demonstriert.

Erlernte Lektionen: Wo die Sicherheit versagte​

Der Bybit-Hack deckte kritische Schwachstellen auf, die weit über eine einzelne Börse hinausgehen.

Drittanbieterrisiko ist existenziell​

Bybit hatte kein direktes Sicherheitsversagen. Safe{Wallet} hatte eines. Aber Bybit trug die Konsequenzen.

Die Krypto-Industrie hat komplexe Abhängigkeitsketten aufgebaut, in denen Börsen auf Wallet-Anbieter angewiesen sind, Wallet-Anbieter auf Cloud-Infrastruktur und Cloud-Infrastruktur auf die Workstations einzelner Entwickler. Eine Kompromittierung an jeder Stelle dieser Kette kann katastrophale Kaskadeneffekte auslösen.

Cold Storage reicht nicht aus​

Die Branche hat Cold Wallets lange Zeit als Goldstandard der Sicherheit betrachtet. Aber die Gelder von Bybit befanden sich im Cold Storage, als sie gestohlen wurden. Die Schwachstelle lag im Prozess ihrer Bewegung – dem menschlichen Genehmigungsschritt, den Multisig eigentlich schützen sollte.

Wenn Überweisungen zur Routine werden, entwickeln Unterzeichner ein falsches Sicherheitsgefühl und behandeln Genehmigungen als Formalitäten statt als kritische Sicherheitsentscheidungen. Der Bybit-Angriff nutzte genau dieses Verhaltensmuster aus.

Die Benutzeroberfläche ist ein Single Point of Failure​

Multisig-Sicherheit setzt voraus, dass Unterzeichner verifizieren können, was sie genehmigen. Wenn jedoch die Benutzeroberfläche, die Transaktionsdetails anzeigt, kompromittiert ist, wird die Verifizierung bedeutungslos. Die Angreifer zeigten den Unterzeichnern das eine, während sie das andere ausführten.

Pre-Signing-Simulationen – die es Mitarbeitern ermöglichen, das tatsächliche Ziel einer Transaktion vor der Genehmigung in einer Vorschau zu sehen – hätten diesen Angriff verhindern können. Ebenso wie Verzögerungen bei großen Auszahlungen, um Zeit für zusätzliche Prüfungen zu gewinnen.

Social Engineering schlägt technische Sicherheit​

Man kann die ausgeklügeltste kryptografische Sicherheit der Welt haben, und ein einziger Mitarbeiter, der die falsche Datei herunterlädt, kann alles umgehen. Der Schwachpunkt in der Sicherheit von Kryptowährungen ist zunehmend menschlich, nicht technisch.

Regulatorische und industrielle Auswirkungen​

Der Bybit-Hack gestaltet bereits die regulatorische Landschaft neu.

Erwarten Sie verbindliche Anforderungen für:

• Hardware-Sicherheitsmodule (HSMs) für die Schlüsselverwaltung
• Echtzeit-Transaktionsüberwachung und Anomalieerkennung
• Regelmäßige Sicherheitsaudits durch Dritte
• Erweiterte AML-Rahmenwerke und Transaktionsverzögerungen für große Überweisungen

Sicherheit und Compliance werden zu Schwellenwerten für den Marktzugang. Projekte, die keine starke Schlüsselverwaltung, kein Berechtigungsdesign und keine glaubwürdigen Sicherheitsframeworks vorweisen können, werden von Bankpartnern und institutionellen Nutzern abgeschnitten sein.

Was das für die Branche bedeutet​

Der Bybit-Hack offenbart eine unangenehme Wahrheit: Das Sicherheitsmodell von Kryptowährungen ist nur so stark wie sein schwächstes betriebliches Glied.

Die Branche hat massiv in kryptografische Sicherheit investiert – Zero-Knowledge-Proofs, Threshold-Signaturen, Secure Enclaves. Doch die ausgefeilteste Kryptografie ist irrelevant, wenn ein Angreifer einen Menschen dazu verleiten kann, eine bösartige Transaktion zu genehmigen.

Für Börsen ist die Botschaft klar: Sicherheitsinnovationen müssen über die Technologie hinausgehen und betriebliche Prozesse, das Management von Drittanbieterrisiken sowie kontinuierliche Mitarbeiterschulungen umfassen. Regelmäßige Audits, der gemeinschaftliche Austausch von Bedrohungsinformationen und die Planung von Reaktionen auf Vorfälle sind nicht länger optional.

Für die Nutzer ist die Lektion ebenso deutlich: Selbst die größten Börsen mit der fortschrittlichsten Sicherheit können kompromittiert werden. Self-Custody, Hardware Wallets und die verteilte Speicherung von Vermögenswerten bleiben die sichersten langfristigen Strategien – auch wenn sie weniger komfortabel sind.

Fazit​

Die nordkoreanische Lazarus Group hat den Diebstahl von Kryptowährungen industrialisiert. Seit 2017 haben sie über 6,75 Milliarden $gestohlen, wobei 2025 ihr bisher erfolgreichstes Jahr markiert. Allein der Bybit-Hack – 1,5 Milliarden$ in einer einzigen Operation – demonstriert Fähigkeiten, die jeden Geheimdienst neidisch machen würden.

Die Kryptobranche befindet sich in einem Wettrüsten mit staatlich gesponserten Hackern, die unbegrenzte Geduld, hochentwickelte technische Fähigkeiten und keine Angst vor Konsequenzen haben. Der Bybit-Angriff war nicht aufgrund eines neuartigen Exploits erfolgreich, sondern weil die Angreifer verstanden haben, dass Menschen und nicht der Code das schwächste Glied sind.

Bis die Branche die betriebliche Sicherheit mit der gleichen Strenge behandelt wie die kryptografische Sicherheit, werden diese Angriffe anhalten. Die Frage ist nicht, ob ein weiterer Milliarden-Dollar-Hack stattfinden wird – sondern wann, und ob das Ziel so effektiv reagieren wird wie Bybit.

---

Dieser Artikel dient ausschließlich zu Bildungszwecken und sollte nicht als Finanzberatung betrachtet werden. Führen Sie immer Ihre eigenen Recherchen durch und legen Sie Wert auf Sicherheit, wenn Sie mit Kryptobörsen und Wallets interagieren.