Seit 2016 wurden 6,75 Milliarden US-Dollar gestohlen: CertiK stuft Nordkorea als größte Bedrohung für Kryptowährungsdiebstähle ein

Der Bericht von CertiK vom 12. Mai hat alle Krypto-Projekte und -Börsen in Alarmbereitschaft versetzt, nachdem das Blockchain-Sicherheitsunternehmen das Ausmaß des Schadens aufgezeigt hatte, den nordkoreanische Hacker seit 2016 angerichtet haben. Die Ergebnisse liegen vor, und das Bild ist düster: Schätzungsweise 6,75 Milliarden US-Dollar an Kryptowährung sind bei 263dentverloren gegangen. 

Der Bericht von Certik erschien nur wenige Tage, nachdem TRM Labs nordkoreanische Akteure für etwa 76 % der durch Krypto-Hacks bis April 2026 verlorenen Gelder verantwortlich gemacht hatte. Genau wie 2025, als sie Bybit um 1,5 Milliarden Dollar erleichterten, wurden nordkoreanische Akteure auch bei den Hacks von KelpDAO und Drift Protocol genannt, zwei der größten Angriffe im Jahr 2026.

Besonders bemerkenswert ist, dass keiner der Berichte der Sicherheitsfirmen darauf hindeutet, dass der hartnäckigste und kostspieligste Gegner im Kryptobereich an Aktivität verliert. Nordkoreas Hacker agieren präziser und verursachen dadurch deutlich höhere Verluste bei deutlich wenigerdent.

Nordkoreanische Hacker cash höhere Auszahlungen mit weniger Angriffen

Laut dem Bericht von CertiKwaren nordkoreanische Akteure für lediglich 12 % aller Kryptodiebstähledent, was 2,06 Milliarden US-Dollar von insgesamt 3,4 Milliarden US-Dollar Verlusten entsprach.

Das Jahr 2026 hat auf dem gleichen Kurs begonnen, wobei nordkoreanische Gruppen für 55 % (620,9 Millionen US-Dollar) der Verluste haften, die Projekte in diesem Jahr erlitten haben.

Rechnet man allein den Drift Protocol-Verstoß im Wert von 285 Millionen US-Dollar am 1. April und den KelpDAO-Bridge-Exploit im Wert von 292 Millionen US-Dollar am 18. April hinzu, so entspricht dies laut TRM Labs 3 % der Anzahl derdent und 76 % der im Jahr 2026 gestohlenen Beute.

Nordkoreanische Schauspieler sind überall

Sowohl TRM Labs als auch Certik wiesen darauf hin, dass die große Mehrheit der mit Nordkorea in Verbindung stehenden Angriffe nicht einmal auf Software-Schwachstellen zurückzuführen ist. Vielmehr werden Menschen in altbekannten Social-Engineering-Angriffen.

„Die meisten größeren Operationen der DVRK beginnen mit der Manipulation von Menschen, darunter gefälschte Stellenangebote, Identitätsdiebstahl in Venture Capital und bösartige Repositories“, erklärte CertiK in seinem Bericht.

TRM Labs berichtete, dass nordkoreanische Strohmänner vor dem Sicherheitsvorfall persönliche Treffen mit Mitarbeitern von Drift abhielten. Zwischen dem 23. und 30. März nutzte der Angreifer die Funktion „Durable Nonce“ von Solanaaus, um die Multisig-Signaturinhaber von Drift dazu zu bringen, Transaktionen vorab zu autorisieren.

Am 1. April war das Protokoll in 31 Abhebungen, die etwa 12 Minuten dauerten, erschöpft.

Der Bybit-Hack im Februar 2025, bei dem 1,5 Milliarden US-Dollar erbeutet wurden – der größte jemals verzeichnete Kryptodiebstahl –, zeigte laut CertiK, dass „selbst institutionelle Multisignatur-Wallets durch Angriffe auf vertrauenswürdige Drittanbieterinfrastruktur anstatt auf Smarttrackompromittiert werden können“. Das FBI führte diesen Angriff auf die nordkoreanische Gruppe TraderTraitor zurück.

ZachXBT tracdirekte Krypto-Gehaltszahlungen in Höhe von 16,58 Millionen US-Dollar an nordkoreanische Agenten, die sich zwischen Januar und Juli 2025 als Entwickler ausgaben Cryptopolitaneinem Bericht von.

Der jüngste Bericht von CertiK bestätigte diese Besorgnis und stellte fest, dass „nordkoreanische Agenten unter falscherdentDeFi Teams infiltriert und in einigen Fällen direkt den Diebstahl von Geldern innerhalb der Teams ermöglicht haben“

Der KelpDAO-Angriff folgte einem anderen Muster. Die Angreifer, TraderTraitor, eine mit der Lazarus Group verbundene Organisation, nutzten eine Schwachstelle in der LayerZero-Bridge aus, die nur einen einzigen Verifizierer umfasste. Nachdem Arbitrum etwa 75 Millionen US-Dollar der gestohlenen Gelder eingefroren hatte, verlagerten die Hacker ihren Fokus Bitcoin laut TRM Labs.

Seitdem hat LayerZero die Vorwürfe dementiert und sich öffentlich entschuldigt, wie Cryptopolitanberichtet.

Nordkoreanische Hacker nutzen ähnliche Fluchtwege

CertiK berichtete, dass innerhalb eines Monats nach dem Bybit-Hack 86,29 % der gestohlenen ETH mithilfe von Mixern, Cross-Chain-Bridges, dezentralen Börsen und OTC-Brokern in Bitcoin umgewandelt wurden.

TRM Labs stellte fest, dass THORChain den Großteil der Erlöse sowohl aus dem Bybit-Datendiebstahl als auch aus dem KelpDAO-Hack verarbeitete und „Hunderte Millionen gestohlener ETH in Bitcoin umwandelte, ohne dass ein Betreiber bereit war, die Überweisungen einzufrieren oder abzulehnen“

Laut CertiK deuten Einschätzungen des US-Geheimdienstes darauf hin, dass die durch nordkoreanische Cyberoperationen gestohlenen Gelder die Atom- und Raketenprogramme des Landes unterstützen.

Nordkorea hat jegliche Beteiligung bestritten. Ein Sprecher des Außenministeriums bezeichnete die Anschuldigungen als „absurde Verleumdung“, die von US-amerikanischen „Regierungsorganen, scheinheiligen Medienorganen und Verschwörungsorganisationen“ verbreitet werde, wie Cryptopolitaneinem Bericht vom 4. Mai über Pjöngjangs Gegendarstellung.

Die klügsten Köpfe der Krypto-Szene lesen bereits unseren Newsletter. Möchten Sie auch dabei sein? Dann schließen Sie sich ihnen an.