31 Beiträge getaggt mit „Cybersicherheit“

Am 21. Februar 2025 führte die nordkoreanische Lazarus-Gruppe den größten Kryptowährungsdiebstahl der Geschichte durch — 1,5 Milliarden $ in Ethereum wurden in einer einzigen Transaktion aus der Cold Wallet von Bybit abgezogen. Ein Jahr später erzählen die Zahlen eine ernüchternde Geschichte: Während Blockchain-Analysefirmen anfangs 88,87 % der gestohlenen Gelder verfolgten, wurden nur 3,54 % eingefroren. Der Rest liegt in Tausenden von Wallets und wartet.

Dies ist nicht nur eine Geschichte über einen Raubüberfall. Es ist eine Fallstudie darüber, wie eine staatliche Hacking-Operation die Sicherheitsinfrastruktur einer ganzen Branche überlistet hat und was die Krypto-Welt in den zwölf Monaten seither gelernt — und nicht gelernt — hat.

Für 1,22 $ pro Vertrag kann ein KI-Agent nun einen Smart Contract auf ausnutzbare Schwachstellen scannen – und die offensiven Exploit-Fähigkeiten verdoppeln sich alle 1,3 Monate. Willkommen zum folgenreichsten Wettrüsten im Bereich Decentralized Finance.

Im Februar 2026 lancierten OpenAI und Paradigm gemeinsam EVMbench, einen Open-Source-Benchmark, der bewertet, wie effektiv KI-Agenten Smart-Contract-Schwachstellen erkennen, patchen und ausnutzen. Die Ergebnisse waren ernüchternd. GPT-5.3-Codex nutzte erfolgreich 72,2 % der bekannten verwundbaren Verträge aus, gegenüber 31,9 % nur sechs Monate zuvor. In der Zwischenzeit erkannte ein spezialisierter KI-Sicherheitsagent Schwachstellen in 92 % von 90 ausgenutzten DeFi-Verträgen im Wert von 96,8 Millionen $ – fast das Dreifache der Erkennungsrate von 34 % eines GPT-5.1-Coding-Agenten als Baseline.

Die Implikation ist klar: Der Kampf um die DeFi-Sicherheit ist zu einem Wettbewerb KI-gegen-KI geworden, und die Ökonomie begünstigt überwiegend die Angreifer – vorerst.

Ein Mitbegründer von Polygon stellt fest, dass Fremde ihn fragen, ob er wirklich mit ihnen in einem Zoom-Call ist. Ein Organisator der BTC Prague beobachtet, wie eine überzeugende KI-generierte Replik eines bekannten Krypto-CEOs auf dem Bildschirm erscheint, nur um dann aufgefordert zu werden, einen „schnellen Audio-Fix“ durchzuführen. Ein Gründer eines KI-Startups entgeht einer Infektion, indem er auf Google Meet besteht – und die Angreifer verschwinden. Dies sind keine Szenen aus einem Cyberpunk-Thriller. Sie ereigneten sich Anfang 2026 und haben einen gemeinsamen Nenner: Nordkoreas sich rasant entwickelnde Deepfake-Social-Engineering-Maschinerie.

Ungefähr 6,26 Millionen Bitcoin – im Wert von 650 bis 750 Milliarden US-Dollar – liegen auf Adressen, die anfällig für Quantenangriffe sind. Während die meisten Experten darin übereinstimmen, dass kryptographisch relevante Quantencomputer noch Jahre entfernt sind, kann die Infrastruktur zum Schutz dieser Vermögenswerte nicht über Nacht aufgebaut werden. Ein Protokoll behauptet, bereits die Antwort zu haben, und die SEC stimmt dem zu.

Das Naoris-Protokoll wurde als erstes dezentrales Sicherheitsprotokoll in einem US-Regulierungsdokument zitiert, als das Post-Quantum Financial Infrastructure Framework (PQFIF) der SEC es als Referenzmodell für quantensichere Blockchain-Infrastruktur benannte. Mit einem Mainnet-Launch vor Ende des ersten Quartals 2026, 104 Millionen bereits im Testnet verarbeiteten Post-Quanten-Transaktionen und Partnerschaften mit NATO-nahen Institutionen stellt Naoris eine radikale Wette dar: Dass die nächste Grenze von DePIN nicht Rechenleistung oder Speicherplatz ist – sondern die Cybersicherheit selbst.

Ihre Cold Wallet ist nicht so sicher, wie Sie denken. Im Jahr 2025 machten Infrastrukturangriffe — die auf private Schlüssel, Wallet-Systeme und die Menschen, die sie verwalten, abzielen — 76 % aller gestohlenen Kryptowährungen aus, was sich in nur 45 Vorfällen auf insgesamt 2,2 Milliarden US-Dollar belief. Die Lazarus-Gruppe, die staatlich geförderte Hacker-Einheit Nordkoreas, hat ein Playbook perfektioniert, das die traditionelle Cold-Storage-Sicherheit fast bedeutungslos macht: monatelange Infiltrationskampagnen, die auf Menschen statt auf Code abzielen.

