Nordkoreanische Hacker haben im Jahr 2025 Kryptowährungen im Wert von 2.02 Milliarden Dollar erbeutet und damit einen neuen Höchststand erreicht. Das entspricht einem Anstieg von 51 Prozent gegenüber dem Vorjahr, wie das Blockchain-Analyseunternehmen Chainalysis in einem heute veröffentlichten Bericht bekannt gab.
Die Angriffe machen 76 Prozent aller kompromittierten Krypto-Dienste aus und erhöhen die Gesamtsumme der seit 2017 von Nordkorea gestohlenen digitalen Assets auf 6.75 Milliarden Dollar. Die Lazarus-Gruppe, eine dem nordkoreanischen Militärgeheimdienst zugerechnete Hackergruppe, wird für die Mehrzahl der Vorfälle verantwortlich gemacht. Allein der Angriff auf die Börse Bybit im Februar, bei dem 1.5 Milliarden Dollar in Ethereum erbeutet wurden, stellt den grössten Krypto-Diebstahl der Geschichte dar. Insgesamt entfallen 59 Prozent der weltweit gestohlenen Kryptowährungen in Höhe von 3.4 Milliarden Dollar auf nordkoreanische Akteure.
Abonnieren Sie unseren Newsletter
Die besten Artikel der Woche direkt in ihre Mailbox geliefert.
Weniger Angriffe, höherer Schaden durch gezielte Infiltration
Die Analyse von Chainalysis offenbart eine bemerkenswerte Entwicklung: Nordkorea erreichte das Rekordergebnis 2025 mit 74 Prozent weniger bekannten Angriffen als im Vorjahr. Diese Effizienzsteigerung deutet dabei auf eine strategische Neuausrichtung hin. Statt auf Massenangriffe setzen die staatlich gestützten Akteure verstärkt auf hochwertige Ziele und langfristige Infiltrationskampagnen.
Die drei grössten Hacks des Jahres – Bybit (1.5 Milliarden Dollar), ein weiterer nicht näher benannter Vorfall sowie der Angriff auf die südkoreanische Börse Upbit (30.4 Millionen Dollar im November) – machen zusammen 69 Prozent aller Verluste durch kompromittierte Dienste aus. Diese Konzentration auf Einzelereignisse mit massiver Wirkung unterscheidet sich deutlich von früheren Jahren mit zahlreicheren, aber kleineren Angriffen.
Ein zentrales Element der neuen Taktik ist die Platzierung nordkoreanischer IT-Spezialisten innerhalb von Krypto-Unternehmen. Binance berichtete, dass nordkoreanische Hacker täglich versuchen, sich bei der Börse einzustellen. Dabei nutzen sie zunehmend KI-generierte Live-Videos und Stimmenverzerrer in Bewerbungsgesprächen. So verschleiern sie ihre wahre Identität. Diese eingeschleusten Mitarbeiter erlangen privilegierte Zugriffsrechte und ermöglichen somit Angriffe von innen.
Der Bybit-Hack: Anatomie des Rekord-Diebstahls
Der Bybit-Angriff vom 21. Februar 2025 veranschaulicht die ausgefeilten Methoden der Lazarus-Gruppe. Die Hacker kompromittierten zunächst den Arbeitsrechner eines Entwicklers von Safe{Wallet}. Dabei handelt es sich um die Multi-Signatur-Plattform, die Bybit für sichere Transaktionen nutzt. Über einen Social-Engineering-Angriff verschafften sich die Angreifer Zugang. Sie stahlen AWS-Session-Tokens und umgingen damit die Multi-Faktor-Authentifizierung.
Nachdem die Hacker Zugriff auf das AWS-Konto von Safe{Wallet} erlangt hatten, manipulierten sie die Benutzeroberfläche, die Bybit-Mitarbeiter angezeigt bekamen. Sie ersetzten harmlosen JavaScript-Code durch bösartigen Code, der 401'000 ETH – damals rund 1.5 Milliarden Dollar wert – auf Wallets unter nordkoreanischer Kontrolle umleitete. In den ersten 48 Stunden nach dem Diebstahl wuschen die Täter bereits 160 Millionen Dollar durch Krypto-Mixer, die die Herkunft von Transaktionen verschleiern.
