Nordkoreas berüchtigte Hackergruppe Lazarus steht im Verdacht, rund 44.5 Milliarden Won (etwa 30.4 Millionen Dollar) von Upbit gestohlen zu haben – Südkoreas mit Abstand grösster Krypto-Börse.
Die Börse meldete ungewöhnliche Abhebungen von Solana-basierten Krypto-Assets und stoppte umgehend sämtliche Ein- und Auszahlungen. Nach Informationen der südkoreanischen Nachrichtenagentur Yonhap bereiten sich die Behörden auf eine Vor-Ort-Inspektion bei Upbit vor, da das Angriffsmuster jenem aus dem Jahr 2019 ähnelt – damals wurden 342'000 ETH (heute knapp 1 Mrd. USD) von der Börse entwendet. Die südkoreanische Polizei kam bereits 2024 zum Schluss, dass die Lazarus-Gruppe hinter diesem Diebstahl steckte. Mindestens 24 Solana-basierte Token wurden aus einer kompromittierten Hot Wallet abgezogen. Onchain-Daten zeigen, dass eine mit dem Angriff in Verbindung stehende Wallet bereits damit begonnen hat, Solana gegen USDC zu tauschen und Gelder über Bridges nach Ethereum zu transferieren.
Abonnieren Sie unseren Newsletter
Die besten Artikel der Woche direkt in ihre Mailbox geliefert.
Bewährte Taktik: Social Engineering statt technischer Exploit
Die mutmassliche Vorgehensweise der Angreifer folgt einem bekannten Muster: Anstatt die Server direkt anzugreifen, kompromittierten die Hacker vermutlich Administrator-Konten oder gaben sich als Administratoren aus, um die Transaktionen zu autorisieren. Diese Methode des Social Engineering hat sich für die Lazarus-Gruppe als äusserst profitabel erwiesen.
Der aktuelle Upbit-Fall reiht sich in eine lange Serie hochkarätiger Krypto-Diebstähle ein. Allein im Jahr 2025 haben nordkoreanische Hacker mehr als 2 Milliarden Dollar in Kryptowährungen gestohlen – der höchste je erfasste Jahreswert. Den Löwenanteil machte der 1.46-Milliarden-Dollar-Diebstahl von der Börse Bybit im Februar 2025 aus. Weitere Angriffe trafen LND.fi, WOO X und Seedify.
Blickt man weiter zurück, zeigt sich das gesamte Ausmass: Die Lazarus-Gruppe wird für Diebstähle in Höhe von insgesamt 5 bis 6 Milliarden Dollar zwischen 2017 und 2025 verantwortlich gemacht. Zu den spektakulärsten Fällen zählen der Ronin-Bridge-Hack vom März 2022 mit einem Volumen von 625 Millionen Dollar und der 100-Millionen-Dollar-Angriff auf die Harmony Horizon Bridge im Juni 2022. In beiden Fällen bestätigte das FBI die Beteiligung der nordkoreanischen Hackergruppe. Mehr noch: Die Täter nutzten zur Geldwäsche systematisch den Mixer Tornado Cash, über den mehr als 555 Millionen Dollar aus diesen beiden Hacks geschleust wurden.
Staatsfinanzierung durch Cyberkriminalität: Nordkoreas Geschäftsmodell
Was diese Angriffe von gewöhnlicher Cyberkriminalität unterscheidet, ist ihre geopolitische Dimension. Die nordkoreanische Regierung verlässt sich auf ein breites Spektrum illegaler Aktivitäten, einschliesslich Cyberkriminalität, um Einnahmen für ihr Massenvernichtungswaffen- und Raketenprogramm zu generieren. Staatsnahe Hacker werden explizit damit beauftragt, mit illegalen Methoden Devisen zu beschaffen.
Die Zahlen sind alarmierend. Gestohlene Kryptowährungen könnten bis zu 13 Prozent des nordkoreanischen Bruttoinlandsprodukts ausmachen. Einige Schätzungen gehen davon aus, dass über die Hälfte des Budgets für die Raketenentwicklung durch Cyberkriminalität finanziert wird. Ein Bericht des Multilateral Sanctions Monitoring Team der Vereinten Nationen mit dem Titel "The DPRK's Violation and Evasion of UN Sanctions Through Cyber and Information Technology Worker Activities" unterstreicht, dass Nordkoreas böswillige Cyber-Aktivitäten eine Bedrohung für die internationale Sicherheit darstellen.
Das US-Finanzministerium reagierte im November 2025 mit Sanktionen gegen acht Personen und zwei Organisationen, die an der Geldwäsche aus nordkoreanischen Cyberkriminalitäts-Erlösen beteiligt waren. Die Taktik der Lazarus-Gruppe hat sich dabei weiterentwickelt: Während frühere Angriffe häufig technische Schwachstellen in der Krypto-Infrastruktur ausnutzten, erfolgt die Mehrheit der Hacks im Jahr 2025 durch Social-Engineering-Attacken. Diese Verschiebung macht die Abwehr deutlich komplexer, denn der Mensch bleibt das schwächste Glied in der Sicherheitskette.