Als der Safe{Wallet}-Entwickler „Developer1“ am 4. Februar 2025 eine scheinbar routinemäßige Anfrage erhielt, ahnte er nicht, dass sein Apple MacBook zum Einstiegspunkt für den größten Kryptowährungs-Raub der Geschichte werden würde. Innerhalb von siebzehn Tagen nutzte die nordkoreanische Lazarus Group diesen einzigen kompromittierten Laptop aus, um 1,5 Milliarden $ von Bybit zu stehlen – mehr als das gesamte BIP einiger Nationen.

Dies war keine Anomalie. Es war der Höhepunkt einer jahrzehntelangen Entwicklung, die eine Gruppe staatlich geförderter Hacker in die weltweit raffiniertesten Kryptowährungs-Diebe verwandelte, die für kumulierte Diebstähle von mindestens 6,75 Milliarden $ verantwortlich sind.

Die Zahlen sind erschütternd: 3,4 Mrd. $ wurden 2025 von Kryptowährungsplattformen gestohlen, wobei ein einziger Nationalstaat für fast zwei Drittel der Beute verantwortlich ist. Die Lazarus-Gruppe aus Nordkorea hat nicht nur Rekorde gebrochen – sie hat das Regelwerk für staatlich gesponserte Cyberkriminalität neu geschrieben, indem sie weniger Angriffe ausführte und dabei exponentiell mehr Wert abschöpfte. Zu Beginn des Jahres 2026 sieht sich die Kryptowährungsbranche mit einer unangenehmen Wahrheit konfrontiert: Die Sicherheitsparadigmen der letzten fünf Jahre sind grundlegend gescheitert.

Der 3,4-Milliarden-Dollar-Weckruf​

Das Blockchain-Analyseunternehmen Chainalysis veröffentlichte im Dezember 2025 seinen jährlichen Bericht zur Krypto-Kriminalität und bestätigte damit die Befürchtungen von Branchenkennern. Der gesamte Diebstahl von Kryptowährungen erreichte 3,4 Mrd. $, wobei nordkoreanische Hacker 2,02 Mrd. $ für sich beanspruchten – ein Anstieg von 51 % gegenüber dem bereits rekordverdächtigen Wert von 1,34 Mrd. $ im Jahr 2024. Damit beläuft sich die Gesamtsumme der Krypto-Diebstähle der DVRK auf etwa 6,75 Mrd. $.

Was den Diebstahl im Jahr 2025 so beispiellos macht, ist nicht nur die Summe in Dollar. Es ist die Effizienz. Nordkoreanische Hacker erzielten diese Rekordbeute mit 74 % weniger bekannten Angriffen als in den Vorjahren. Die Lazarus-Gruppe hat sich von einem verstreuten Bedrohungsakteur zu einem Präzisionsinstrument der finanziellen Kriegsführung entwickelt.

TRM Labs und Chainalysis haben diese Zahlen unabhängig voneinander verifiziert, wobei TRM feststellte, dass die Krypto-Kriminalität „organisierter und professionalisierter“ als je zuvor geworden ist. Die Angriffe sind schneller, besser koordiniert und weitaus einfacher zu skalieren als in früheren Zyklen.

Der Bybit-Raub: Eine Meisterklasse in Supply-Chain-Angriffen​

Am 21. Februar 2025 erlebte die Kryptowelt den größten Einzeldiebstahl ihrer Geschichte. Hacker entwendeten etwa 401.000 ETH – zum damaligen Zeitpunkt 1,5 Mrd. $ wert – von Bybit, einer der weltweit größten Kryptowährungsbörsen.

Der Angriff war kein Brute-Force-Einbruch oder ein Smart-Contract-Exploit. Es war eine meisterhafte Kompromittierung der Lieferkette (Supply Chain). Die Lazarus-Gruppe – agierend unter dem Pseudonym „TraderTraitor“ (auch bekannt als Jade Sleet und Slow Pisces) – nahm einen Entwickler bei Safe{Wallet} ins Visier, dem beliebten Anbieter von Multi-Signatur-Wallets. Durch das Einschleusen von bösartigem Code in die Benutzeroberfläche des Wallets umgingen sie die herkömmlichen Sicherheitsebenen vollständig.

Innerhalb von 11 Tagen hatten die Hacker 100 % der gestohlenen Gelder gewaschen. Bybit-CEO Ben Zhou gab Anfang März bekannt, dass sie die Spur von fast 300 Mio. $ verloren hatten. Das FBI schrieb den Angriff am 26. Februar 2025 offiziell Nordkorea zu, doch zu diesem Zeitpunkt waren die Gelder bereits in Mixing-Protokollen und Bridge-Diensten verschwunden.

