Nordkorea 2025: 2,02 Mrd. in Krypto durch Cross-Chain und DeFi

Nordkoreanische Hackergruppen haben 2025 Kryptowährungen im Gesamtwert von rund 2,02 Milliarden Dollar erbeutet, und Sicherheitsexperten melden eine Reihe neuartiger Angriffs- und Verschleierungstechniken. Dieser Artikel analysiert die Hintergründe der Angriffe, beschreibt die technischen Angriffsvektoren und erklärt, warum die Demokratische Volksrepublik Korea weiterhin als der aktivste staatliche Akteur in der Krypto-Cyberkriminalität gilt. Gleichzeitig zeigt er auf, wie sich DeFi-Sicherheit verbessert hat und weshalb trotzdem mehr Opfer zu verzeichnen sind. Ziel ist es, Unternehmen, Entwickler und Sicherheitsverantwortliche praxisnahe Schutzmassnahmen, forensische Ansätze und regulatorische Optionen zu vermitteln, damit künftige Angriffe frühzeitiger erkannt und nachhaltig unterbunden werden können.

Der Vorfall im Überblick und strategischer Kontext

Nach mehreren Berichten von Blockchain-Forensikern und Sicherheitsfirmen haben nordkoreanische APT-Gruppen im Jahr 2025 rund 2,02 Milliarden Dollar in Kryptowährungen erbeutet. Diese Summe resultiert aus einer Kombination von zielgerichteten Angriffen auf Cross-Chain-Bridges, zentralisierte Börsen mit verwundbaren Hot-Wallet-Prozessen und gezielten Kompromittierungen von Custody-Providern und DeFi-Protokollen. Hinter den Operationen stehen gut finanzierte, staatlich gesteuerte Akteure – häufig in Verbindung mit der Gruppe, die in der Vergangenheit als Lazarus bezeichnet wurde. Die Einnahmen dienen mutmasslich der Finanzierung von Programmen, die durch internationale Sanktionen eingeschränkt sind.

Wesentlich ist, dass sich die Taktiken weiterentwickelt haben: Weg von reinen Exploits hin zu hybriden Attacken, die Social Engineering, Supply-Chain-Manipulation und ausgefeilte Transaction-Obfuscation kombinieren. Diese Kombination erhöht die Chancen, Gelder schnell zu extrahieren und gleichzeitig die Spur zu verwischen.

Technische Analyse: Neue Angriffsvektoren und Exploit-Kombinationen

Die Angriffe 2025 zeigen mehrere wiederkehrende Muster, zugleich aber spezifische Innovationen:

• Cross-Chain-Bridge-Exploits – Angreifer nutzen Konfigurationsfehler, zentralisierte Relayer-Sets oder Oracle-Manipulationen aus. Durch Kombination mit Flash Loans konnten Manipulationen kurzfristig Preise verschieben und grosse Token-Transfers auslösen.
• Supply-Chain- und SDK-Komprimittierung – Bibliotheken für Wallet- oder Explorer-Integrationen wurden kompromittiert, wodurch legitime Anwendungen bösartigen Code ausführen konnten. So gelangen Angreifer indirekt an private keys oder signaturberechtigte Endpunkte.
• Spear-Phishing und Insider-Attacken – gezielte Phishing-Kampagnen gegen Entwickler, DevOps und Custody-Mitarbeitende in Kombination mit finanziellen Anreizen führten zu Zugriffen auf Admin-Tools und Deployment-Pipelines.
• Hybrid Smart Contract-Exploits – neben klassischen Fehlern wie Reentrancy wurden komplexe Zusammenspiele aus Oracle-Manipulation, Preis-Orbits und Multisig-Bypass ausgenutzt. Die Angreifer nutzten automatisierte Tools, um Interaktionssequenzen zu finden, die menschliche Prüfungsprozesse umgehen.
• Transaktions-Obfuscation und Chain-Hopping – neu ist die systematische Nutzung von mehreren Schichten: gedemütige Token-Wrapping-Schritte, atomic swaps zwischen Chains, dezentrale Mixer und OTC-Deals in Grauzonen, kombiniert mit NFT-Interaktionen zur weiteren Vermischung.