Upbits Dominanz und die Frage der Börsen-Sicherheit
Der Angriff trifft Südkoreas Krypto-Ökosystem an seiner verwundbarsten Stelle. Upbit kontrolliert nach Angaben der südkoreanischen Finanzaufsicht FSS 71.6 Prozent des inländischen Krypto-Handelsvolumens – in den ersten sechs Monaten 2025 verarbeitete die Börse 833 Billionen Won (642 Milliarden Dollar) an Krypto-Transaktionen. Einige Quellen sprechen sogar von einem Marktanteil von über 80 Prozent. Täglich wechseln mehr als 2 Milliarden Dollar über die Plattform den Besitzer.
Der nächstgrössere Konkurrent Bithumb erreicht gerade einmal 25.8 Prozent Marktanteil. Kleinere Börsen wie Coinone, Korbit und GOPAX tragen zusammen weniger als 5 Prozent zum Marktvolumen bei. Diese extreme Konzentration macht Upbit zu einem hochattraktiven Ziel für staatlich unterstützte Hacker und wirft grundsätzliche Fragen zur Sicherheitsarchitektur zentralisierter Börsen auf.
Upbit reagierte umgehend: Der Betreiber Dunamu kündigte an, sämtliche betroffenen Nutzer vollständig zu entschädigen und hat die Transaktionen vorübergehend gestoppt. Doch der Vorfall zeigt, wie fragil selbst marktführende Plattformen sein können. Nur zwei Tage vor dem Hack hatte das südkoreanische Technologieunternehmen Naver angekündigt, Upbit für 10.3 Milliarden Dollar zu erwerben – die grösste Übernahme in der Geschichte Südkoreas. Der Hack dürfte diese Transaktion zumindest verzögern und die Due-Diligence-Prüfungen verschärfen.
Regulatorische Ohnmacht bei staatlich gesponserten Angriffen
Der Fall Upbit verdeutlicht ein grundsätzliches Dilemma. Selbst wenn Börsen strenge regulatorische Anforderungen erfüllen, bleiben sie verwundbar gegenüber hochprofessionellen, staatlich finanzierten Angreifern. Nordkoreas Cyber-Arsenal ist jahrelang aufgebaut worden und verfügt über Ressourcen, die kriminelle Einzeltäter nicht mobilisieren können. Die grenzüberschreitende Strafverfolgung stösst bei diesen staatlich gesponserten Akteuren an ihre Grenzen. Während westliche Behörden Sanktionen verhängen und Geldwäsche-Netzwerke zerschlagen können, bleibt das Regime in Pjöngjang unangreifbar. Die gestohlenen Gelder fliessen über komplexe Mixer-Dienste und dezentrale Börsen, bevor sie in Fiat-Währungen umgewandelt oder für Waffenkäufe genutzt werden.
Für Investoren und die Branche ergeben sich daraus konkrete Implikationen. Die Verwahrung grosser Krypto-Bestände auf zentralisierten Börsen birgt ein Risiko, das durch keine noch so strikte Regulierung vollständig eliminiert werden kann. Institutionelle Custody-Lösungen mit Multi-Signatur-Wallets, Hardware-Security-Modules und geografisch verteilten Cold-Storage-Systemen werden zum Standard für professionelle Marktteilnehmer.
Nächste Schritte für Upbit
Die südkoreanischen Behörden haben für die kommenden Tage eine Vor-Ort-Inspektion bei Upbit angekündigt. Im Fokus steht die Frage, wie die Angreifer Zugang zu den Administrator-Konten erlangen konnten und ob interne Sicherheitsprotokolle verletzt wurden. Sollte sich Fahrlässigkeit oder unzureichende Sicherheitsarchitektur nachweisen lassen, drohen Upbit empfindliche Strafen.
Für die geplante Übernahme durch Naver bedeutet der Hack einen Rückschlag. Einige Analysten erwarten, dass die Transaktion neu bewertet wird und Naver möglicherweise einen niedrigeren Kaufpreis durchsetzen kann. Scheitert die Übernahme ganz, könnte das Südkoreas Fintech-Landschaft nachhaltig verändern und kleineren Börsen eine Chance geben, Marktanteile zurückzugewinnen. International dürfte der Fall den Druck auf Mixer-Dienste und Privacy-Coins erhöhen. Die USA und die EU haben bereits angekündigt, die Regulierung von Geldwäsche-Tools zu verschärfen.
Der Upbit-Hack ist mehr als ein weiterer Eintrag in der langen Liste von Krypto-Diebstählen. Er zeigt, dass staatlich gesponserte Cyberkriminalität zur einer erheblichen Bedrohung für die Branche geworden ist und dass weder Regulierung noch Technologie allein eine Lösung bieten. Die Antwort liegt in einem Zusammenspiel aus robusten Sicherheitsstandards, internationaler Strafverfolgungskooperation und einem fundamentalen Umdenken bei der Verwahrung digitaler Assets.