Allein der Bybit-Hack machte 74 % der nordkoreanischen Krypto-Diebstähle im Jahr 2025 aus und demonstrierte eine beängstigende Weiterentwicklung der Taktik. Wie das Sicherheitsunternehmen Hacken anmerkte, zeigte die Lazarus-Gruppe „klare Präferenzen für chinesischsprachige Geldwäsche-Dienste, Bridge-Dienste und Mixing-Protokolle mit einem 45-tägigen Geldwäschezyklus nach größeren Diebstählen“.

Das Lazarus-Playbook: Von Phishing bis hin zur tiefen Infiltration​

Die Cyber-Operationen Nordkoreas haben eine grundlegend Transformation durchlaufen. Die Zeiten einfacher Phishing-Angriffe und Hot-Wallet-Kompromittierungen sind vorbei. Die Lazarus-Gruppe hat eine mehrgleisige Strategie entwickelt, die eine Entdeckung nahezu unmöglich macht.

Die Wagemole-Strategie​

Die vielleicht heimtückischste Taktik ist das, was Forscher „Wagemole“ nennen – das Einschleusen verdeckter IT-Mitarbeiter in Kryptowährungsunternehmen weltweit. Unter falschen Identitäten oder über Briefkastenfirmen verschaffen sich diese Agenten legitimen Zugang zu Unternehmenssystemen, einschließlich Krypto-Firmen, Verwahrstellen und Web3-Plattformen.

Dieser Ansatz ermöglicht es Hackern, Perimeter-Verteidigungen vollständig zu umgehen. Sie brechen nicht ein – sie sind bereits drin.

KI-gestützte Ausbeutung​

Im Jahr 2025 begannen staatlich gesponserte Gruppen, künstliche Intelligenz einzusetzen, um jede Phase ihrer Operationen zu verstärken. KI scannt nun Tausende von Smart Contracts in Minuten, identifiziert ausnutzbaren Code und automatisiert Multi-Chain-Angriffe. Was früher Wochen manueller Analyse erforderte, dauert heute nur noch Stunden.

Die Analyse von Coinpedia ergab, dass nordkoreanische Hacker die Krypto-Kriminalität durch KI-Integration neu definiert haben, wodurch ihre Operationen skalierbarer und schwerer zu entdecken sind als je zuvor.

Identitätsdiebstahl von Führungskräften​

Die Verlagerung von rein technischen Exploits hin zu Angriffen auf den Faktor Mensch war ein prägender Trend des Jahres 2025. Sicherheitsfirmen stellten fest, dass „extreme Verluste überwiegend auf Fehler bei der Zugangskontrolle zurückzuführen waren, nicht auf neuartige On-Chain-Mathematik“. Hacker wechselten von manipulierten Frontends und Multisig-UI-Tricks zum Identitätsdiebstahl von Führungskräften und zum Diebstahl privater Schlüssel.

Jenseits von Bybit: Die Hacker-Landschaft 2025​

Während Bybit die Schlagzeilen dominierte, erstreckten sich die Operationen Nordkoreas weit über ein einzelnes Ziel hinaus:

• DMM Bitcoin (Japan): 305 Mio. $ gestohlen, was zur schließlichen Abwicklung der Börse beitrug
• WazirX (Indien): 235 Mio. $ von Indiens größter Kryptowährungsbörse abgezogen
• Upbit (Südkorea): 36 Mio. $ durch die Ausnutzung der Signatur-Infrastruktur Ende 2025 beschlagnahmt

Dies waren keine Einzelfälle – sie stellten eine koordinierte Kampagne dar, die auf zentralisierte Börsen, dezentralisierte Finanzplattformen (DeFi) und einzelne Wallet-Anbieter in mehreren Jurisdiktionen abzielte.

Unabhängige Zählungen identifizierten über 300 größere Sicherheitsvorfälle im Laufe des Jahres, was systemische Schwachstellen im gesamten Kryptowährungs-Ökosystem verdeutlicht.

Die Huione-Verbindung: Kambodschas 4-Milliarden-Dollar-Geldwäschemaschine​

Auf der Seite der Geldwäsche identifizierte das Financial Crimes Enforcement Network (FinCEN) des US-Finanzministeriums einen kritischen Knotenpunkt in den Operationen Nordkoreas: die in Kambodscha ansässige Huione Group.

FinCEN stellte fest, dass die Huione Group zwischen August 2021 und Januar 2025 mindestens 4 Milliarden $an illegalen Erlösen gewaschen hat. Das Blockchain-Unternehmen Elliptic schätzt, dass die tatsächliche Zahl eher bei 11 Milliarden$ liegen könnte.

Die Untersuchung des Finanzministeriums ergab, dass die Huione Group 37 Millionen $verarbeitete, die direkt mit der Lazarus Group in Verbindung standen, einschließlich 35 Millionen$ aus dem DMM-Bitcoin-Hack. Das Unternehmen arbeitete direkt mit dem Reconnaissance General Bureau von Nordkorea zusammen, Pjöngjangs primärem Auslandsnachrichtendienst.

