5 Beiträge getaggt mit „Cybersicherheit“

Am Heiligabend 2025, während der Großteil der Krypto-Welt im Urlaub war, schleusten Angreifer ein bösartiges Update in die Chrome-Erweiterung von Trust Wallet ein. Innerhalb von 48 Stunden verschwanden 8,5 Millionen $ aus 2.520 Wallets. Die Seed-Phrasen von Tausenden von Nutzern waren unbemerkt abgeschöpft worden, getarnt als routinemäßige Telemetriedaten. Doch dies war kein isolierter Vorfall – es war der Höhepunkt eines Supply-Chain-Angriffs, der sich bereits seit Wochen durch das Krypto-Entwicklungs-Ökosystem verbreitet hatte.

Die Shai-Hulud-Kampagne, benannt nach den Sandwürmern aus Dune, stellt den aggressivsten npm-Supply-Chain-Angriff des Jahres 2025 dar. Sie kompromittierte über 700 npm-Pakete, infizierte 27.000 GitHub-Repositories und legte etwa 14.000 Entwickler-Secrets in 487 Organisationen offen. Der Gesamtschaden: über 58 Millionen $ an gestohlener Kryptowährung, was ihn zu einem der kostspieligsten Angriffe auf Entwickler in der Geschichte der Krypto-Branche macht.

Die Anatomie eines Supply-Chain-Wurms​

Im Gegensatz zu typischer Malware, bei der Nutzer bösartige Software herunterladen müssen, vergiften Supply-Chain-Angriffe die Tools, denen Entwickler bereits vertrauen. Die Shai-Hulud-Kampagne instrumentalisierte npm, den Paketmanager, der den Großteil der JavaScript-Entwicklung antreibt – einschließlich fast jeder Krypto-Wallet, jedes DeFi-Frontends und jeder Web3-Anwendung.

Der Angriff begann im September 2025 mit der ersten Welle, die zum Diebstahl von Kryptowährungen im Wert von etwa 50 Millionen $ führte. Doch erst "Das zweite Kommen" im November demonstrierte die wahre Raffinesse der Operation. Zwischen dem 21. und 23. November kompromittierten Angreifer die Entwicklungsinfrastruktur großer Projekte wie Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase und Postman.

Der Ausbreitungsmechanismus war elegant und erschreckend zugleich. Wenn Shai-Hulud ein legitimes npm-Paket infiziert, injiziert es zwei bösartige Dateien – setup_bun.js und bun_environment.js –, die durch ein Preinstall-Skript ausgelöst werden. Im Gegensatz zu herkömmlicher Malware, die erst nach der Installation aktiviert wird, wird diese Payload ausgeführt, bevor die Installation abgeschlossen ist, und sogar dann, wenn die Installation fehlschlägt. Bis Entwickler bemerken, dass etwas nicht stimmt, sind ihre Zugangsdaten bereits gestohlen.

Der Wurm identifiziert weitere Pakete, die von kompromittierten Entwicklern verwaltet werden, injiziert automatisch bösartigen Code und veröffentlicht neue kompromittierte Versionen in der npm-Registry. Diese automatisierte Verbreitung ermöglichte es der Malware, sich exponentiell ohne direktes Eingreifen der Angreifer auszubreiten.

Von Entwickler-Secrets zu Nutzer-Wallets​

Die Verbindung zwischen kompromittierten npm-Paketen und dem Trust-Wallet-Hack zeigt, wie Supply-Chain-Angriffe von Entwicklern auf Endnutzer kaskadieren.

Die Untersuchung von Trust Wallet ergab, dass deren GitHub-Secrets für Entwickler während des Shai-Hulud-Ausbruchs im November offengelegt wurden. Diese Exponierung gab den Angreifern Zugriff auf den Quellcode der Browser-Erweiterung und, was noch kritischer war, auf den API-Key für den Chrome Web Store. Mit diesen Zugangsdaten bewaffnet, umgingen die Angreifer den internen Release-Prozess von Trust Wallet vollständig.

Am 24. Dezember 2025 erschien die Version 2.68 der Trust Wallet Chrome-Erweiterung im Chrome Web Store – veröffentlicht von den Angreifern, nicht von den Trust Wallet-Entwicklern. Der bösartige Code war darauf ausgelegt, alle in der Erweiterung gespeicherten Wallets zu durchlaufen und für jede Wallet eine Abfrage der Mnemonic-Phrase auszulösen. Unabhängig davon, ob sich die Nutzer mit einem Passwort oder biometrischen Daten authentifizierten, wurden ihre Seed-Phrasen unbemerkt an von den Angreifern kontrollierte Server exfiltriert, getarnt als legitime Analysedaten.

Die gestohlenen Gelder teilten sich wie folgt auf: etwa 3 Millionen $in Bitcoin, über 3 Millionen$ in Ethereum sowie kleinere Beträge in Solana und anderen Token. Innerhalb weniger Tage begannen die Angreifer, Gelder über zentrale Börsen zu waschen – 3,3 Millionen $an ChangeNOW, 340.000$ an FixedFloat und 447.000 $ an KuCoin.

