Im juengsten Jahresbericht der Blockchain-Analysefirma Chainalysis wird ein neuer Hoechststand bei Krypto-Diebstaehlen verzeichnet: 3,41 Milliarden US‑Dollar gingen im vergangenen Jahr durch Hacks verloren. Auffaellig ist, dass mehr als die Haelfte dieser Summe auf staatlich gesteuerte Hackergruppen aus Nordkorea entfaellt, die ihre Operationen gegen Krypto-Börsen und Web3-Unternehmen weltweit weiter professionalisieren.
Nordkorea als Schwergewicht der Krypto-Kriminalitaet
Laut Chainalysis sind mindestens 2,02 Milliarden US‑Dollar der gestohlenen Kryptowerte auf Strukturen zurueckzufuehren, die mit der Demokratischen Volksrepublik Korea (DVRK) in Verbindung stehen. Diese Zahl gilt als konservative Schaetzung und liegt mehr als 50 % ueber dem Vorjahreswert von rund 1,3 Milliarden US‑Dollar.
Auf Sicht der letzten fuenf Jahre summieren sich die Nordkorea zugeschriebenen Krypto-Diebstaehle auf mindestens 6,75 Milliarden US‑Dollar. Untersuchungen der Vereinten Nationen und des UN-Sicherheitsrats bestaetigen seit Jahren, dass solche Erloese genutzt werden, um internationale Sanktionen zu umgehen und staatliche Programme – einschliesslich Raketen- und Nuklearprojekte – zu finanzieren. Kryptowaehrungen sind dabei besonders attraktiv, weil sie global, schnell und pseudonym transferiert werden koennen.
Bybit-Hack: Groesster Krypto-Diebstahl der Geschichte
Der groesste Einzelvorfall des Berichtsjahres ist der Hack der Krypto-Börse Bybit im Februar. Dabei wurden fast 1,5 Milliarden US‑Dollar entwendet – der bislang groesste bekannte Krypto-Diebstahl.
Die Attacke wird der Gruppe TraderTraitor (auch Jade Sleet oder Slow Pisces) zugeschrieben, die als Teil der beruechtigten Lazarus Group gilt. Lazarus ist bereits fuer fruehere Grossvorfaelle wie den Ronin-/Axie-Infinity-Hack 2022 oder den Angriff auf Coincheck 2018 verantwortlich gemacht worden. Im aktuellen Zeitraum entfaellt durch den Bybit-Hack allein rund 70 % der nordkoreanischen Beute auf einen einzigen, hochprofessionell geplanten Angriff.
Taktiken nordkoreanischer APT-Gruppen gegen Krypto-Börsen und Web3
Dream-Job-Kampagnen: Social Engineering ueber LinkedIn und Co.
Ein zentrales Einfallstor bildet die sogenannte „Dream Job“-Operation. Hierbei gehen die Angreifer gezielt auf Fachkraefte in sicherheitskritischen Branchen – etwa Verteidigung, Luft- und Raumfahrt, Hightech oder auch Krypto – zu und geben sich auf LinkedIn, WhatsApp oder aehnlichen Kanaelen als Recruiter namhafter Unternehmen aus.
Nach Aufbau einer Vertrauensbasis erhalten die Opfer angebliche Testaufgaben oder technische Unterlagen, die mit Schadcode infiziert sind. Im Bericht werden u. a. die Malware-Familien BURNBOOK, MISTPEN und BADCALL genannt. Gelingt die Infektion, erhalten die Angreifer Zugriff auf Arbeitsstationen und interne Netzwerke – die Grundlage, um sensible Daten zu stehlen oder spaeter Wallets, Backend-Systeme und Admin-Zugriffe zu kompromittieren. Aehnliche Kampagnen wurden von Sicherheitsbehoerden wie CISA, FBI und Europol bereits mehrfach dokumentiert.
Wagemole: Verdeckte Anstellung als langfristiger Insider-Zugang
Als zweiter strategischer Angriffsvektor wird von Chainalysis die Kampagne „Wagemole“ beschrieben. Hierbei lassen sich nordkoreanische IT-Spezialisten gezielt als externe Entwickler oder Remote-Mitarbeiter bei Krypto-Börsen und Web3-Projekten anstellen. Sie nutzen gefälschte Identitaeten, manipulierte Lebenslaeufe und Scheinfirmen wie DredSoftLabs oder Metamint Studio, um klassische Background-Checks zu umgehen.
