Nordkorea erbeutet 2,02 Milliarden Dollar durch Krypto-Diebstähle

Das Jahr 2025 markiert einen Wendepunkt in der Cyberkriminalität im Kryptosektor. Nordkoreanische Hackergruppen haben ihre Vorgehensweise grundlegend verändert: Weniger Angriffe, dafür deutlich höhere Beute pro Vorfall. Parallel dazu zeigt sich eine unerwartete Entwicklung bei dezentralen Finanzprotokollen, während private Wallets zunehmend ins Visier geraten. Das Chainalysis-Team hat die Entwicklungen des vergangenen Jahres analysiert.

Gesamtvolumen der Krypto-Diebstähle erreicht 3,4 Milliarden Dollar

Von Januar bis Dezember 2025 wurden im Kryptowährungssektor Vermögenswerte im Wert von über 3,4 Milliarden US-Dollar entwendet. Der Angriff auf die Börse Bybit im Februar macht mit 1,5 Milliarden Dollar knapp die Hälfte dieser Summe aus.

Die Verteilung der Diebstähle hat sich verschoben. Während 2022 nur 7,3 Prozent der entwendeten Werte aus privaten Wallets stammten, lag dieser Anteil 2024 bei 44 Prozent. Zentralisierte Dienste verzeichnen trotz professioneller Sicherheit weiterhin massive Verluste durch kompromittierte private Schlüssel. Im ersten Quartal 2025 entfielen 88 Prozent der gestohlenen Gelder auf diese Angriffskategorie.

Konzentration auf Großangriffe nimmt zu

Die drei größten Angriffe des Jahres vereinen 69 Prozent aller Verluste auf sich. Erstmals übersteigt das Verhältnis zwischen dem größten Einzelangriff und dem Medianwert aller Vorfälle das 1.000-fache – eine neue Dimension der Konzentration.

Nordkorea: Weniger Angriffe, höhere Erfolgsrate

Die Demokratische Volksrepublik Korea bleibt der aktivste staatliche Akteur im Bereich Kryptowährungs-Cyberkriminalität. 2025 erbeuteten nordkoreanische Hacker mindestens 2,02 Milliarden Dollar – ein Anstieg von 51 Prozent gegenüber dem Vorjahr und 681 Millionen Dollar mehr als 2024.

Dieser Rekordwert wurde mit deutlich weniger Angriffen erzielt. Von Nordkorea ausgehende Angriffe machen 76 Prozent aller kompromittierten Dienste aus. Die kumulierte Gesamtsumme seit Beginn der Erfassung beläuft sich nun auf mindestens 6,75 Milliarden Dollar.

Neue Angriffsmethoden durch IT-Infiltration

Nordkoreanische Akteure schleusen IT-Mitarbeiter in Kryptodienste ein, um privilegierte Zugänge zu erlangen. Eine neuere Entwicklung: Angreifer geben sich als Personalvermittler renommierter Web3- und KI-Unternehmen aus. In simulierten Bewerbungsprozessen sammeln sie Zugangsdaten, Quellcode und VPN-Zugriffe zum tatsächlichen Arbeitgeber.

Auf Führungsebene treten die Akteure als strategische Investoren auf und nutzen vorgetäuschte Due-Diligence-Prüfungen, um Informationen über Systemarchitekturen zu gewinnen.

Charakteristische Geldwäsche-Strukturen

Die massive Menge gestohlener Gelder Anfang 2025 ermöglicht detaillierte Einblicke in die Geldwäsche-Mechanismen nordkoreanischer Akteure. Ihre Vorgehensweise unterscheidet sich systematisch von anderen Cyberkriminellen.

Nordkoreanische Hacker strukturieren ihre Blockchain-Transaktionen in kleineren Beträgen: Über 60 Prozent des Volumens liegt unter 500.000 Dollar pro Transfer. Andere Akteure verschieben dagegen mehr als 60 Prozent ihrer Gelder in Tranchen zwischen 1 und 10 Millionen Dollar. Diese Aufteilung in kleinere Pakete deutet auf ausgefeilte Verschleierungsstrategien hin.

