Nordkorea stahl 76% des gesamten Krypto-Hack-Werts im Jahr 2026 — mit nur zwei Angriffen
Ein staatlich gefördertes Hacking-Programm, gebaut innerhalb einer sanktionierten Regierung, führte 12 Minuten Code aus und machte sich mit 577 Millionen US-Dollar davon. Das ist kein Cybercrime. Das ist staatlich gesteuerte finanzielle Kriegsführung — und die Krypto-Industrie ist ihr wichtigstes Schlachtfeld.
📊 Q2 2026 — Das am häufigsten angegriffene Quartal in der Geschichte des Krypto-Sektors
◆ Hacker verübten im zweiten Quartal 2026 83 Vorfälle — das Quartal mit den bisher meisten erfassten Exploits in der Geschichte der Krypto-Industrie; die gesamten Verluste im Quartal beliefen sich auf 755,3 Millionen US-Dollar (Crypto Economy)
◆ Bis Ende Mai 2026 überstiegen die gesamten DeFi-Hack-Verluste des Jahres 840 Millionen US-Dollar über mehr als 50 Vorfälle — das entspricht einem 70%igen Anstieg gegenüber demselben Zeitraum im Jahr 2025 (altFINS)
◆ April 2026 wurde als der schlimmste Monat in der Geschichte von DeFi identifiziert — über 30 einzelne Angriffe wurden erfasst, die Angreifer insgesamt rund 635 Millionen US-Dollar einbrachten; einer der höchsten monatlichen Verlustwerte seit Anfang 2025 (Finextra)
◆ Noch am 24. Juni 2026 wurde SecondFi im Cardano-Ökosystem mit geschätzten 19,4–20 Millionen US-Dollar ausgebeutet. Ursache war ein Fehler in der proprietären Wallet-Generierungssoftware; SlowMist-Analysten schätzten, dass bis zu 129 Millionen ADA kompromittiert wurden (Bitcoin Foundation)
🇰🇵 Nordkoreas Lazarus Group — Die verifizierten Zahlen
◆ Nordkoreanische Hackergruppen machten 76 % des gesamten Krypto-Hack-Werts im Jahr 2026 bis April aus — nicht weil sie eine Angriffswelle losgetreten haben, sondern weil zwei Angriffe zusammen 577 Millionen US-Dollar ausmachten und alles andere in den Schatten stellten; diese beiden Angriffe entsprechen nur 3 % der Vorfallanzahl in 2026 (TRM)
◆ Akteure mit Bezug zur DVRK stahlen 2025 2,02 Milliarden US-Dollar — ein Anstieg von 51 % gegenüber dem Vorjahr. Die kumulierte, zugerechnete Kryptodiebstahlssumme Nordkoreas übersteigt inzwischen 6,75 Milliarden US-Dollar seit 2017 (Sanctions.io)
◆ Allein in den vergangenen zwei Wochen im April überwies die Gruppe mehr als 500 Millionen US-Dollar aus zwei Exploits; ein leitender Blockchain-Sicherheitsforscher bei CertiK sagte, die Kryptoindustrie müsse anfangen, Lazarus genauso zu betrachten wie Banken staatlich unterstützte Cyber-Akteure — „als eine ständige und gut finanzierte Bedrohung, nicht nur als weitere Schlagzeile“ (CoinDesk)
◆ Das UN-Gremium von Sachverständigen schätzt, dass Kryptodiebstahl einen wesentlichen Anteil an den Programmen zur Entwicklung ballistischer Raketen und nuklearer Waffen Nordkoreas finanziert. In Berichten des Sicherheitsrats dokumentierte Transaktionsanalysen verknüpfen zugeordneten Erlöse mit Beschaffungsnetzwerken für Waffen (Sanctions.io)
🌉 Angriff Nr. 1 — Drift Protocol: 285 Millionen US-Dollar, 12 Minuten, 6 Monate Planung
◆ Der Drift-Protocol-Einbruch am 1. April 2026 umfasste drei Wochen Vorbereitungsphase vor dem Angriff und mehrere Monate Social Engineering, um Protokollsignierer zu kompromittieren. Die vollständige Entleerung von 285 Millionen US-Dollar wurde anschließend in etwa 12 Minuten ausgeführt (TRM)