Sobald diese Akteure als „legitime“ Mitarbeiter gelten, koennen sie schrittweise privilegierte Zugriffsrechte auf Wallet-Infrastruktur, Key-Management-Systeme oder interne Administrationswerkzeuge aufbauen. Chainalysis erwartet, dass ein signifikanter Teil der erfolgreichen Krypto-Diebstaehle der kommenden Jahre direkt oder indirekt auf solche verdeckten Insider-Platzierungen zurueckzufuehren sein wird – insbesondere in stark remote-orientierten Web3-Unternehmen.
Geldwaesche: Bruecken, Mixer und asiatische OTC-Desks
Nach einem erfolgreichen Hack steht fuer die Angreifer die Verschleierung der Herkunft der gestohlenen Coins im Vordergrund. Nordkoreanische Gruppen nutzen dafuer ein mehrstufiges Geldwaesche-Ökosystem aus Cross-Chain-Bruecken, dezentralen Boersen, Krypto-Mixern und spezialisierten OTC-Desks (Over-the-Counter).
Chainalysis hebt besonders die Rolle chinesischer Geldtransferdienste und Plattformen wie Huione hervor. Haeufig dauert ein kompletter Geldwaesche-Zyklus rund 45 Tage: Die Mittel werden in viele kleine Transaktionen aufgespalten, ueber mehrere Blockchains verschoben, durch Mixer geleitet und schliesslich in liquide Assets oder Fiatwaehrungen getauscht. Die enge Verzahnung mit kriminellen Netzwerken im asiatisch-pazifischen Raum erschwert internationale Strafverfolgung erheblich und fuehrt zu immer staerker regulativen Gegenmassnahmen, etwa durch Sanktionen gegen Mixer-Dienste.
Konsequenzen fuer die Cybersicherheit von Krypto-Börsen und Web3-Projekten
Die aktuellen Erkenntnisse zeigen, dass sich Bedrohungen fuer die Kryptoindustrie von rein technischen Exploits hin zu langfristigen, mehrstufigen Operationen entwickeln, die Social Engineering, Insider-Zugriff und ausgereifte Geldwaesche kombinieren. Fuer Börsen, Wallet-Anbieter und Web3-Protokolle reicht klassische Perimeter-Security laengst nicht mehr aus.
Organisationen sollten ihre Personalsicherheitsprozesse deutlich verschaerfen: gruendliche Identitaetspruefungen, verifizierbare Referenzen, kontinuierliche Nachpruefung von Remote-Mitarbeitern und Dienstleistern sowie klare Richtlinien fuer den Umgang mit Code-Beitraegen externer Entwickler. Parallel dazu sind Zero-Trust-Architekturen, strikte Netzwerksegmentierung und der Least-Privilege-Grundsatz fuer alle Zugriffe auf Wallets, Schluessel und Backend-Systeme zentral.
Ebenso wichtig ist ein durchgaengiges Monitoring von Admin-Accounts und On-Chain-Aktivitaeten. Der Einsatz von Blockchain-Analyse-Tools, die in Echtzeit verdächtige Transaktionen und bekannte Hacker-Adressen markieren, kann im Ernstfall entscheidende Minuten gewinnen. Schulungen zu Social Engineering, regelmaessige Phishing-Simulationen und ein eingeuebter Incident-Response-Plan erhoehen die Resilienz zusaetzlich.
Angesichts der dokumentierten Rolle nordkoreanischer APT-Gruppen sollten Marktteilnehmer Krypto-Diebstaehle nicht als unvermeidbares Betriebsrisiko hinnehmen, sondern als strategische Bedrohung behandeln. Wer jetzt in robuste Sicherheitsarchitekturen, Mitarbeiteraufklaerung und Kooperation mit internationalen Ermittlungs- und Analyseorganisationen investiert, reduziert nicht nur das eigene Verlustrisiko, sondern traegt auch dazu bei, den Missbrauch von Kryptowaehrungen zur Finanzierung staatlich gesteuerter Kriminalitaet nachhaltig einzudaemmen.