Was Huione besonders gefährlich machte, war das völlige Fehlen von Compliance-Kontrollen. Keiner seiner drei Geschäftsbereiche – Huione Pay (Bankwesen), Huione Guarantee (Treuhand) und Huione Crypto (Börse) – hatte AML / KYC-Richtlinien veröffentlicht.

Die Verbindungen des Unternehmens zur herrschenden Hun-Familie in Kambodscha, einschließlich eines Cousins von Premierminister Hun Manet als Hauptaktionär, erschwerten die internationalen Durchsetzungsbemühungen, bis die USA im Mai 2025 dazu übergingen, den Zugang zum amerikanischen Finanzsystem zu kappen.

Die regulatorische Antwort: MiCA, PoR und darüber hinaus​

Das Ausmaß der Diebstähle im Jahr 2025 hat die regulatorischen Maßnahmen weltweit beschleunigt.

Europas MiCA Stufe 2​

Die Europäische Union hat „Stufe 2“ der Markets in Crypto-Assets (MiCA) Verordnung im Eilverfahren verabschiedet und schreibt nun vierteljährliche Audits von Drittanbieter-Softwareanbietern für jede in der Eurozone tätige Börse vor. Der Supply-Chain-Angriffsvektor des Bybit-Hacks war der Auslöser für diese spezifische Anforderung.

US-Proof-of-Reserves-Mandate​

In den Vereinigten Staaten hat sich der Fokus auf obligatorische Echtzeit-Anforderungen für den Proof-of-Reserves (PoR) verlagert. Die Theorie: Wenn Börsen ihre Vermögenswerte in Echtzeit on-chain nachweisen müssen, werden verdächtige Abflüsse sofort sichtbar.

Südkoreas Digital Financial Security Act​

Nach dem Upbit-Hack schlug die südkoreanische Finanzdienstleistungskommission im Dezember 2025 den „Digital Financial Security Act“ vor. Das Gesetz würde vorgeschriebene Cold-Storage-Quoten, routinemäßige Penetrationstests und eine verstärkte Überwachung verdächtiger Aktivitäten bei allen Kryptowährungsbörsen erzwingen.

Was die Verteidigung im Jahr 2026 benötigt​

Die Bybit-Sicherheitslücke erzwang eine grundlegende Änderung in der Art und Weise, wie zentralisierte Börsen Sicherheit verwalten. Branchenführer haben mehrere kritische Upgrades für 2026 identifiziert:

Migration zur Multi-Party Computation (MPC)​

Die meisten erstklassigen Plattformen sind von traditionellen Smart-Contract-Multi-Sigs auf die Multi-Party Computation-Technologie migriert. Im Gegensatz zum Safe{Wallet}-Setup, das 2025 ausgenutzt wurde, teilt MPC private Schlüssel in Shards auf, die niemals an einem einzigen Ort existieren, was UI-Spoofing und „Ice Phishing“-Techniken nahezu unmöglich macht.

Cold-Storage-Standards​

Renommierte Custodial-Exchanges implementieren jetzt Cold-Storage-Quoten von 90-95 %, und bewahren den Großteil der Nutzergelder offline in Hardware-Sicherheitsmodulen auf. Multi-Signatur-Wallets erfordern mehrere autorisierte Parteien, um große Transaktionen zu genehmigen.

Überprüfung der Lieferkette (Supply Chain Auditing)​

Die wichtigste Erkenntnis aus dem Jahr 2025 ist, dass sich die Sicherheit über die Blockchain hinaus auf den gesamten Software-Stack erstreckt. Börsen müssen ihre Anbieterbeziehungen mit der gleichen Strenge prüfen, die sie bei ihrem eigenen Code anwenden. Der Bybit-Hack war erfolgreich aufgrund kompromittierter Drittanbieter-Infrastruktur, nicht aufgrund von Schwachstellen der Börse selbst.

Verteidigung des Faktors Mensch​

Kontinuierliche Schulungen zu Phishing-Versuchen und sicheren Passwortpraktiken sind obligatorisch geworden, da menschliches Versagen eine Hauptursache für Sicherheitsverletzungen bleibt. Sicherheitsexperten empfehlen regelmäßige Red- und Blue-Team-Übungen, um Schwachstellen im Sicherheitsprozessmanagement zu identifizieren.

Quantenresistente Upgrades​

Mit Blick auf die Zukunft rücken Post-Quanten-Kryptographie (PQC) und quantengeschützte Hardware als kritische zukünftige Verteidigungsmaßnahmen in den Fokus. Die prognostizierte CAGR des Cold-Wallet-Marktes von 15,2 % zwischen 2026 und 2033 spiegelt das Vertrauen der Institutionen in die Entwicklung der Sicherheit wider.