◆ Der Drift-Angriff war kein Code-Exploit — es war eine sechsmonatige Social-Engineering-Operation, die sich gegen die Menschen richtete, die Admin-Keys kontrollieren. Kompromittierungen privater Schlüssel machten den Großteil der gestohlenen Gelder aus, und Smart-Contract-Audits bieten keinerlei Schutz gegen einen Entwickler, der von einem staatlich unterstützten Team mit Monaten Geduld ins Visier genommen wird (Phemex)
◆ Die gestohlenen Token wurden über Jupiter in USDC umgewandelt, nach Ethereum gebridget und dann in ETH getauscht — verteilt auf frische Wallets, bevor sie inaktiv wurden; die gestohlene ETH hat sich seit dem Diebstag nicht mehr bewegt. Das passt zu Nordkoreas dokumentierter Strategie, Erlöse für Monate oder Jahre zu halten, bevor ein strukturierter Cashout ausgeführt wird (TRM)
🌉 Angriff Nr. 2 — KelpDAO: 292 Millionen US-Dollar durch eine einzelne Schwachstelle in der Bridge
◆ Am 18. April 2026 wurde KelpDAO mit ungefähr 290 Millionen US-Dollar ausgebeutet, nachdem zwei Blockchain-Server, die LayerZero hosteten, kompromittiert wurden. Ein Token, der mit dem Ethereum-Netzwerk verknüpft ist, wurde über eine gefälschte Cross-Chain-Nachricht abgezogen; in der Stellungnahme von LayerZero hieß es: „Vorläufige Indikatoren deuten auf eine Zuschreibung an einen hochspezialisierten staatlichen Akteur hin, wahrscheinlich die Lazarus Group der DVRK“ (UPI)
◆ Der Angreifer nutzte den Bridge-Contract des Protokolls aus und erzeugte nicht abgesicherte Token. Anschließend verwendete er diese, um echte Assets zu leihen. Cyvers beschrieb dies als „genau so, wie diese Art von Exploit so schnell eskaliert“ und bestätigte, dass es zu einem Cross-Protocol-Contagion-Event wurde, das mindestens 9 Protokolle gleichzeitig betraf. Aave V3, SparkLend, Fluid, Compound und Euler wechselten alle in den Modus „Exposition einfrieren“ (CryptoPotato)
◆ Nachdem der Arbitrum Security Council ungefähr 75 Millionen US-Dollar der gestohlenen Gelder eingefroren hatte, wurden etwa 175 Millionen US-Dollar in ETH über THORChain bewegt und in Bitcoin umgewandelt — derselbe Geldwäsche-Weg, der auch beim Bybit-Diebstahl 2025 genutzt wurde. THORChain verarbeitete den Großteil der Erlöse aus beiden Vorfällen und wandelte dabei hunderte Millionen in gestohlener ETH in Bitcoin um, ohne dass Operator eingreifen mussten (TRM)
◆ Mehr als 13 Milliarden US-Dollar wurden in den zwei Tagen nach dem KelpDAO-Einbruch allein aus dem gesamten DeFi-TVL gelöscht (UPI)
🦠 Der neue Angriffspfad, den niemand kommen sah — „Mach-O Man“
◆ Die Lazarus Group fährt inzwischen eine auf macOS ausgerichtete Kampagne namens „Mach-O Man“, die Führungskräfte in Fintech- und Krypto-Firmen über routinemäßige Geschäftskommunikation ins Visier nimmt — dabei wird eine Social-Engineering-Technik namens ClickFix eingesetzt: Opfer werden in gefälschte Online-Meetings gelockt und angewiesen, einen Befehl in das Mac-Terminal einzufügen, wodurch Angreifern Zugriff auf Unternehmens- und Finanzsysteme gewährt wird (CoinDesk)