Der Dead Man's Switch​

Besonders beunruhigend ist der "Dead Man's Switch"-Mechanismus der Shai-Hulud-Malware. Wenn sich der Wurm nicht bei GitHub oder npm authentifizieren kann – falls seine Verbreitungs- und Exfiltrationskanäle gekappt werden –, löscht er alle Dateien im Home-Verzeichnis des Nutzers.

Diese destruktive Funktion dient mehreren Zwecken. Sie bestraft Erkennungsversuche, erzeugt Chaos, das die Spuren der Angreifer verwischt, und bietet ein Druckmittel, falls Verteidiger versuchen, die Command-and-Control-Infrastruktur abzuschneiden. Für Entwickler, die keine ordnungsgemäßen Backups erstellt haben, könnte ein fehlgeschlagener Bereinigungsversuch zusätzlich zum Diebstahl der Zugangsdaten zu einem katastrophalen Datenverlust führen.

Die Angreifer bewiesen auch psychologisches Geschick. Als Trust Wallet den Sicherheitsverstoß bekannt gab, starteten dieselben Angreifer eine Phishing-Kampagne, die die aufkommende Panik ausnutzte. Sie erstellten gefälschte Websites im Trust Wallet-Design, auf denen Nutzer aufgefordert wurden, ihre Recovery-Seed-Phrasen zur "Wallet-Verifizierung" einzugeben. Einige Opfer wurden so zweimal geschädigt.

Die Insider-Frage​

Binance-Mitbegründer Changpeng Zhao (CZ) deutete an, dass der Trust-Wallet-Exploit "höchstwahrscheinlich" von einem Insider oder jemandem mit vorherigem Zugriff auf Deployment-Berechtigungen durchgeführt wurde. Die eigene Analyse von Trust Wallet deutet darauf hin, dass Angreifer möglicherweise die Kontrolle über Entwicklergeräte erlangt oder Deployment-Berechtigungen vor dem 8. Dezember 2025 erhalten haben.

Sicherheitsforscher haben Muster festgestellt, die auf eine mögliche Beteiligung von Nationalstaaten hindeuten. Der Zeitpunkt – Heiligabend – folgt einem gängigen Playbook für Advanced Persistent Threats (APT): Angriffe während der Feiertage, wenn Sicherheitsteams unterbesetzt sind. Die technische Raffinesse und das Ausmaß der Shai-Hulud-Kampagne, kombiniert mit der schnellen Geldwäsche, lassen auf Ressourcen schließen, die über typische kriminelle Operationen hinausgehen.

Warum Browser-Erweiterungen besonders anfällig sind​

Der Vorfall bei Trust Wallet verdeutlicht eine grundlegende Schwachstelle im Krypto-Sicherheitsmodell. Browser-Erweiterungen operieren mit außergewöhnlichen Privilegien – sie können Webseiten lesen und modifizieren, auf lokalen Speicher zugreifen und im Falle von Krypto-Wallets die Schlüssel zu Vermögenswerten in Millionenhöhe halten.

Die Angriffsfläche ist gewaltig:

• Update-Mechanismen: Erweiterungen aktualisieren sich automatisch, und eine einzige kompromittierte Aktualisierung erreicht alle Benutzer.
• API-Schlüssel-Sicherheit: Wenn API-Schlüssel für den Chrome Web Store durchsickern, kann jeder Updates veröffentlichen.
• Vertrauensannahmen: Benutzer gehen davon aus, dass Updates aus offiziellen Stores sicher sind.
• Feiertags-Timing: Reduzierte Sicherheitsüberwachung während der Feiertage ermöglicht eine längere Verweildauer der Angreifer im System.

Dies ist nicht der erste Angriff über Browser-Erweiterungen auf Krypto-Nutzer. Frühere Vorfälle umfassen die GlassWorm-Kampagne gegen VS-Code-Erweiterungen und den Betrug mit der FoxyWallet-Firefox-Erweiterung. Der Trust-Wallet-Einbruch war jedoch der größte in finanzieller Hinsicht und demonstrierte, wie Supply-Chain-Kompromittierungen die Auswirkungen von Angriffen auf Erweiterungen verstärken.

Die Reaktion von Binance und der SAFU-Präzedenzfall​

Binance bestätigte, dass betroffene Trust-Wallet-Nutzer über seinen Secure Asset Fund for Users (SAFU) vollständig entschädigt würden. Dieser Fonds, der nach einem Börsen-Hack im Jahr 2018 eingerichtet wurde, hält einen Teil der Handelsgebühren in Reserve, um speziell Nutzerverluste aus Sicherheitsvorfällen abzudecken.

Die Entscheidung zur Rückerstattung setzt einen wichtigen Präzedenzfall – und wirft eine interessante Frage zur Verantwortungsverteilung auf. Trust Wallet wurde ohne direktes Verschulden der Nutzer kompromittiert, die lediglich ihre Wallets während des betroffenen Zeitfensters öffneten. Die Grundursache war jedoch ein Supply-Chain-Angriff, der die Infrastruktur der Entwickler kompromittierte, was wiederum durch umfassendere Schwachstellen im npm-Ökosystem ermöglicht wurde.

Die sofortige Reaktion von Trust Wallet umfasste das Deaktivieren aller Release-APIs, um neue Versionsveröffentlichungen für zwei Wochen zu blockieren, die Meldung der bösartigen Exfiltrations-Domain an den Registrar (was zu einer sofortigen Sperrung führte) und die Veröffentlichung einer sauberen Version 2.69. Den Nutzern wurde geraten, ihr Guthaben sofort auf neue Wallets zu übertragen, falls sie die Erweiterung zwischen dem 24. und 26. Dezember entsperrt hatten.