Bybit stabilisierte die Situation innerhalb von zwölf Stunden und verzeichnete Zuflüsse von vier Milliarden Dollar, was die Auswirkungen des Hacks kompensierte. Das FBI veröffentlichte später 51 Ethereum-Adressen, die mit den gestohlenen Geldern in Verbindung stehen.
Geldwäsche-Muster und internationale Verflechtungen
Chainalysis identifizierte ein konsistentes Muster in der Geldwäsche nordkoreanischer Diebstähle. Die gestohlenen Gelder durchlaufen typischerweise ein etwa 45-tägiges Zeitfenster. Dieses gliedert sich in mehrere Phasen von der unmittelbaren Verschleierung bis zur finalen Integration. Diese Regelmässigkeit über mehrere Jahre hinweg bietet Strafverfolgungsbehörden und Compliance-Teams somit wertvolle Ansatzpunkte.
Nordkoreanische Hacker transferieren Gelder überwiegend in kleineren Tranchen – über 60 Prozent des Volumens bewegt sich unterhalb von 500'000 Dollar. Ihre Geldwäsche-Aktivitäten zeigen eine deutliche Präferenz für chinesischsprachige Garantie- und Geldtransferdienste, Cross-Chain-Bridges, Mixing-Dienste und spezialisierte Plattformen. Diese geografische und technische Diversifizierung erschwert die Nachverfolgung erheblich.
Das US-Finanzministerium reagierte im November 2025 mit Sanktionen gegen acht Personen und zwei Organisationen, die an der Geldwäsche nordkoreanischer Cyberkriminalitäts-Erlöse beteiligt waren. Die Massnahmen zielen darauf ab, die Netzwerke zu zerschlagen, die es Nordkorea ermöglichen, gestohlene Kryptowährungen in nutzbare Mittel umzuwandeln.
Finanzierung des Atomwaffenprogramms durch Krypto-Diebstahl
Die Vereinten Nationen, das FBI und private Sicherheitsforscher sind sich einig: Die gestohlenen Kryptowährungen finanzieren Nordkoreas Atomwaffen- und Raketenprogramm. Die Annual Threat Assessment der US-Geheimdienste für 2025 stellt fest, dass Nordkorea seine militärische Entwicklung durch den Diebstahl von Hunderten Millionen Dollar pro Jahr in Kryptowährungen finanziert und damit eine grössere Gefahr für die Vereinigten Staaten und ihre indopazifischen Verbündeten darstellt.
Die Lazarus-Gruppe untersteht vermutlich dem Reconnaissance General Bureau des nordkoreanischen Militärs. Sie setzte dieselben Strukturen bereits bei hochkarätigen Angriffen wie dem Sony-Pictures-Hack 2014 ein. Krypto-Diebstähle ermöglichen es dem Regime dabei, internationale Sanktionen zu umgehen und ausserhalb des traditionellen Finanzsystems zu operieren. Die dezentrale Natur von Kryptowährungen macht die Nachverfolgung anspruchsvoll – wenn auch nicht unmöglich.
Trotz der Rekordsummen zeigen die Daten von Chainalysis auch positive Entwicklungen. Kompromittierungen einzelner Wallets stiegen zwar auf 158'000 Vorfälle mit 80'000 betroffenen Opfern. Im DeFi-Bereich blieben die Hack-Verluste in den Jahren 2024 und 2025 trotz gestiegenem Total Value Locked unterdrückt. Dies deutet auf verbesserte Sicherheitspraktiken hin. Die Branche macht somit Fortschritte – doch staatlich gestützte Akteure mit unbegrenzten Ressourcen bleiben dennoch die grösste Herausforderung für die Krypto-Industrie.