Diese Methoden zeigen, dass Angreifer nicht mehr nur Exploits suchen, sondern ganze Abläufe orchestrieren – von Social Engineering über Exploit-Execution bis zur effizienten Geldwäsche.

DeFi-Sicherheit: Verbesserungen trotz steigender Opferzahlen

Ein scheinbarer Widerspruch: DeFi-Ökosysteme haben 2025 deutliche Sicherheitsfortschritte gemacht – dennoch steigen die Opferzahlen weiterhin. Warum?

• Verbesserte Praktiken – Audits, formale Verifikation, Bug-Bounty-Programme und Time-Locks sind verbreiteter geworden. Mehr Projekte setzen auf Multi-Signatur-Treasuries, modulare Upgradability und Sicherheits-Oracles.
• Skalierende Angriffsfläche – Mit wachsender Nutzerzahl, mehr L2-Lösungen und Cross-Chain-Interoperabilität steigt die Anzahl potenzieller Einfallstore exponentiell. Selbst gut gesicherte Protokolle interagieren oft mit weniger sicheren Komponenten.
• Automatisierte Attack-Toolchains – Werkzeuge zur automatisierten Schwachstellen-Identifikation und Exploit-Generierung beschleunigen Angriffe. Das führt dazu, dass erfolgreiche Exploits zwar seltener werden, aber wenn sie auftreten, deutlich grössere Schäden verursachen.
• Ökonomische Anreize – Angreifer optimieren ihre Vorgehensweisen, um maximale Rendite zu erzielen – etwa durch koordinierte Angriffe auf mehrere Protokolle innerhalb einer kurzen Window-Phase.

Das Ergebnis: DeFi wird insgesamt sicherer, einzelne Präventionsmassnahmen wirken, doch das System bleibt anfällig, solange Integration und Interoperabilität ohne strikte Sicherheitsgarantien stattfinden.

Geldwäsche, Verschleierungstaktiken und forensische Herausforderungen

Die Mittelumlaufwege nach 2025 zeigen eine klare Entwicklung: weg von simplen Mixern hin zu vielschichtigen Strategien. Typische Schritte sind:

• Chain-Hopping via Bridges und Wrapped Tokens
• Konvertierung in Datenschutz-Coins und dezentrale Mixer
• Aufteilung in viele kleine Transaktionen und Einsatz von DEXs mit geringer KYC-Überwachung
• Abschluss durch OTC-Deals, anonyme Zahlungsnetzwerke oder via NFT-Handel

Forensiker stehen vor drei Kernproblemen: Geschwindigkeit der Verschleierung, Nutzung legitimer Infrastrukturkomponenten und länderübergreifende regulatorische Lücken. Moderne Blockchain-Analyse-Tools können zwar Muster erkennen, geraten aber an Grenzen, wenn Transaktionen über dezentrale Protokolle und private Services laufen.

Geschätzte Verteilung der 2,02 Mrd. US-Dollar nach Zielkategorie (2025, geschätzt)

Ziel	Geschätzter Verlust (Mio. USD)	Hauptmethoden
Cross-Chain Bridges	900	Oracle-Manipulation, Relayer-Kompromittierung, Flash Loans
Zentralisierte Börsen (Hot Wallets)	400	Phishing, Dev-Tool-Kompromittierung, Insider
DeFi-Protokolle und Liquidity Pools	350	Smart Contract-Exploits, Governance-Manipulation
Wallets & Custody-Providern	220	Supply-Chain-Attacken, SDK-Backdoors
NFTs & Sonstiges	150	NFT-Wash, Mischkonstrukte, OTC