Lehren für das Krypto-Ökosystem​

Die Shai-Hulud-Kampagne deckt systemische Schwachstellen auf, die weit über Trust Wallet hinausgehen:

Für Entwickler​

Abhängigkeiten explizit festschreiben (Pinning). Die Ausnutzung von Preinstall-Skripten funktioniert, weil npm-Installationen beliebigen Code ausführen können. Das Festschreiben auf bekannte, saubere Versionen verhindert, dass automatische Updates kompromittierte Pakete einführen.

Geheimnisse als kompromittiert betrachten. Jedes Projekt, das zwischen dem 21. November und Dezember 2025 npm-Pakete heruntergeladen hat, sollte von einer Offenlegung der Zugangsdaten ausgehen. Dies bedeutet das Widerrufen und Neugenerieren von npm-Token, GitHub PATs, SSH-Schlüsseln und Cloud-Provider-Zugangsdaten.

Implementieren Sie ein ordnungsgemäßes Geheimnis-Management. API-Schlüssel für kritische Infrastrukturen wie die Veröffentlichung in App-Stores sollten niemals in der Versionskontrolle gespeichert werden, auch nicht in privaten Repositories. Nutzen Sie Hardware-Sicherheitsmodule oder dedizierte Geheimnis-Management-Dienste.

Einführung von Phishing-resistenter MFA. Die Standard-Zwei-Faktor-Authentifizierung kann von hochentwickelten Angreifern umgangen werden. Hardware-Keys wie YubiKeys bieten einen stärkeren Schutz für Entwickler- und CI/CD-Konten.

Für Nutzer​

Wallet-Infrastruktur diversifizieren. Bewahren Sie nicht alle Guthaben in Browser-Erweiterungen auf. Hardware-Wallets bieten eine Isolierung von Software-Schwachstellen – sie können Transaktionen signieren, ohne die Seed-Phrasen jemals potenziell kompromittierten Browsern auszusetzen.

Gehen Sie davon aus, dass Updates bösartig sein können. Das Auto-Update-Modell, das Software bequem macht, macht sie auch anfällig. Erwägen Sie, automatische Updates für sicherheitskritische Erweiterungen zu deaktivieren und neue Versionen manuell zu überprüfen.

Wallet-Aktivitäten überwachen. Dienste, die bei ungewöhnlichen Transaktionen alarmieren, können eine Frühwarnung bei Kompromittierungen bieten und potenziell Verluste begrenzen, bevor Angreifer ganze Wallets leeren.

Für die Branche​

Stärkung des npm-Ökosystems. Das npm-Register ist eine kritische Infrastruktur für die Web3-Entwicklung, dennoch fehlen ihm viele Sicherheitsfunktionen, die eine wurmartige Ausbreitung verhindern würden. Obligatorische Code-Signierung, reproduzierbare Builds und Anomalieerkennung für Paket-Updates könnten die Hürde für Angreifer erheblich erhöhen.

Überdenken der Sicherheit von Browser-Erweiterungen. Das aktuelle Modell – in dem Erweiterungen automatisch aktualisiert werden und umfassende Berechtigungen haben – ist grundlegend unvereinbar mit den Sicherheitsanforderungen für die Verwahrung erheblicher Vermögenswerte. Sandboxed-Ausführungsumgebungen, verzögerte Updates mit Benutzerprüfung und reduzierte Berechtigungen könnten helfen.

Koordinierung der Reaktion auf Vorfälle. Die Shai-Hulud-Kampagne betraf Hunderte von Projekten im gesamten Krypto-Ökosystem. Ein besserer Informationsaustausch und eine koordinierte Reaktion hätten den Schaden begrenzen können, sobald kompromittierte Pakete identifiziert wurden.

Die Zukunft der Supply-Chain-Sicherheit im Kryptobereich​

Die Kryptowährungsbranche hat ihre Sicherheitsbemühungen historisch auf Smart-Contract-Audits, Cold Storage von Börsen und Phishing-Schutz für Nutzer konzentriert. Die Shai-Hulud-Kampagne zeigt, dass die gefährlichsten Angriffe von kompromittierten Entwickler-Tools ausgehen können – einer Infrastruktur, mit der Krypto-Nutzer nie direkt interagieren, die aber jeder Anwendung zugrunde liegt, die sie nutzen.

Da Web3-Anwendungen immer komplexer werden, vergrößern sich ihre Abhängigkeitsgraphen. Jedes npm-Paket, jede GitHub-Action, jede CI/CD-Integration stellt einen potenziellen Angriffsvektor dar. Die Reaktion der Branche auf Shai-Hulud wird darüber entscheiden, ob dies ein einmaliger Weckruf bleibt oder der Beginn einer Ära von Supply-Chain-Angriffen auf die Krypto-Infrastruktur ist.

Bisher bleiben die Angreifer unbekannt. Ungefähr 2,8 Millionen US-Dollar an gestohlenen Trust-Wallet-Geldern befinden sich noch in den Wallets der Angreifer, während der Rest über zentralisierte Börsen und Cross-Chain-Bridges gewaschen wurde. Die früheren Diebstähle der breiteren Shai-Hulud-Kampagne in Höhe von über 50 Millionen US-Dollar sind größtenteils in den pseudonymen Tiefen der Blockchain verschwunden.