Der Weg nach vorn​

Die abschließende Warnung von Chainalysis in ihrem Bericht für 2025 sollte in der gesamten Branche Nachhall finden: „Die rekordverdächtige Leistung des Landes im Jahr 2025 – erzielt mit 74 Prozent weniger bekannten Angriffen – deutet darauf hin, dass wir möglicherweise nur den sichtbarsten Teil seiner Aktivitäten sehen. Die Herausforderung für 2026 wird darin bestehen, diese hochwirksamen Operationen zu erkennen und zu verhindern, bevor mit der DVRK verbundene Akteure einen weiteren Vorfall vom Ausmaß von Bybit verursachen.“

Nordkorea hat bewiesen, dass staatlich gesponserte Hacker die Verteidigung der Industrie überholen können, wenn sie durch Sanktionsumgehung und Waffenfinanzierung motiviert sind. Die kumulierte Gesamtsumme von 6,75 Milliarden $ stellt nicht nur gestohlene Kryptowährungen dar – sie steht für Raketen, Nuklearprogramme und das Überleben des Regimes.

Für die Kryptowährungsbranche muss 2026 das Jahr der Sicherheitstransformation sein. Keine inkrementellen Verbesserungen, sondern eine grundlegende Neugestaltung der Art und Weise, wie Vermögenswerte gespeichert, abgerufen und übertragen werden. Die Lazarus Group hat gezeigt, dass die Best Practices von gestern die Schwachstellen von heute sind.

Es stand noch nie so viel auf dem Spiel.

---

Die Sicherung der Blockchain-Infrastruktur erfordert ständige Wachsamkeit und branchenführende Sicherheitspraktiken. BlockEden.xyz bietet Node-Infrastruktur auf Enterprise-Niveau mit einer mehrschichtigen Sicherheitsarchitektur und hilft Entwicklern und Unternehmen dabei, auf Fundamenten aufzubauen, die darauf ausgelegt sind, sich entwickelnden Bedrohungen standzuhalten.

Kryptowährungs-Geldwäsche ist im Jahr 2025 auf 82 Milliarden US-Dollar explodiert – eine achtfache Steigerung gegenüber den 10 Milliarden US-Dollar vor nur fünf Jahren. Aber die wahre Geschichte ist nicht die schwindelerregende Summe. Es ist die Industrialisierung der Finanzkriminalität selbst. Professionelle Geldwäschenetzwerke verarbeiten heute täglich 44 Millionen US-Dollar über hochentwickelte, auf Telegram basierende Marktplätze, Nordkorea hat Krypto-Diebstahl zur Finanzierung von Nuklearprogrammen instrumentalisiert, und die Infrastruktur, die globale Betrügereien ermöglicht, ist 7.325-mal schneller gewachsen als die legitime Krypto-Adoption. Die Ära der Amateur-Krypto-Kriminellen ist vorbei. Wir sind im Zeitalter der organisierten, professionalisierten Blockchain-Kriminalität angekommen.

Am Heiligabend 2025, während der Großteil der Krypto-Welt im Urlaub war, schleusten Angreifer ein bösartiges Update in die Chrome-Erweiterung von Trust Wallet ein. Innerhalb von 48 Stunden verschwanden 8,5 Millionen $ aus 2.520 Wallets. Die Seed-Phrasen von Tausenden von Nutzern waren unbemerkt abgeschöpft worden, getarnt als routinemäßige Telemetriedaten. Doch dies war kein isolierter Vorfall – es war der Höhepunkt eines Supply-Chain-Angriffs, der sich bereits seit Wochen durch das Krypto-Entwicklungs-Ökosystem verbreitet hatte.

Die Shai-Hulud-Kampagne, benannt nach den Sandwürmern aus Dune, stellt den aggressivsten npm-Supply-Chain-Angriff des Jahres 2025 dar. Sie kompromittierte über 700 npm-Pakete, infizierte 27.000 GitHub-Repositories und legte etwa 14.000 Entwickler-Secrets in 487 Organisationen offen. Der Gesamtschaden: über 58 Millionen $ an gestohlener Kryptowährung, was ihn zu einem der kostspieligsten Angriffe auf Entwickler in der Geschichte der Krypto-Branche macht.

Die Anatomie eines Supply-Chain-Wurms​

Im Gegensatz zu typischer Malware, bei der Nutzer bösartige Software herunterladen müssen, vergiften Supply-Chain-Angriffe die Tools, denen Entwickler bereits vertrauen. Die Shai-Hulud-Kampagne instrumentalisierte npm, den Paketmanager, der den Großteil der JavaScript-Entwicklung antreibt – einschließlich fast jeder Krypto-Wallet, jedes DeFi-Frontends und jeder Web3-Anwendung.

Der Angriff begann im September 2025 mit der ersten Welle, die zum Diebstahl von Kryptowährungen im Wert von etwa 50 Millionen $ führte. Doch erst "Das zweite Kommen" im November demonstrierte die wahre Raffinesse der Operation. Zwischen dem 21. und 23. November kompromittierten Angreifer die Entwicklungsinfrastruktur großer Projekte wie Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase und Postman.