◆ Mach-O Man ist ein modulares Malware-Kit, das sich oft selbst löscht, bevor die Opfer merken, dass sie kompromittiert wurden — „Die meisten Opfer dieses Hacks werden erst merken, dass ihre Sicherheit verletzt wurde, wenn der Schaden bereits angerichtet ist. Zu diesem Zeitpunkt hat die Malware sich bereits gelöscht“, so der leitende Blockchain-Sicherheitsforscher von CertiK (CoinDesk)
◆ Am 12. März 2026 benannte das OFAC neue Sanktionsziele, die mit dem IT-Worker-Programm Nordkoreas verknüpft sind. Dieses Programm hat sich von Operativen, die sich bei Krypto-Firmen um Remote-Jobs bewerben, zu einem System entwickelt, das gefälschte Einstellungsverfahren orchestriert: Dabei geben sie sich als Recruiter für namhafte Web3- und KI-Unternehmen aus, um Zugangsdaten, Quellcode und VPN-Zugriffe abzugreifen (Sanctions.io)
⚠️ Warum Cross-Chain-Bridges weiterhin das wertvollste Ziel sind
◆ Schwachstellen in Cross-Chain-Bridges machten 351 Millionen US-Dollar — fast die Hälfte — der gesamten Verluste im 2. Quartal 2026 aus; der Exploit der LayerZero-Bridge allein ermöglichte den KelpDAO-Einbruch (Blockchain News)
◆ Bridges halten große Pools gesperrter Assets und stützen sich auf Cross-Chain-Nachrichtensysteme, die nur schwer zu verifizieren sind. Wenn eine Bridge ausfällt, kann ein Angreifer das gesamte Reservepolster, das Wrapped-Token über mehrere Ketten absichert, in einer einzigen Transaktion abziehen — deshalb sind Bridges die wertvollsten Ziele im DeFi; das Problem ist architektonisch, nicht nur implementierungsbedingt (1inch)
◆ Mitchell Amador, CEO der Bug-Bounty-Plattform Immunefi, warnte, dass Fortschritte in der künstlichen Intelligenz diese Trends verschärfen — er beschrieb den Anstieg von KI-gestütztem Hacking als eine „Vulnerability Apocalypse“: Angreifer nutzten maschinelles Lernen, um Schwachstellen in beispiellosem Ausmaß auszunutzen (Crypto Economy)
🔍 Die unbequeme Realität
Kompromittierte Konten machen inzwischen mehr als 50 % aller DeFi-Angriffe aus — gemessen an der Anzahl der Vorfälle. Damit überholen sie traditionelle Smart-Contract-Exploits erstmals als Hauptursache für Verluste; nach Dollarwert ist diese Verzerrung noch deutlicher (altFINS)
Das Muster ist bei jedem großen Vorfall im Jahr 2026 konsistent: Der Code ist nicht mehr die schwächste Stelle. Die Menschen, die die Schlüssel kontrollieren, sind es. Eine sechsmonatige Social-Engineering-Kampagne, die sich gegen einen einzelnen Entwickler richtet, reicht aus, um ein Protokoll auszupressen, das Hunderte Millionen verwaltet. Kein Audit deckt das auf. Kein Upgrade von Smart Contracts verhindert das. Das Sicherheitsmodell der Branche wurde für die falsche Bedrohung gebaut.
Während Nordkorea eine Art staatlich finanzierte Cyber-Operation betreibt, die seit 2017 6,75 Milliarden US-Dollar an Krypto stahl, um Waffenprogramme zu finanzieren — sollten globale Krypto-Plattformen rechtlich verpflichtet sein, Cybersecurity-Standards auf Regierungsniveau umzusetzen, oder widerspricht das grundsätzlich dem, wofür dezentrale Finanzierung eigentlich stehen soll?
#CryptoSecurity #DeFiHacks #BlockchainSecurity #LazarusGroup #Web3