Der Sandwurm hat sich tief in die Fundamente von Krypto eingegraben. Ihn auszumerzen wird ein Umdenken bei Sicherheitsannahmen erfordern, die die Branche seit ihren Anfängen als selbstverständlich erachtet hat.

---

Der Aufbau sicherer Web3-Anwendungen erfordert eine robuste Infrastruktur. BlockEden.xyz bietet RPC-Nodes und APIs auf Enterprise-Niveau mit integrierter Überwachung und Anomalieerkennung, die Entwicklern helfen, ungewöhnliche Aktivitäten zu identifizieren, bevor sie die Nutzer beeinträchtigen. Erkunden Sie unseren API-Marktplatz, um auf sicherheitsorientierten Fundamenten aufzubauen.

Die Kompromittierung individueller Wallets stieg im Jahr 2025 sprunghaft auf 158.000 Vorfälle an, von denen 80.000 einzelne Opfer betroffen waren. Dies führte zu einem Diebstahl von 713 Millionen $ allein aus persönlichen Wallets. Dabei handelt es sich nicht um einen Börsen-Hack oder einen Protokoll-Exploit – das sind alltägliche Krypto-Nutzer, die ihre Ersparnisse an Angreifer verlieren, die sich weit über einfache Phishing-E-Mails hinaus entwickelt haben. Die Kompromittierung persönlicher Wallets macht mittlerweile 37 % des gesamten gestohlenen Krypto-Werts aus, gegenüber nur 7,3 % im Jahr 2022. Die Botschaft ist klar: Wenn Sie Krypto-Werte halten, sind Sie ein Ziel, und die Schutzstrategien von gestern reichen nicht mehr aus.

Allein im ersten Halbjahr 2025 entwendeten Angreifer über 2,3 Milliarden $aus Krypto-Protokollen – mehr als im gesamten Jahr 2024 zusammen. Schwachstellen in der Zugriffskontrolle machten allein 1,6 Milliarden$ dieses Schadens aus. Der Bybit-Hack im Februar 2025, ein Supply-Chain-Angriff in Höhe von 1,4 Milliarden $, zeigte, dass selbst die größten Börsen anfällig bleiben. Zu Beginn des Jahres 2026 steht die Smart-Contract-Audit-Branche vor ihrem kritischsten Moment: sich weiterentwickeln oder zusehen, wie weitere Milliarden in den Wallets der Angreifer verschwinden.

Am 21. Februar 2025 stahlen nordkoreanische Hacker 1,5 Milliarden US-Dollar in Kryptowährung von der in Dubai ansässigen Börse Bybit in etwa 30 Minuten. Es war nicht nur der größte Krypto-Raub der Geschichte – wäre Bybit eine Bank, würde dies als der größte Bankraub eingestuft werden, der jemals im Guinness-Buch der Rekorde verzeichnet wurde.

Der Angriff nutzte keinen Smart-Contract-Fehler aus und beruhte nicht auf dem Brute-Forcing eines privaten Schlüssels. Stattdessen kompromittierten Hacker den Laptop eines einzelnen Entwicklers bei einem Drittanbieter von Wallets, warteten geduldig wochenlang und schlugen zu, als Bybit-Mitarbeiter eine Transaktion genehmigten, die wie eine routinemäßige interne Überweisung aussah. Bis jemand bemerkte, dass etwas nicht stimmte, waren 500.000 ETH in einem Labyrinth von Wallets verschwunden, die von der nordkoreanischen Lazarus Group kontrolliert werden.

Dies ist die Geschichte darüber, wie es geschah, warum es wichtig ist und was es über den Stand der Krypto-Sicherheit im Jahr 2025 verrät.

Der Angriff: Ein Meisterstück an Geduld und Präzision​

Der Bybit-Hack war kein gewöhnlicher Blitzüberfall. Es war eine chirurgische Operation, die sich über Wochen hinweg entfaltete.

Phase 1: Die Kompromittierung des Entwicklers​

Am 4. Februar 2025 lud ein Entwickler bei Safe{Wallet} – einer weit verbreiteten Multi-Signatur-Wallet-Plattform, auf die Bybit zur Sicherung großer Überweisungen vertraute – ein scheinbar legitimes Docker-Projekt namens „MC-Based-Stock-Invest-Simulator-main“ herunter. Die Datei wurde wahrscheinlich über einen Social-Engineering-Angriff zugestellt, möglicherweise getarnt als Jobangebot oder Investment-Tool.

Der bösartige Docker-Container baute sofort eine Verbindung zu einem vom Angreifer kontrollierten Server auf. Von dort extrahierten die Hacker AWS-Sitzungstoken von der Workstation des Entwicklers – jene temporären Anmeldedaten, die Zugriff auf die Cloud-Infrastruktur von Safe{Wallet} gewähren.

Mit diesen Token umgingen die Angreifer die Multi-Faktor-Authentifizierung vollständig. Sie besaßen nun die Schlüssel zum Imperium von Safe{Wallet}.