Der Ausbreitungsmechanismus war elegant und erschreckend zugleich. Wenn Shai-Hulud ein legitimes npm-Paket infiziert, injiziert es zwei bösartige Dateien – setup_bun.js und bun_environment.js –, die durch ein Preinstall-Skript ausgelöst werden. Im Gegensatz zu herkömmlicher Malware, die erst nach der Installation aktiviert wird, wird diese Payload ausgeführt, bevor die Installation abgeschlossen ist, und sogar dann, wenn die Installation fehlschlägt. Bis Entwickler bemerken, dass etwas nicht stimmt, sind ihre Zugangsdaten bereits gestohlen.

Der Wurm identifiziert weitere Pakete, die von kompromittierten Entwicklern verwaltet werden, injiziert automatisch bösartigen Code und veröffentlicht neue kompromittierte Versionen in der npm-Registry. Diese automatisierte Verbreitung ermöglichte es der Malware, sich exponentiell ohne direktes Eingreifen der Angreifer auszubreiten.

Von Entwickler-Secrets zu Nutzer-Wallets​

Die Verbindung zwischen kompromittierten npm-Paketen und dem Trust-Wallet-Hack zeigt, wie Supply-Chain-Angriffe von Entwicklern auf Endnutzer kaskadieren.

Die Untersuchung von Trust Wallet ergab, dass deren GitHub-Secrets für Entwickler während des Shai-Hulud-Ausbruchs im November offengelegt wurden. Diese Exponierung gab den Angreifern Zugriff auf den Quellcode der Browser-Erweiterung und, was noch kritischer war, auf den API-Key für den Chrome Web Store. Mit diesen Zugangsdaten bewaffnet, umgingen die Angreifer den internen Release-Prozess von Trust Wallet vollständig.

Am 24. Dezember 2025 erschien die Version 2.68 der Trust Wallet Chrome-Erweiterung im Chrome Web Store – veröffentlicht von den Angreifern, nicht von den Trust Wallet-Entwicklern. Der bösartige Code war darauf ausgelegt, alle in der Erweiterung gespeicherten Wallets zu durchlaufen und für jede Wallet eine Abfrage der Mnemonic-Phrase auszulösen. Unabhängig davon, ob sich die Nutzer mit einem Passwort oder biometrischen Daten authentifizierten, wurden ihre Seed-Phrasen unbemerkt an von den Angreifern kontrollierte Server exfiltriert, getarnt als legitime Analysedaten.

Die gestohlenen Gelder teilten sich wie folgt auf: etwa 3 Millionen $in Bitcoin, über 3 Millionen$ in Ethereum sowie kleinere Beträge in Solana und anderen Token. Innerhalb weniger Tage begannen die Angreifer, Gelder über zentrale Börsen zu waschen – 3,3 Millionen $an ChangeNOW, 340.000$ an FixedFloat und 447.000 $ an KuCoin.

Der Dead Man's Switch​

Besonders beunruhigend ist der "Dead Man's Switch"-Mechanismus der Shai-Hulud-Malware. Wenn sich der Wurm nicht bei GitHub oder npm authentifizieren kann – falls seine Verbreitungs- und Exfiltrationskanäle gekappt werden –, löscht er alle Dateien im Home-Verzeichnis des Nutzers.

Diese destruktive Funktion dient mehreren Zwecken. Sie bestraft Erkennungsversuche, erzeugt Chaos, das die Spuren der Angreifer verwischt, und bietet ein Druckmittel, falls Verteidiger versuchen, die Command-and-Control-Infrastruktur abzuschneiden. Für Entwickler, die keine ordnungsgemäßen Backups erstellt haben, könnte ein fehlgeschlagener Bereinigungsversuch zusätzlich zum Diebstahl der Zugangsdaten zu einem katastrophalen Datenverlust führen.

Die Angreifer bewiesen auch psychologisches Geschick. Als Trust Wallet den Sicherheitsverstoß bekannt gab, starteten dieselben Angreifer eine Phishing-Kampagne, die die aufkommende Panik ausnutzte. Sie erstellten gefälschte Websites im Trust Wallet-Design, auf denen Nutzer aufgefordert wurden, ihre Recovery-Seed-Phrasen zur "Wallet-Verifizierung" einzugeben. Einige Opfer wurden so zweimal geschädigt.

Die Insider-Frage​

Binance-Mitbegründer Changpeng Zhao (CZ) deutete an, dass der Trust-Wallet-Exploit "höchstwahrscheinlich" von einem Insider oder jemandem mit vorherigem Zugriff auf Deployment-Berechtigungen durchgeführt wurde. Die eigene Analyse von Trust Wallet deutet darauf hin, dass Angreifer möglicherweise die Kontrolle über Entwicklergeräte erlangt oder Deployment-Berechtigungen vor dem 8. Dezember 2025 erhalten haben.

