Milliarden verschwinden: Die dreisten Kryptowährungsüberfälle, die einer Schurkennation zugeschrieben werden.

Nordkoreas sechsmonatige Infiltrationskampagne bei Drift erschütterte eine Kryptoindustrie, die bereits unter milliardenschweren Exploits litt.

Doch als sich die Nachricht beruhigte, rückte eine größere Frage in den Fokus: Warum kehrt Nordkorea überhaupt immer wieder zu Kryptowährungen zurück und warum unterscheidet sich sein Ansatz so stark von dem aller anderen staatlich unterstützten Hacking-Operationen auf dem Planeten?

Die kurze Antwort lautet laut Sicherheitsexperten, dass Kryptowährungen dazu beitragen, dem Regime eine Einnahmequelle zu verschaffen und es über Wasser zu halten.

„Nordkorea verfügt nicht über den Luxus der Geduld“, sagte Dave Schwed, Chief Operating Officer bei SVRN und Gründer des Cybersecurity-Masterstudiengangs an der Yeshiva University. „Sie unterliegen umfassenden internationalen Sanktionen und benötigen harte Währung, um ihre Waffenprogramme zu finanzieren. Die Vereinten Nationen und mehrere Geheimdienste haben bestätigt, dass Kryptodiebstahl ein primärer Finanzierungsmechanismus für die Entwicklung ihrer nuklearen und ballistischen Raketen ist.“

Diese Dringlichkeit erklärt eine Dynamik, die Ermittlern seit langem Rätsel aufgibt: Warum nordkoreanische Hacker groß angelegte, nachvollziehbare Raubüberfälle auf öffentliche Blockchains durchführen, anstatt Kryptowährungen stillschweigend zu nutzen, um Sanktionen zu umgehen, wie es andere staatliche Akteure tun.

Die Antwort, argumentiert Schwed, ist struktureller Natur. Russland hat immer noch eine Wirtschaft: Öl, Gas, Rohstoffexporte und Handelspartner, die bereit sind, Workarounds zu nutzen. Es braucht Krypto als Zahlungsmittel, aber nicht für viel mehr. Auch der Iran hat Güter zu bewegen – sanktioniertes Öl, Netzwerke zur Stellvertreterfinanzierung, willige Vermittler im gesamten Nahen Osten. Nordkorea hat fast nichts mehr zu verkaufen.

„Ihre Exporte sind fast vollständig sanktioniert. Sie haben keine funktionierende Wirtschaft, die eine Zahlungsschiene braucht. Sie brauchen direkte Einnahmen“, sagte Schwed. „Kryptodiebstahl verschafft ihnen sofortigen Zugang zu liquiden Werten weltweit, ohne dass sie eine Gegenpartei benötigen, die bereit ist, mit ihnen Geschäfte zu machen.“

Diese Unterscheidung – Krypto als Infrastruktur versus Krypto als Ziel – unterscheidet Nordkorea nicht nur von Russland, sondern auch vom Iran. Während Russland Geld über Kryptowährungen weiterleitet, um Sanktionen zu umgehen, und der Iran damit Proxy-Netzwerke im Nahen Osten finanziert, führt Nordkorea etwas durch, das eher einer staatlich geförderten Raubüberfalloperation ähnelt.

„Ihre Ziele sind Börsen, Wallet-Anbieter, DeFi-Protokolle und die einzelnen Ingenieure und Gründer, die Zeichnungsberechtigung oder Zugriff auf die Infrastruktur haben“, sagte Alexander Urbelis, Chief Information Security Officer bei ENS Labs und Professor für Cybersicherheit am King’s College London. „Das Opfer ist derjenige, der die Schlüssel besitzt oder Zugriff auf die Infrastruktur hat, die die Schlüssel besitzt.“

Im Vergleich dazu betrachten Russland und der Iran Krypto als Nebensache, als Mittel zur Erreichung umfassenderer geopolitischer Ziele.

„Russland hat es auf Wahlen, Energieinfrastruktur und Regierungssysteme abgesehen. Iran hat es auf Dissidenten und regionale Gegner abgesehen“, sagte Urbelis. „Wenn einer von ihnen Krypto berührt, dann um Geld zu bewegen und nicht, um es aus dem Ökosystem zu stehlen.“

Dieser einzigartige Fokus hat nordkoreanische Agenten dazu veranlasst, Taktiken anzuwenden, die eher mit Geheimdiensten als mit kriminellen Hackern in Verbindung gebracht werden: monatelanger Beziehungsaufbau, erfundene Identitäten und Infiltration der Lieferkette.

Die Drift-Kampagne ist nur das jüngste Beispiel.

„Sie verteidigen sich nicht gegen eine Phishing-E-Mail eines zufälligen Betrügers“, sagte Urbelis. „Sie verteidigen sich gegen jemanden, der sechs Monate damit verbracht hat, eine Beziehung aufzubauen, um eine Person zu kompromittieren, die über den Zugang verfügt, den Sie schützen müssen.“

Die eigene Architektur von Crypto macht es zu einem einzigartig attraktiven Jagdrevier. Im traditionellen Finanzwesen stoßen selbst erfolgreiche Hacks auf Probleme in Form von Compliance-Prüfungen, Korrespondenzbankschecks, Abwicklungsverzögerungen und der Möglichkeit, betrügerische Überweisungen rückgängig zu machen. Als Nordkoreas Hacker 2016 den Banküberfall in Bangladesch durchführten, dauerte die Bearbeitung des Raubüberfalls Tage und die meisten Gelder wurden schließlich wiedererlangt oder gesperrt. Bei Krypto gibt es keine dieser Schutzmaßnahmen auf Protokollebene.

„Sobald eine Transaktion unterzeichnet und bestätigt ist, ist sie endgültig“, sagte Urbelis. Der Bybit-Exploit Anfang letzten Jahres hat 1,5 Milliarden US-Dollar in etwa 30 Minuten bewegt, ein Tempo und Ausmaß, das im traditionellen Bankensystem nahezu unmöglich wäre.

Diese Endgültigkeit verändert das Sicherheitskalkül grundlegend. Im Bankwesen kann eine angemessene Verteidigung aus Prävention, Erkennung und Reaktion aufgebaut werden, da es immer ein Zeitfenster gibt, in dem Gelder eingefroren oder eine Überweisung rückgängig gemacht werden kann. In der Kryptowelt gibt es dieses Zeitfenster kaum, was bedeutet, dass es nicht nur wünschenswert ist, einen Angriff zu stoppen, bevor er passiert, sondern im Grunde die einzige Option.

Und während Banken jahrzehntelang aufsichtsrechtlichen Richtlinien und Prüfungsanforderungen unterliegen, improvisieren viele Krypto-Projekte immer noch – und legen oft Wert auf Geschwindigkeit und Innovation gegenüber Governance und Kontrollen.

Diese Lücke schafft ein Umfeld, in dem selbst hochentwickelte Teams anfällig sein können, insbesondere für die Art langfristiger Infiltrationstaktiken, die Nordkorea immer weiter verfeinert hat.

„Dies ist derzeit das größte Betriebssicherheitsproblem im Kryptobereich“, sagte Urbelis über den CH