Phase 2: Der schlafende Code​

Anstatt sofort zu handeln, schleusten die Angreifer subtilen JavaScript-Code in die Web-Oberfläche von Safe{Wallet} einschleusten. Dieser Code war speziell auf Bybit zugeschnitten – er blieb inaktiv, bis er erkannte, dass ein Bybit-Mitarbeiter sein Safe-Konto geöffnet hatte und im Begriff war, eine Transaktion zu autorisieren.

Die Raffinesse ist hier bemerkenswert. Die gesamte Safe{Wallet}-Anwendung funktionierte für jeden anderen Benutzer normal. Nur Bybit war das Ziel.

Phase 3: Der Raubzug​

Am 21. Februar 2025 leiteten Bybit-Mitarbeiter eine vermeintliche Routineüberweisung von einem Cold Wallet (sicherer Offline-Speicher) zu einem Warm Wallet (für den aktiven Handel) ein. Dies erforderte mehrere Signaturen von autorisiertem Personal – eine Standard-Sicherheitspraxis namens Multisig.

Als die Unterzeichner Safe{Wallet} öffneten, um die Transaktion zu genehmigen, zeigte die Benutzeroberfläche die scheinbar korrekte Zieladresse an. Doch der bösartige Code hatte bereits einen anderen Befehl untergeschoben. Die Mitarbeiter genehmigten unwissentlich eine Transaktion, die das gesamte Cold Wallet von Bybit leerte.

Innerhalb weniger Minuten flossen 500.000 ETH – im Wert von etwa 1,5 Milliarden US-Dollar – auf Adressen, die von den Angreifern kontrolliert wurden.

Der technische Exploit: Delegatecall​

Die entscheidende Schwachstelle war die delegatecall-Funktion von Ethereum, die es einem Smart Contract ermöglicht, den Code eines anderen Vertrages innerhalb seines eigenen Speicherkontexts auszuführen. Die Angreifer täuschten die Unterzeichner von Bybit dazu, die Vertragslogik ihrer Wallet in eine bösartige Version zu ändern, wodurch die Hacker faktisch die volle Kontrolle erhielten.

Dies war kein Fehler in Ethereum oder im Kernprotokoll von Safe{Wallet}. Es war ein Angriff auf die menschliche Ebene – jener Moment, in dem vertrauenswürdige Mitarbeiter Transaktionen verifizieren und genehmigen.

Nordkoreas Lazarus Group: Die profitabelsten Hacker der Welt​

Innerhalb von 24 Stunden nach dem Angriff übermittelte der Blockchain-Ermittler ZachXBT Beweise an Arkham Intelligence, die den Hack definitiv mit der nordkoreanischen Lazarus Group in Verbindung brachten. Das FBI bestätigte diese Zuschreibung am 26. Februar 2025.

Die Lazarus Group – auch bekannt als TraderTraitor und APT38 – untersteht dem nordkoreanischen Aufklärungs-Hauptbüro (Reconnaissance General Bureau). Es handelt sich nicht um eine kriminelle Bande, die Profit zur persönlichen Bereicherung sucht. Es ist eine staatlich gesponserte Operation, deren Erlöse Nordkoreas Atomwaffen- und ballistische Raketenprogramme finanzieren.

Die Zahlen sind erschreckend:

• Allein 2025: Nordkoreanische Hacker stahlen Kryptowährungen im Wert von 2,02 Milliarden US-Dollar
• Anteil von Bybit: 1,5 Milliarden US-Dollar (74 % der nordkoreanischen Beute des Jahres 2025 aus einem einzigen Angriff)
• Seit 2017: Nordkorea hat Krypto-Assets im Wert von über 6,75 Milliarden US-Dollar gestohlen
• 2025 vs. 2024: Ein Anstieg des gestohlenen Wertes um 51 % im Vergleich zum Vorjahr

Nordkorea war im Jahr 2025 für 59 % aller weltweit gestohlenen Kryptowährungen und für 76 % aller Börsenkompromittierungen verantwortlich. Kein anderer Bedrohungsakteur kommt dem auch nur nahe.

Die Industrialisierung des Krypto-Diebstahls​

Was Nordkorea unterscheidet, ist nicht nur das Ausmaß, sondern die Raffinesse ihrer Operation.

Social Engineering vor technischen Exploits​

Die Mehrheit der großen Hacks im Jahr 2025 wurde durch Social Engineering anstatt durch technische Schwachstellen verübt. Dies stellt eine grundlegende Verschiebung dar. Hacker suchen nicht mehr primär nach Smart-Contract-Fehlern oder kryptografischen Schwächen. Sie zielen auf Menschen ab.

Agenten der Lazarus Group haben sich als IT-Mitarbeiter in Krypto-Unternehmen eingeschleust. Sie gaben sich als Führungskräfte aus. Sie verschickten Jobangebote mit Malware an Entwickler. Der Bybit-Angriff begann damit, dass ein Entwickler einen gefälschten Aktiensimulator herunterlud – ein klassischer Social-Engineering-Vektor.

Der chinesische Waschsalon​

Krypto zu stehlen ist nur die halbe Herausforderung. Es in nutzbare Gelder umzuwandeln, ohne erwischt zu werden, ist ebenso komplex.