Sicherheitsforscher haben Muster festgestellt, die auf eine mögliche Beteiligung von Nationalstaaten hindeuten. Der Zeitpunkt – Heiligabend – folgt einem gängigen Playbook für Advanced Persistent Threats (APT): Angriffe während der Feiertage, wenn Sicherheitsteams unterbesetzt sind. Die technische Raffinesse und das Ausmaß der Shai-Hulud-Kampagne, kombiniert mit der schnellen Geldwäsche, lassen auf Ressourcen schließen, die über typische kriminelle Operationen hinausgehen.

Warum Browser-Erweiterungen besonders anfällig sind​

Der Vorfall bei Trust Wallet verdeutlicht eine grundlegende Schwachstelle im Krypto-Sicherheitsmodell. Browser-Erweiterungen operieren mit außergewöhnlichen Privilegien – sie können Webseiten lesen und modifizieren, auf lokalen Speicher zugreifen und im Falle von Krypto-Wallets die Schlüssel zu Vermögenswerten in Millionenhöhe halten.

Die Angriffsfläche ist gewaltig:

• Update-Mechanismen: Erweiterungen aktualisieren sich automatisch, und eine einzige kompromittierte Aktualisierung erreicht alle Benutzer.
• API-Schlüssel-Sicherheit: Wenn API-Schlüssel für den Chrome Web Store durchsickern, kann jeder Updates veröffentlichen.
• Vertrauensannahmen: Benutzer gehen davon aus, dass Updates aus offiziellen Stores sicher sind.
• Feiertags-Timing: Reduzierte Sicherheitsüberwachung während der Feiertage ermöglicht eine längere Verweildauer der Angreifer im System.

Dies ist nicht der erste Angriff über Browser-Erweiterungen auf Krypto-Nutzer. Frühere Vorfälle umfassen die GlassWorm-Kampagne gegen VS-Code-Erweiterungen und den Betrug mit der FoxyWallet-Firefox-Erweiterung. Der Trust-Wallet-Einbruch war jedoch der größte in finanzieller Hinsicht und demonstrierte, wie Supply-Chain-Kompromittierungen die Auswirkungen von Angriffen auf Erweiterungen verstärken.

Die Reaktion von Binance und der SAFU-Präzedenzfall​

Binance bestätigte, dass betroffene Trust-Wallet-Nutzer über seinen Secure Asset Fund for Users (SAFU) vollständig entschädigt würden. Dieser Fonds, der nach einem Börsen-Hack im Jahr 2018 eingerichtet wurde, hält einen Teil der Handelsgebühren in Reserve, um speziell Nutzerverluste aus Sicherheitsvorfällen abzudecken.

Die Entscheidung zur Rückerstattung setzt einen wichtigen Präzedenzfall – und wirft eine interessante Frage zur Verantwortungsverteilung auf. Trust Wallet wurde ohne direktes Verschulden der Nutzer kompromittiert, die lediglich ihre Wallets während des betroffenen Zeitfensters öffneten. Die Grundursache war jedoch ein Supply-Chain-Angriff, der die Infrastruktur der Entwickler kompromittierte, was wiederum durch umfassendere Schwachstellen im npm-Ökosystem ermöglicht wurde.

Die sofortige Reaktion von Trust Wallet umfasste das Deaktivieren aller Release-APIs, um neue Versionsveröffentlichungen für zwei Wochen zu blockieren, die Meldung der bösartigen Exfiltrations-Domain an den Registrar (was zu einer sofortigen Sperrung führte) und die Veröffentlichung einer sauberen Version 2.69. Den Nutzern wurde geraten, ihr Guthaben sofort auf neue Wallets zu übertragen, falls sie die Erweiterung zwischen dem 24. und 26. Dezember entsperrt hatten.

Lehren für das Krypto-Ökosystem​

Die Shai-Hulud-Kampagne deckt systemische Schwachstellen auf, die weit über Trust Wallet hinausgehen:

Für Entwickler​

Abhängigkeiten explizit festschreiben (Pinning). Die Ausnutzung von Preinstall-Skripten funktioniert, weil npm-Installationen beliebigen Code ausführen können. Das Festschreiben auf bekannte, saubere Versionen verhindert, dass automatische Updates kompromittierte Pakete einführen.

Geheimnisse als kompromittiert betrachten. Jedes Projekt, das zwischen dem 21. November und Dezember 2025 npm-Pakete heruntergeladen hat, sollte von einer Offenlegung der Zugangsdaten ausgehen. Dies bedeutet das Widerrufen und Neugenerieren von npm-Token, GitHub PATs, SSH-Schlüsseln und Cloud-Provider-Zugangsdaten.

Implementieren Sie ein ordnungsgemäßes Geheimnis-Management. API-Schlüssel für kritische Infrastrukturen wie die Veröffentlichung in App-Stores sollten niemals in der Versionskontrolle gespeichert werden, auch nicht in privaten Repositories. Nutzen Sie Hardware-Sicherheitsmodule oder dedizierte Geheimnis-Management-Dienste.

