Nordkoreanische Hacker standen 2025 hinter der überwiegenden Mehrheit der auf Krypto ausgerichteten Sicherheitsverletzungen, und laut Andrew Fierman, Leiter der nationalen Sicherheitsaufklärung bei Chainalysis, wird erwartet, dass sich die Bedrohung in den kommenden Jahren noch verstärkt.
“Nordkorea wird immer neue Wege suchen, um im Namen des Regimes Gelder zu stehlen, sei es durch Fiat oder Krypto”, sagte Fierman gegenüber Krypto-Medien und fügte hinzu, dass “ihre Mechanismen sich ständig weiterentwickeln und hochentwickelt, diversifiziert und tief in verschiedenen Rechtsordnungen verankert sind.”
Wie bereits von Invezz berichtet , standen nordkoreanische Hacker hinter dem Löwenanteil der Angriffe, die 2025 den Kryptowährungsmarkt trafen.
Im Laufe des Jahres waren staatlich unterstützte Cybergruppen für 76 % der Service-Level-Kompromittierungen zwischen Börsen und Verwahrern verantwortlich und stahlen erfolgreich Krypto-Vermögenswerte im Wert von mindestens 2,02 Milliarden US-Dollar.
Die Zahlen von 2025 zeigten einen Anstieg von 51 % im Jahresvergleich, trotz eines fast 74 % Rückgang der Gesamtzahl bestätigter Vorfälle, was eine strategische Verschiebung hin zu wenigeren, aber deutlich größeren Vorfällen unterstreicht.
Interessanterweise waren allein drei Vorfälle für 69 % der gesamten Service-Level-Verluste verantwortlich, was zeigt, dass berüchtigte Hacking-Organisationen wie die Lazarus Group und die angeschlossenen UNC5342 sich inzwischen fast ausschließlich darauf konzentrieren, große Infrastrukturziele zu knacken, die größere und schnellere Auszahlungen versprechen.
Für die Kryptobranche bedeutet dies deutlich größere finanzielle Verluste, die potenziell ganze Ökosysteme stören und die Mittel zahlreicher Investoren weltweit auslöschen können.
Einer der größten Vorfälle des Jahres mit nordkoreanischen Gruppen war der 1,5-Milliarden-Dollar-Hack von Bybit , der die Branche Ende Februar erschütterte.
Bei der Verletzung wurden über 400.000 ETH gestohlen, was zum größten Diebstahl von digitalen Vermögenswerten in der Geschichte der Kryptoindustrie führte.
Es folgten mehrere weitere Vorfälle, darunter der Diebstahl von 223 Millionen Dollar von der dezentralen Börse Cetus und ein 128-Millionen-Dollar-Exploit gegen das auf Ethereum basierende Protokoll Balancer.
Weitere bestätigte Sicherheitsverletzungen bei WOO X, Seedify und LND.fi verstärkten nur die beeindruckenden Zahlen, die 2025 zum bisher erfolgreichsten Jahr für nordkoreanische Hacker machten.
In den vergangenen Monaten wurde festgestellt, dass nordkoreanische Akteure verschiedene Angriffsvektoren nutzen, um Ziele zu durchbrechen.
So wurde beispielsweise im Oktober entdeckt, dass sie Malware in Ethereum- und BNB-Chain-Smart Contracts einbetteten , als Teil einer Stealth-Kampagne, die nun mit der staatlich unterstützten Gruppe UNC5342 verbunden ist.
Weltweit haben große Volkswirtschaften wie die Vereinigten Staaten, Südkorea, Australien und Mitglieder der Europäischen Union gezielte Sanktionen gegen Nordkoreas Cyberkriminalitätsinfrastruktur eingeführt, um die illegale Einnahmengenerierung einzudämmen.
Doch das allein könnte laut Andrew Fierman nicht ausreichen, der darauf hinwies, dass die Störung der nordkoreanischen Operationen koordinierte Maßnahmen in der gesamten Branche erfordert, einschließlich Börsen, Infrastrukturanbietern, Analysefirmen und Strafverfolgungsbehörden.
Fierman warnte, dass das Regime voraussichtlich weiterhin auf Krypto-Diebstahl als Haupteinnahmequelle setzen wird, insbesondere da internationale Sanktionen verschärft werden und andere Einkommenskanäle schrumpfen.
Sich entwickelnde Krypto-Waschtechniken
Sobald die Gelder gestohlen wurden, verschärft der Ablauf ihrer Wäsche das Problem weiter, was die Rückgewinnungsmaßnahmen extrem erschwert und die Bedrohung in ein anhaltendes, systemisches Risiko für das gesamte Krypto-Ökosystem verwandelt.
“Gestohlene Gelder folgen verschiedenen Wegen der Geldwäsche, darunter Mischdienstleistungen, OTC-Broker, Chain-Hopping, Token-Swaps, dezentralisierte Börsen und Brückenprotokolle, um Flows zu verschleiern”, sagte Fierman.
Zu den von nordkoreanischen Gruppen verwendeten Techniken gehört das sogenannte chinesische Waschsalonnetzwerk, das aus rezeptfreien Brokern, Untergrundbank-Kanälen und grenzüberschreitenden Geldübermittlern besteht, die hauptsächlich in China und Südostasien ansässig sind.
Technisch sind sie auf komplexe Cross-Chain-Bridge-Routen und eine Rotation von Mischdiensten angewiesen, um die gestohlenen Vermögenswerte über Blockchains hinweg zu fragmentieren. Diese werden oft über lose regulierte chinesischsprachige Plattformen mit schwachen KYC-Anforderungen zurückgezogen.
Obwohl Nordkoreas Cyberangriffe auch Bereiche außerhalb des Kryptosektors treffen, bleibt die Kryptoindustrie ein besonders attraktives Ziel, vor allem aufgrund ihrer Liquidität, globalen Zugänglichkeit und fragmentierten Kontrolle.
Letzten Monat warnte Pablo Sabbatella, der Gründer der Web3-Prüfungsgesellschaft Opsek, während der Devconnect-Konferenz in Buenos Aires, dass etwa 30 % bis 40 % der Bewerber, die in Krypto-Jobs einsteigen, möglicherweise nordkoreanische Versuche sind, durch gefälschte Identitäten Zugang zu Insidern zu erhalten.