Anstatt direkt auszuzahlen, hat Nordkorea die Geldwäsche an das ausgelagert, was Ermittler den „chinesischen Waschsalon“ nennen – ein weitverzweigtes Netzwerk aus Untergrund-Bankern, OTC-Brokern und handelsbasierten Geldwäsche-Vermittlern. Diese Akteure waschen gestohlene Vermögenswerte über Ketten, Jurisdiktionen und Zahlungsschienen hinweg.

Bis zum 20. März 2025 – weniger als einen Monat nach dem Bybit-Hack – berichtete CEO Ben Zhou, dass Hacker bereits 86,29 % des gestohlenen ETH über mehrere Intermediär-Wallets, dezentrale Börsen und Cross-Chain-Bridges in Bitcoin umgewandelt hatten. Der 45-tägige Geldwäschezyklus nach großen Diebstählen ist zu einem vorhersehbaren Muster geworden.

Trotz dieser Bemühungen stellte Zhou fest, dass 88,87 % der gestohlenen Vermögenswerte rückverfolgbar blieben. Aber „rückverfolgbar“ bedeutet nicht „wiederherstellbar“. Die Gelder fließen durch Jurisdiktionen, die keine kooperative Beziehung zu US-amerikanischen oder internationalen Strafverfolgungsbehörden unterhalten.

Bybits Reaktion: Krisenmanagement unter Beschuss​

Innerhalb von 30 Minuten nach Entdeckung der Sicherheitslücke übernahm CEO Ben Zhou das Kommando und begann mit Echtzeit-Updates auf X (ehemals Twitter). Seine Nachricht war unverblümt: „Bybit ist solvent, auch wenn dieser Hack-Verlust nicht wiederhergestellt wird; alle Kundenvermögen sind 1 zu 1 gedeckt, wir können den Verlust auffangen.“

Die Börse bearbeitete innerhalb von 12 Stunden über 350.000 Auszahlungsanfragen – ein Signal an die Nutzer, dass der Betrieb trotz des katastrophalen Verlusts normal weiterlaufen würde.

Notfallfinanzierung​

Innerhalb von 72 Stunden hatte Bybit seine Reserven aufgefüllt, indem es 447.000 ETH durch Notfallfinanzierungen von Partnern wie Galaxy Digital, FalconX und Wintermute sicherte. Bitget lieh 40.000 ETH, um sicherzustellen, dass Auszahlungen ununterbrochen fortgesetzt werden konnten – ein Darlehen, das Bybit innerhalb von drei Tagen zurückzahlte.

Das Cybersicherheitsunternehmen Hacken führte ein Proof-of-Reserves-Audit durch, das bestätigte, dass die Hauptvermögenswerte von Bybit mit mehr als 100 % Sicherheiten hinterlegt waren. Die Transparenz war beispiellos für eine Krise dieser Größenordnung.

Das Kopfgeldprogramm​

Zhou erklärte Lazarus den „Krieg“ und startete ein globales Kopfgeldprogramm, das Belohnungen von bis zu 10 % für Informationen anbot, die zu eingefrorenen Vermögenswerten führten. Bis Ende des Jahres hatte Bybit 2,18 Millionen $ in USDT an Mitwirkende ausgezahlt, die bei der Rückverfolgung oder Wiedererlangung von Geldern halfen.

Das Urteil des Marktes​

Bis Ende 2025 hatte Bybit weltweit die Marke von 80 Millionen Nutzern überschritten, verzeichnete ein tägliches Handelsvolumen von 7,1 Milliarden $ und belegte den 5. Platz unter den Kryptowährungs-Spot-Börsen. Die Krisenreaktion war zu einer Fallstudie dafür geworden, wie man einen katastrophalen Hack überlebt.

2025: Das Jahr, in dem Kryptodiebstähle 3,4 Milliarden $ erreichten​

Der Bybit-Hack dominierte die Schlagzeilen, war jedoch Teil eines größeren Musters. Der Gesamtwert der Kryptodiebstähle erreichte im Jahr 2025 3,4 Milliarden $ – ein neuer Rekord und das dritte Jahr in Folge mit steigenden Zahlen.

Wichtige Statistiken:

• 2023: 2 Milliarden $ gestohlen
• 2024: 2,2 Milliarden $ gestohlen
• 2025: 3,4 Milliarden $ gestohlen

Der Anteil Nordkoreas wuchs von etwa der Hälfte auf fast 60 % aller Kryptodiebstähle. Die DVRK erzielte größere Diebstähle mit weniger Vorfällen, was eine zunehmende Effizienz und Professionalität demonstriert.

Erlernte Lektionen: Wo die Sicherheit versagte​

Der Bybit-Hack deckte kritische Schwachstellen auf, die weit über eine einzelne Börse hinausgehen.

Drittanbieterrisiko ist existenziell​

Bybit hatte kein direktes Sicherheitsversagen. Safe{Wallet} hatte eines. Aber Bybit trug die Konsequenzen.

Die Krypto-Industrie hat komplexe Abhängigkeitsketten aufgebaut, in denen Börsen auf Wallet-Anbieter angewiesen sind, Wallet-Anbieter auf Cloud-Infrastruktur und Cloud-Infrastruktur auf die Workstations einzelner Entwickler. Eine Kompromittierung an jeder Stelle dieser Kette kann katastrophale Kaskadeneffekte auslösen.