Einführung von Phishing-resistenter MFA. Die Standard-Zwei-Faktor-Authentifizierung kann von hochentwickelten Angreifern umgangen werden. Hardware-Keys wie YubiKeys bieten einen stärkeren Schutz für Entwickler- und CI/CD-Konten.

Für Nutzer​

Wallet-Infrastruktur diversifizieren. Bewahren Sie nicht alle Guthaben in Browser-Erweiterungen auf. Hardware-Wallets bieten eine Isolierung von Software-Schwachstellen – sie können Transaktionen signieren, ohne die Seed-Phrasen jemals potenziell kompromittierten Browsern auszusetzen.

Gehen Sie davon aus, dass Updates bösartig sein können. Das Auto-Update-Modell, das Software bequem macht, macht sie auch anfällig. Erwägen Sie, automatische Updates für sicherheitskritische Erweiterungen zu deaktivieren und neue Versionen manuell zu überprüfen.

Wallet-Aktivitäten überwachen. Dienste, die bei ungewöhnlichen Transaktionen alarmieren, können eine Frühwarnung bei Kompromittierungen bieten und potenziell Verluste begrenzen, bevor Angreifer ganze Wallets leeren.

Für die Branche​

Stärkung des npm-Ökosystems. Das npm-Register ist eine kritische Infrastruktur für die Web3-Entwicklung, dennoch fehlen ihm viele Sicherheitsfunktionen, die eine wurmartige Ausbreitung verhindern würden. Obligatorische Code-Signierung, reproduzierbare Builds und Anomalieerkennung für Paket-Updates könnten die Hürde für Angreifer erheblich erhöhen.

Überdenken der Sicherheit von Browser-Erweiterungen. Das aktuelle Modell – in dem Erweiterungen automatisch aktualisiert werden und umfassende Berechtigungen haben – ist grundlegend unvereinbar mit den Sicherheitsanforderungen für die Verwahrung erheblicher Vermögenswerte. Sandboxed-Ausführungsumgebungen, verzögerte Updates mit Benutzerprüfung und reduzierte Berechtigungen könnten helfen.

Koordinierung der Reaktion auf Vorfälle. Die Shai-Hulud-Kampagne betraf Hunderte von Projekten im gesamten Krypto-Ökosystem. Ein besserer Informationsaustausch und eine koordinierte Reaktion hätten den Schaden begrenzen können, sobald kompromittierte Pakete identifiziert wurden.

Die Zukunft der Supply-Chain-Sicherheit im Kryptobereich​

Die Kryptowährungsbranche hat ihre Sicherheitsbemühungen historisch auf Smart-Contract-Audits, Cold Storage von Börsen und Phishing-Schutz für Nutzer konzentriert. Die Shai-Hulud-Kampagne zeigt, dass die gefährlichsten Angriffe von kompromittierten Entwickler-Tools ausgehen können – einer Infrastruktur, mit der Krypto-Nutzer nie direkt interagieren, die aber jeder Anwendung zugrunde liegt, die sie nutzen.

Da Web3-Anwendungen immer komplexer werden, vergrößern sich ihre Abhängigkeitsgraphen. Jedes npm-Paket, jede GitHub-Action, jede CI/CD-Integration stellt einen potenziellen Angriffsvektor dar. Die Reaktion der Branche auf Shai-Hulud wird darüber entscheiden, ob dies ein einmaliger Weckruf bleibt oder der Beginn einer Ära von Supply-Chain-Angriffen auf die Krypto-Infrastruktur ist.

Bisher bleiben die Angreifer unbekannt. Ungefähr 2,8 Millionen US-Dollar an gestohlenen Trust-Wallet-Geldern befinden sich noch in den Wallets der Angreifer, während der Rest über zentralisierte Börsen und Cross-Chain-Bridges gewaschen wurde. Die früheren Diebstähle der breiteren Shai-Hulud-Kampagne in Höhe von über 50 Millionen US-Dollar sind größtenteils in den pseudonymen Tiefen der Blockchain verschwunden.

Der Sandwurm hat sich tief in die Fundamente von Krypto eingegraben. Ihn auszumerzen wird ein Umdenken bei Sicherheitsannahmen erfordern, die die Branche seit ihren Anfängen als selbstverständlich erachtet hat.

---

Der Aufbau sicherer Web3-Anwendungen erfordert eine robuste Infrastruktur. BlockEden.xyz bietet RPC-Nodes und APIs auf Enterprise-Niveau mit integrierter Überwachung und Anomalieerkennung, die Entwicklern helfen, ungewöhnliche Aktivitäten zu identifizieren, bevor sie die Nutzer beeinträchtigen. Erkunden Sie unseren API-Marktplatz, um auf sicherheitsorientierten Fundamenten aufzubauen.