Nordkoreanische Hacker stehlen seit 2017 $6B -Krypto, 76% der Verluste von 2026

Nordkoreanische Hacker haben bisher im Jahr 2026 nahezu drei Viertel der gesamten Kryptowährung gestohlen, die Cyberkriminelle in diesem Zeitraum erbeutet haben – und zwar über zwei präzise ausgeführte Angriffe auf DeFi-Plattformen (Dezentrale Finanzen) im April, wie das Blockchain-Intelligence-Unternehmen TRM Labs berichtet. Die beiden Vorfälle – eine 285-Millionen-US-Dollar-Panne bei Drift Protocol am 1. April und ein 292-Millionen-US-Dollar-Exploit von Kelp DAO am 18. April – machen zusammen 76% aller Kryptowährungs-Hackverluste aus, die bis einschließlich April verfolgt wurden. Insgesamt schätzt TRM Labs, dass nordkoreanisch zuordenbare Hacker seit 2017 über 6 Milliarden US-Dollar aus Krypto-Protokollen und -Projekten gestohlen haben.

Angriffsmethodik und Präzision

Der Angriff auf Drift Protocol war vor allem wegen seiner lang anhaltenden Social-Engineering-Kampagne auffällig. Das On-Chain-Setup begann am 11. März, und die Kampagne umfasste persönliche Treffen zwischen nordkoreanischen Stellvertretern und Mitarbeitern von Drift über einen Zeitraum von Monaten. Die Angreifer nutzten eine Solana-Funktion namens durable nonce, die es ermöglicht, vor-signierte Transaktionen zurückzuhalten und zu einem späteren Zeitpunkt auszusetzen. Am 1. April führten die Angreifer 31 Abhebungen in etwa 12 Minuten aus und entleerten dabei echte Vermögenswerte, darunter USDC und JLP. Die gestohlenen Gelder wurden rasch in Ethereum verschoben und sind seitdem ungenutzt geblieben.

Der Angriff auf Kelp DAO nahm einen anderen technischen Weg. Die Angreifer kompromittierten zwei interne RPC-Knoten und starteten anschließend einen Denial-of-Service-Angriff gegen externe Knoten, wodurch der einzelne Verifizierer der Bridge auf die vergifteten Datenquellen angewiesen war. Diese Knoten meldeten fälschlicherweise, dass der zugrunde liegende Vermögenswert auf der Quell-Chain verbrannt worden sei, obwohl keine solche Aktion stattgefunden hatte, und etwa 116.500 rsETH im Gegenwert von rund 292 Millionen US-Dollar wurden aus dem Ethereum-Bridge-Vertrag abgezogen.

Historische Eskalation des nordkoreanischen Krypto-Diebstahls

Die Zahlen spiegeln eine zunehmende Konzentration des Krypto-Diebstahls wider, der staatlich verknüpften nordkoreanischen Akteuren zuzurechnen ist. Der Anteil Pjöngjangs an den gesamten Krypto-Hackverlusten ist von unter 10% in 2020 und 2021 auf 22% in 2022, 37% in 2023, 39% in 2024 und 64% in 2025 gestiegen. Die 76%-Zahl für 2026 bis April ist der höchste kontinuierlich verzeichnete Anteil, obwohl die beiden Vorfälle zusammen lediglich 3% der Gesamtzahl der bis dato erfassten Vorfälle ausmachen.

Mittelbewegung und Geldwäsche

Nach dem Diebstahl bei Kelp DAO nutzte der Arbitrum Security Council Notfallbefugnisse, um ungefähr 75 Millionen US-Dollar der gestohlenen Gelder einzufrieren, die im Netzwerk verblieben waren – ein seltener Eingriff, der eine schnelle Geldwäsche-Reaktion auslöste. Anschließend wurden rund 175 Millionen US-Dollar in ETH gegen Bitcoin getauscht, überwiegend über THORChain, ein plattformübergreifendes Liquiditätsprotokoll (Cross-Chain-Liquidität), für das keine Know-your-customer-Anforderung gilt.

THORChain verarbeitete den weitaus größten Teil der Erlöse aus beiden Angriffen: dem Bybit-Breach im Jahr 2025 – dem schlimmsten Diebstahl der Branche, bei dem mehr als 1,4 Milliarden US-Dollar in Krypto gestohlen wurden – sowie dem Kelp-DAO-Hack im Jahr 2026. Dabei wurden Hunderte von Millionen in gestohlenem ETH zu Bitcoin umgewandelt, ohne dass ein Betreiber bereit war, Transfers einzufrieren oder abzulehnen.

Sich weiterentwickelnde Angriffsraffinesse

TRM-Analysten stellten fest, dass die Gruppe ihre Werkzeuge offenbar weiter schärft. Analysten beginnen zu spekulieren, dass nordkoreanische Betreiber KI-Tools in ihre Reconnaissance- und Social-Engineering-Workflows integrieren. Diese Entwicklung passt zu der zunehmenden Präzision von Angriffen wie Drift, die Wochen gezielter Manipulation komplexer Blockchain-Mechanismen erforderten.