Cold Storage reicht nicht aus​

Die Branche hat Cold Wallets lange Zeit als Goldstandard der Sicherheit betrachtet. Aber die Gelder von Bybit befanden sich im Cold Storage, als sie gestohlen wurden. Die Schwachstelle lag im Prozess ihrer Bewegung – dem menschlichen Genehmigungsschritt, den Multisig eigentlich schützen sollte.

Wenn Überweisungen zur Routine werden, entwickeln Unterzeichner ein falsches Sicherheitsgefühl und behandeln Genehmigungen als Formalitäten statt als kritische Sicherheitsentscheidungen. Der Bybit-Angriff nutzte genau dieses Verhaltensmuster aus.

Die Benutzeroberfläche ist ein Single Point of Failure​

Multisig-Sicherheit setzt voraus, dass Unterzeichner verifizieren können, was sie genehmigen. Wenn jedoch die Benutzeroberfläche, die Transaktionsdetails anzeigt, kompromittiert ist, wird die Verifizierung bedeutungslos. Die Angreifer zeigten den Unterzeichnern das eine, während sie das andere ausführten.

Pre-Signing-Simulationen – die es Mitarbeitern ermöglichen, das tatsächliche Ziel einer Transaktion vor der Genehmigung in einer Vorschau zu sehen – hätten diesen Angriff verhindern können. Ebenso wie Verzögerungen bei großen Auszahlungen, um Zeit für zusätzliche Prüfungen zu gewinnen.

Social Engineering schlägt technische Sicherheit​

Man kann die ausgeklügeltste kryptografische Sicherheit der Welt haben, und ein einziger Mitarbeiter, der die falsche Datei herunterlädt, kann alles umgehen. Der Schwachpunkt in der Sicherheit von Kryptowährungen ist zunehmend menschlich, nicht technisch.

Regulatorische und industrielle Auswirkungen​

Der Bybit-Hack gestaltet bereits die regulatorische Landschaft neu.

Erwarten Sie verbindliche Anforderungen für:

• Hardware-Sicherheitsmodule (HSMs) für die Schlüsselverwaltung
• Echtzeit-Transaktionsüberwachung und Anomalieerkennung
• Regelmäßige Sicherheitsaudits durch Dritte
• Erweiterte AML-Rahmenwerke und Transaktionsverzögerungen für große Überweisungen

Sicherheit und Compliance werden zu Schwellenwerten für den Marktzugang. Projekte, die keine starke Schlüsselverwaltung, kein Berechtigungsdesign und keine glaubwürdigen Sicherheitsframeworks vorweisen können, werden von Bankpartnern und institutionellen Nutzern abgeschnitten sein.

Was das für die Branche bedeutet​

Der Bybit-Hack offenbart eine unangenehme Wahrheit: Das Sicherheitsmodell von Kryptowährungen ist nur so stark wie sein schwächstes betriebliches Glied.

Die Branche hat massiv in kryptografische Sicherheit investiert – Zero-Knowledge-Proofs, Threshold-Signaturen, Secure Enclaves. Doch die ausgefeilteste Kryptografie ist irrelevant, wenn ein Angreifer einen Menschen dazu verleiten kann, eine bösartige Transaktion zu genehmigen.

Für Börsen ist die Botschaft klar: Sicherheitsinnovationen müssen über die Technologie hinausgehen und betriebliche Prozesse, das Management von Drittanbieterrisiken sowie kontinuierliche Mitarbeiterschulungen umfassen. Regelmäßige Audits, der gemeinschaftliche Austausch von Bedrohungsinformationen und die Planung von Reaktionen auf Vorfälle sind nicht länger optional.

Für die Nutzer ist die Lektion ebenso deutlich: Selbst die größten Börsen mit der fortschrittlichsten Sicherheit können kompromittiert werden. Self-Custody, Hardware Wallets und die verteilte Speicherung von Vermögenswerten bleiben die sichersten langfristigen Strategien – auch wenn sie weniger komfortabel sind.

Fazit​

Die nordkoreanische Lazarus Group hat den Diebstahl von Kryptowährungen industrialisiert. Seit 2017 haben sie über 6,75 Milliarden $gestohlen, wobei 2025 ihr bisher erfolgreichstes Jahr markiert. Allein der Bybit-Hack – 1,5 Milliarden$ in einer einzigen Operation – demonstriert Fähigkeiten, die jeden Geheimdienst neidisch machen würden.

Die Kryptobranche befindet sich in einem Wettrüsten mit staatlich gesponserten Hackern, die unbegrenzte Geduld, hochentwickelte technische Fähigkeiten und keine Angst vor Konsequenzen haben. Der Bybit-Angriff war nicht aufgrund eines neuartigen Exploits erfolgreich, sondern weil die Angreifer verstanden haben, dass Menschen und nicht der Code das schwächste Glied sind.

Bis die Branche die betriebliche Sicherheit mit der gleichen Strenge behandelt wie die kryptografische Sicherheit, werden diese Angriffe anhalten. Die Frage ist nicht, ob ein weiterer Milliarden-Dollar-Hack stattfinden wird – sondern wann, und ob das Ziel so effektiv reagieren wird wie Bybit.

---

Dieser Artikel dient ausschließlich zu Bildungszwecken und sollte nicht als Finanzberatung betrachtet werden. Führen Sie immer Ihre eigenen Recherchen durch und legen Sie Wert auf Sicherheit, wenn Sie mit Kryptobörsen und Wallets interagieren.