Empfehlungen – technische, organisatorische und regulatorische Gegenmassnahmen

Für Betreiber, Entwickler und Sicherheitsverantwortliche ergeben sich klare Handlungsfelder:

• Technische Härtung – Trennung von Hot- und Cold-Wallets, Multi-Party-Computation (MPC), verpflichtende Multisig-Wallets für Treasury-Operationen, Time-Delay für grosse Auszahlungen, mempool-Monitoring und Watchtower-Systeme.
• Secure Development Lifecycle – verpflichtende Security-Audits, formale Verifikationen kritischer Module, kontinuierliche Integration von Sicherheitstests, Signaturprüfungen für Dependencies.
• Organisatorische Massnahmen – regelmässige Mitarbeiterschulungen gegen Spear-Phishing, strikte least-privilege-Policies, rotierende Schlüssel und geteilte Verantwortlichkeiten für kritische Handlungen.
• Forensik und Threat Intelligence – Echtzeit-Sharing von IOC (Indicators of Compromise) zwischen Exchanges, DeFi-Projekten und Analysten; Nutzung von Chain-Analytics zur Anomalie-Erkennung; automatisierte Backtracking-Workflows.
• Regulatorische Kooperation – Stärkung der KYC/AML-Prüfungen bei Offramp-Services, bessere internationale Zusammenarbeit zur Aufdeckung und Beschlagnahmung von Entschlüsselungsschlüsseln, rechtliche Rahmenbedingungen für DeFi-Anforderungen ohne Innovationshemmer.

Technisch und organisatorisch sind klare, pragmatische Regeln nötig. Projekt-Teams sollten Annahmen modellieren – welche Angriffe sind wirtschaftlich attraktiv – und entsprechende Controls priorisieren.

Ausblick: Wie die Bedrohungslandschaft 2026 aussehen könnte

Nordkorea bleibt laut Analyse das aktivste staatliche Element im Krypto-Cyberkriminalitätsraum. Erwartbar ist eine Fortsetzung der Hybrid-Taktiken – kombiniert mit Verbesserungen in Automatisierung, KI-gestützter Exploit-Generierung und ausgefeilten Geldwäschestrategien. Gleichzeitig erhöhen verbesserte Sicherheitspraktiken den Aufwand für Angreifer. Der Wettlauf verlagert sich zu Geschwindigkeit und Orchestrierung: wer schneller chain-hoppt und obfuskiert, gewinnt Zeitfenster.

Deshalb ist Kooperation zwischen technischer Community, Akademia, Industrie und Regulatoren zentral. Investitionen in Resilienz, Transparenz und internationale Rechtsdurchsetzung werden langfristig die Kosten für Angreifer erhöhen und die Attraktivität dieser Einnahmequelle vermindern.

Schlussfolgerung

Die 2,02 Milliarden Dollar, die nordkoreanische Akteure 2025 durch Krypto-Diebstähle erbeutet haben, sind Ergebnis eines komplexen Zusammenspiels neuer technischer Methoden und klassischer Cyberkriminalitätstechniken. Cross-Chain-Bridges, kompromittierte SDKs, gezieltes Phishing und ausgeklügelte Geldwäschestrategien bilden die Kernkomponenten dieser Operationen. Parallel dazu zeigen Verbesserungen in DeFi-Sicherheit Wirkung – Audits, Multisig-Setups und formale Verifikation reduzieren Einzelrisiken, doch die skalierende Angriffsfläche und automatisierte Angriffstools führen zu mehr und manchmal grösseren Vorfällen. Um langfristig resilient zu werden, braucht es eine Kombination aus technischer Härtung, organisatorischer Disziplin und globaler regulatorischer Kooperation. Nur durch schnelles Teilen von Threat Intelligence, robuste Forensik und bessere AML-Prozesse lassen sich die Einnahmequellen staatlicher Angreifer nachhaltig verkleinern und künftige Schäden begrenzen.