Nordkoreanische Cybergruppen haben laut der Blockchain-Forensikfirma Elliptic in den ersten neun Monaten 2025 Kryptoassets im Wert von über 2 Mrd. US‑Dollar entwendet. Der kumulierte, bestätigte Schaden, der über die Jahre dem nordkoreanischen Ökosystem zugeschrieben wird, übersteigt damit 6 Mrd. US‑Dollar. Mehrere Berichte von UN-Gremien sowie Einschätzungen US-Behörden zufolge könnten diese Erlöse zur Finanzierung von Rüstungs- und Raketenprogrammen der DVRK beitragen.
Umfang und Dynamik der Kryptoangriffe 2025
Die von Elliptic gemeldete Schadenssumme liegt nahezu drei Mal über dem Niveau von 2024 und übertrifft den bisherigen Höchststand von 1,35 Mrd. US‑Dollar aus 2022 (u. a. Angriffe auf Ronin Network und den Cross‑Chain‑Bridge‑Dienst Harmony) deutlich. Die Analysten bewerten ihre Zahl als konservativ: Nicht jeder Vorfall wird zeitnah entdeckt, und eine belastbare Attribution ist oft erst mit Verzögerung möglich.
Bybit-Hack: Single Point of Failure als systemisches Risiko
Der größte Einzelvorfall 2025 war der Angriff auf die Börse Bybit im Februar mit geschätzten 1,46 Mrd. US‑Dollar Verlust. Obwohl technische Details kaum öffentlich sind, macht der Fall die Bedeutung von Schlüsselmanagement, Rollen- und Rechte‑Segregation, mehrstufigen Auszahlungsfreigaben sowie einer strikten Trennung von Hot-, Warm- und Cold‑Wallets deutlich. Die hohe Asset‑Konzentration auf zentralisierten Plattformen bleibt ein wesentlicher Risikotreiber.
Weitere Angriffe und Zielausweitung
Elliptic führt dem nordkoreanischen Akteursumfeld rund 30 Vorfälle in 2025 zu. Genannt werden unter anderem LND.fi, WOO X, Seedify sowie die taiwanische Börse BitoPro, bei der die Gruppe Lazarus etwa 11 Mio. US‑Dollar entwendet haben soll. Das Angriffsspektrum erweitert sich: Neben Smart‑Contracts und Bridges geraten zunehmend zentralisierte Dienste und High‑Net‑Worth‑Individuen in den Fokus.
Taktiken: Von DeFi‑Exploits zu Social Engineering
Die TTPs (Tactics, Techniques and Procedures) verlagern sich weg von breit angelegten DeFi‑Exploits hin zu zielgerichteter sozialer Manipulation. Im Vordergrund stehen Spear‑Phishing, fingierte Headhunter‑Anfragen, präparierte Projekt‑Investments sowie die Kompromittierung von Arbeitsstationen. Dieser Ansatz reduziert die Abhängigkeit von seltenen Code‑Schwachstellen und nutzt systematisch den Faktor Mensch als Eintrittspunkt, etwa durch Wallet‑Drainer, manipulierte Browser‑Plug‑ins oder signierte, doch bösartige Pakete.
Geldwäsche: Multi‑Mixer, Cross‑Chain‑Routen und Nischenketten
In der Nachverfolgung beobachtet Elliptic mehrstufige Layering-Strategien: Sequenzen über mehrere Mixer, intensives Cross‑Chain‑Hopping, der Rückgriff auf weniger frequentierte Blockchains, der Erwerb von Utility‑Tokens zur Verschleierung von Flussmustern sowie der Einsatz von „Return Addresses“ und eigens emittierten Custom‑Tokens. Nach Sanktionen gegen Dienste wie Blender, Tornado Cash und Sinbad fragmentieren Täter Ströme in kleinere Batches und kombinieren legitime Services mit Nischenplattformen, um On‑Chain‑Forensik zu erschweren.
Implikationen und konkrete Sicherheitsmaßnahmen
Für Börsen und Verwahrer empfehlen sich MPC‑Wallets (Multi‑Party Computation) zur Schlüsselteilung, strikt getrennte Berechtigungen, mehrstufige Freigabeprozesse für Auszahlungen, Allowlists, verhaltensbasierte Anomalieerkennung bei Abflüssen sowie die Integration von On‑Chain‑Analytik und Sanktions‑Screening. Regelmäßige Red‑Team‑Übungen und Incident‑Response‑Drills erhöhen die Resilienz.
DeFi‑Projekte sollten auf unabhängige Smart‑Contract‑Audits, Risikolimits für Bridges und klar definierte Circuit Breaker mit geordneten Wiederanlaufprozeduren setzen. Für Privatanleger bleiben Hardware‑Wallets, Kaltlagerung, sorgfältige Domain‑ und Contract‑Prüfung, Verzicht auf unbekannte Software, die Trennung von Arbeits‑ und Cold‑Geräten sowie Skepsis gegenüber vermeintlichen „Refunds“ und Airdrops zentrale Basishygienemaßnahmen.
Die Rekordsumme 2025 unterstreicht die Ressourcenstärke nordkoreanischer Akteure und zugleich strukturelle Verwundbarkeiten des Kryptomarkts. Prioritäten sind ein harter Schutz der Schlüssel, kontinuierliche Schulung von Personal und Nutzern, proaktives Monitoring von On‑Chain‑Mustern und eine enge Kooperation mit Ermittlungsbehörden. Branchenweite Threat‑Intelligence‑Sharing‑Initiativen und die laufende Aktualisierung von Bedrohungsmodellen helfen, der schnellen Taktik‑Evolution voraus zu sein.