Bei einem der ausgeklügeltsten Cyberangriffe des Jahres 2023 verlor Radiant Capital, ein dezentrales Cross-Chain-Lending-Protokoll, das auf LayerZero basiert, etwa 50 Millionen US-Dollar an Hacker. Die Komplexität und Präzision dieses Angriffs enthüllten die fortgeschrittenen Fähigkeiten staatlich unterstützter nordkoreanischer Hacker und verschoben die Grenzen dessen, was viele für möglich hielten bei Krypto-Sicherheitsverletzungen.

Der perfekte Social-Engineering-Angriff​

Am 11. September 2023 erhielt ein Radiant Capital-Entwickler eine scheinbar harmlose Telegram-Nachricht. Der Absender gab sich als ehemaliger Auftragnehmer aus, der behauptete, seine Karriere auf Smart-Contract-Audits umgestellt zu haben und Feedback zu einem Projektbericht wünschte. Diese Art von Anfrage ist in der Remote-Arbeitskultur der Krypto-Entwicklung üblich, was sie als Social-Engineering-Taktik besonders effektiv macht.

Die Angreifer gingen noch einen Schritt weiter, indem sie eine gefälschte Website erstellten, die der legitimen Domain des angeblichen Auftragnehmers sehr ähnelte, und ihrer Täuschung eine weitere Ebene der Authentizität hinzufügten.

Das Trojanische Pferd​

Als der Entwickler die Datei herunterlud und entpackte, schien es sich um ein Standard-PDF-Dokument zu handeln. Die Datei war jedoch tatsächlich eine bösartige ausführbare Datei namens INLETDRIFT, getarnt mit einem PDF-Symbol. Nach dem Öffnen installierte sie stillschweigend eine Hintertür auf dem macOS-System und stellte eine Kommunikation mit dem Befehlsserver der Angreifer (atokyonews[.]com) her.

Die Situation verschärfte sich, als der infizierte Entwickler, der Feedback suchte, die bösartige Datei mit anderen Teammitgliedern teilte und so die Malware unwissentlich innerhalb der Organisation verbreitete.

Der ausgeklügelte Man-in-the-Middle-Angriff​

Nachdem die Malware installiert war, führten die Hacker einen präzise gezielten „Bait-and-Switch“-Angriff aus. Sie fingen Transaktionsdaten ab, wenn Teammitglieder ihr Gnosis Safe Multi-Signatur-Wallet bedienten. Während die Transaktion auf der Weboberfläche normal erschien, ersetzte die Malware den Transaktionsinhalt, als er das Ledger Hardware-Wallet zur Signierung erreichte.

Aufgrund des Blind-Signing-Mechanismus, der bei Safe Multi-Sig-Transaktionen verwendet wird, konnten die Teammitglieder nicht erkennen, dass sie tatsächlich einen transferOwnership()-Funktionsaufruf signierten, der die Kontrolle über die Lending-Pools an die Angreifer übergab. Dies ermöglichte es den Hackern, Benutzergelder abzuziehen, die den Protokollverträgen autorisiert worden waren.

Die schnelle Bereinigung​

Nach dem Diebstahl zeigten die Angreifer eine bemerkenswerte operative Sicherheit. Innerhalb von nur drei Minuten entfernten sie alle Spuren der Hintertür und der Browser-Erweiterungen und verwischten so effektiv ihre Spuren.

Wichtige Lehren für die Branche​

1. Dateidownloads niemals vertrauen: Teams sollten sich auf Online-Dokumententools wie Google Docs oder Notion standardisieren, anstatt Dateien herunterzuladen. Zum Beispiel akzeptiert der Rekrutierungsprozess von OneKey nur Google Docs-Links und lehnt das Öffnen anderer Dateien oder Links explizit ab.

2. Frontend-Sicherheit ist entscheidend: Der Vorfall verdeutlicht, wie leicht Angreifer Transaktionsinformationen im Frontend fälschen können, wodurch Benutzer unwissentlich bösartige Transaktionen signieren.

3. Risiken des Blind Signing: Hardware-Wallets zeigen oft stark vereinfachte Transaktionszusammenfassungen an, was es schwierig macht, die wahre Natur komplexer Smart-Contract-Interaktionen zu überprüfen.

4. DeFi-Protokollsicherheit: Projekte, die große Kapitalmengen verwalten, sollten Timelock-Mechanismen und robuste Governance-Prozesse implementieren. Dies schafft eine Pufferzeit, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren, bevor Gelder verschoben werden können.

Der Radiant Capital Hack dient als ernüchternde Erinnerung daran, dass selbst mit Hardware-Wallets, Transaktionssimulationstools und Best Practices der Branche ausgeklügelte Angreifer immer noch Wege finden können, die Sicherheit zu kompromittieren. Er unterstreicht die Notwendigkeit ständiger Wachsamkeit und Weiterentwicklung bei Krypto-Sicherheitsmaßnahmen.

Während die Branche reift, müssen wir aus diesen Vorfällen lernen, um robustere Sicherheitsframeworks zu entwickeln, die zunehmend ausgeklügelten Angriffsvektoren standhalten können. Die Zukunft von DeFi hängt davon ab.