Coinbase Commerce gehackte Wallet nach fast zwei Jahren reaktiviert

Die mit dem Coinbase Commerce-Hack (2024) verknüpfte Wallet ist nach fast zwei Jahren Inaktivität wieder aktiv. On-Chain-Daten zeigen, dass der Angreifer im Januar 2026 begonnen hat, Gelder zu transferieren. Bisher hat er dabei Ethereum im Wert von 5,4 Millionen US-Dollar auf Tornado Cash eingezahlt.

Vor den Einzahlungen transferierte die mit dem Diebstahl in Verbindung stehende Adresse rund 5,8 Millionen US-Dollar in DAI auf eine neu eingerichtete Wallet. Diese DAI wurden in Ether getauscht. Die Ether wurden anschließend in mehrere Einzahlungen aufgeteilt, wobei die Aktivitäten von Tornado Cash einem klaren Muster folgten. Der Angreifer tätigte zwanzig Einzahlungen von jeweils 100 Ether, gefolgt von kleineren Beträgen wie 10 Ether, 1 Ether und Bruchteilsbeträgen. Eine separate, mit dem Angreifer verknüpfte Wallet hält jedoch weiterhin rund 4,6 Millionen US-Dollar in DAI.

Dies geschieht zu einer Zeit, in der der globale Kryptomarkt unter starkem Verkaufsdruck steht. Ethereum ist in den letzten sieben Tagen um fast 10 % gefallen. Im April 2024, als die Sicherheitslücke ausgenutzt wurde, lag der Kurs von ETH zwischen 3.100 und 3.700 US-Dollar. Aktuell notiert Ether im Durchschnitt bei 2.890 US-Dollar.

Coinbase Commerce-Sicherheitslücke

Der Vorfalldent sich auf den im April 2024 gemeldeten Zeitpunkt trac. Der On-Chain-Ermittler ZachXBT meldete damals verdächtige Abflüsse aus einem Coinbase Commerce-trac. Am 21. April 2024 verzeichnete dertracauf Polygon innerhalb von 16 Stunden mehr als 1.700 USDC-Abflüsse. Der Gesamtwert belief sich auf 15,97 Millionen US-Dollar.

Das Muster deutete darauf hin, dass ein Händler, der Coinbase Commerce nutzte, ausgenutzt worden war. Die Gelder wurden durch wiederholte Überweisungen abgehoben. Die gestohlenen USDC wurden später von Polygon zu Ethereum , gegen Ether getauscht und auf drei Wallets verteilt.

Der Angreifer hat nach fast zwei Jahren der Inaktivität seine Aktivitäten wieder aufgenommen und zahlt nun gestohlene Gelder auf Tornado Cashein.

Bislang wurden insgesamt 5,4 Millionen Dollar eingezahlt.

Zuvor wurden von der gestohlenen Adresse 5,8 Millionen DAI an eine neu eingerichtete Wallet überwiesen, die anschließend gegen … getauscht wurde. https://t.co/6hZWByeuRQ pic.twitter.com/67vx2CLk6U

— Specter (@SpecterAnalyst) 26. Januar 2026

Kurz nach dem Diebstahl begann ein Angreifer mit dem Pseudonym „Excite“ in privaten Chats über die Gelder zu sprechen. ZachXBT brachte diese Behauptungen mit Adressen in Verbindung, die mit den Abflüssen verknüpft waren. Er erwähnte, dass im Mai 2024 ein Telegram-Nutzer mit dem Handle „tezedasads12“ eine Transaktion über 1 DAI durchgeführt hatte. Diese Überweisung diente als Beweis für die Kontrolle über eine Wallet mit rund 6 Millionen US-Dollar aus dem Diebstahl.

Derselbe Schauspieler beanspruchte den Instagram-Nutzernamen „Excite“. Er versuchte auch, einen passenden Telegram-Nutzernamen zu erwerben, scheiterte jedoch. Das Instagram-Konto war zunächst privat, wurde aber später öffentlich. Auf dem Konto wurden Luxusuhren und andere wertvolle Gegenstände gezeigt.

ZachXBT gab an , dass Open-Source-Informationen darauf hindeuteten, dass die Person möglicherweise in Dänemark ansässig war. Diese Angabe konnte nicht unabhängig dent werden. Nach der anfänglichen Geldwäschephase kamen die meisten Geldflüsse zum Erliegen. Die mit dem Exploit verknüpften Wallets wurden inaktiv. Ein kleinerer Teil der Gelder wurde später über dezentrale Börsen und Staking-Plattformen transferiert. Diese Transaktionen dienten dazu, Vermögenswerte in neue Wallets zu übertragen.

Eine Einzahlungsadresse wies eine hohe Anbindung an bekannte Infrastruktur für illegale Abflüsse auf. Die Ermittler stuften dies als Risikosignal ein. Die Tornado- Cash Einzahlungen im Januar 2026 stellen die erste größere Aktivität im Zusammenhang mit dem Exploit seit fast zwei Jahren dar.

Coinbase-Hack 2025

Dieser Fall reiht sich in eine Reihe vondentim Zusammenhang mit Coinbase ein. Im Mai 2025 gab Coinbase einen weiteren Cyberangriff bekannt. Das Unternehmen bezifferte die Kosten desdent auf bis zu 400 Millionen US-Dollar. In diesem Fall erlangten Angreifer begrenzte Kundendaten, indem sietracund Mitarbeiter bezahlten. Mithilfe dieser Daten gaben sie sich als Coinbase aus und täuschten Nutzer.

Coinbase gab an, dass weniger als ein Prozent der Kunden betroffen waren. Die Angreifer forderten 20 Millionen US-Dollar, Coinbase weigerte sich zu zahlen. Private Schlüssel wurden nicht kompromittiert. Das Unternehmen kündigte jedoch an, betroffene Nutzer zu entschädigen.

Möchten Sie Ihr Projekt den führenden Köpfen der Krypto-Welt vorstellen? Stellen Sie es in unserem nächsten Branchenbericht vor, in dem Daten auf Wirkung treffen.