Präferierte Dienste und Plattformen

Die Analyse zeigt klare Präferenzen für bestimmte Geldwäsche-Infrastrukturen:

Von nordkoreanischen Akteuren bevorzugt:

• Chinesischsprachige Garantie- und Transferdienste (355 bis über 1.000 Prozent höhere Nutzung)
• Cross-Chain-Brücken (97 Prozent häufiger genutzt)
• Kryptowährungs-Mischdienste (100 Prozent höhere Verwendung)
• Spezialisierte Plattformen wie Huione (356 Prozent häufiger)

Von anderen Akteuren bevorzugt:

• DeFi-Kreditprotokolle (80 Prozent weniger von DVRK genutzt)
• KYC-freie Börsen (75 Prozent geringere DVRK-Nutzung)
• Peer-to-Peer-Börsen (64 Prozent weniger)
• Zentralisierte Börsen (25 Prozent weniger)
• Dezentrale Börsen (42 Prozent weniger)

Diese Muster zeigen, dass nordkoreanische Akteure unter anderen Rahmenbedingungen operieren als gewöhnliche Cyberkriminelle. Die intensive Nutzung chinesischsprachiger Geldwäschenetze und OTC-Händler deutet auf etablierte Verbindungen zu illegalen Strukturen im asiatisch-pazifischen Raum hin.

45-Tage-Zyklus der Geldwäsche

Die Analyse von On-Chain-Bewegungen nach nordkoreanischen Angriffen zeigt einen konsistenten dreiphasigen Prozess:

Welle 1: Sofortmaßnahmen (Tag 0-5) – DeFi-Protokolle verzeichnen einen Anstieg von 370 Prozent bei Zuflüssen gestohlener Gelder. Mischdienste erleben ein Plus von 135 bis 150 Prozent.

Welle 2: Erste Integration (Tag 6-10) – Börsen mit eingeschränktem KYC empfangen erste Geldflüsse. Cross-Chain-Brücken verzeichnen ein Plus von 141 Prozent.

Welle 3: Umwandlung (Tag 20-45) – KYC-freie Börsen und chinesischsprachige Plattformen fungieren als finale Umwandlungspunkte in Fiat-Währungen.

Dieses konsistente Muster über mehrere Jahre liefert wichtige Ansatzpunkte für Strafverfolgung und Compliance.

Private Wallets: Steigende Opferzahlen

Die Zahl kompromittierter privater Wallets ist 2025 auf 158.000 Vorfälle gestiegen – dreimal so viel wie 2022. Die Zahl einzelner Opfer verdoppelte sich auf mindestens 80.000. Solana verzeichnete etwa 26.500 betroffene Nutzer.

Trotz steigender Vorfallzahlen sank der Gesamtwert der gestohlenen Gelder von 1,5 Milliarden Dollar 2024 auf 713 Millionen Dollar 2025. Angreifer zielen auf mehr Nutzer ab, erbeuten jedoch pro Opfer geringere Beträge.

Die Analyse der Diebstahlraten zeigt deutliche Unterschiede zwischen Blockchain-Netzwerken. Ethereum und Tron weisen die höchsten Raten auf, während Base und Solana trotz bedeutender Nutzergruppen niedrigere Opferraten verzeichnen.

DeFi-Protokolle: Sicherheit verbessert sich

Der DeFi-Sektor zeigt 2025 eine Abweichung von historischen Mustern. Während 2020-2021 Total Value Locked und Hack-Verluste parallel stiegen und 2022-2023 gemeinsam zurückgingen, erholte sich der TVL 2024-2025 deutlich, während Hack-Verluste niedrig blieben.

Diese Entwicklung deutet auf verbesserte Sicherheitsmaßnahmen hin. Das Beispiel Venus Protocol illustriert die Wirksamkeit moderner Architekturen: Im September 2025 erkannte die Sicherheitsüberwachung einen Angriff, das Protokoll wurde innerhalb von 20 Minuten gestoppt. Nach 12 Stunden waren die Gelder zurückgeholt und der Dienst wiederhergestellt.

Die Kombination aus proaktiver Überwachung, schnellen Reaktionsmöglichkeiten und handlungsfähigen Governance-Mechanismen hat das Ökosystem widerstandsfähiger gemacht.

Perspektiven für 2026

Die Fähigkeit nordkoreanischer Akteure, weniger, aber folgenschwerere Angriffe durchzuführen, demonstriert zunehmende operative Reife. Die konsistenten Präferenzen für bestimmte Dienstleistungen und Transferbeträge bieten Erkennungsmöglichkeiten für Ermittler.

Die Herausforderung für 2026 liegt darin, hochgradig schädliche Operationen zu erkennen und zu verhindern, bevor ein weiterer Vorfall im Ausmaß von Bybit entsteht. Gleichzeitig zeigen die Fortschritte im DeFi-Sektor, dass verbesserte Sicherheitsarchitekturen messbare Erfolge erzielen können.

„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“

Entdecken Sie außerdem

---

Bild/Quelle: https://depositphotos.com/de/home.html