Nordkorea hat mit zwei Angriffen gerade 577 Millionen US-Dollar aus Kryptowährungen gestohlen, hier erfahren Sie, wie es geht

Im April 2026 machten zwei Hacks im Wert von 577 Millionen US-Dollar 76 % aller Kryptodiebstähle in diesem Jahr aus. Beide waren das Werk der nordkoreanischen Lazarus-Gruppe.

Es handelte sich auch nicht um einen Smart-Contract-Exploit. Die Angreifer gaben sich sechs Monate lang als Handelsunternehmen aus, nahmen persönlich an Krypto-Konferenzen teil und bauten echte Beziehungen zu Ingenieuren bei Drift Protocol auf, bevor sie die Signaturen extrahierten, die sie brauchten, um in zwölf Minuten 285 Millionen US-Dollar abzuschöpfen.

Der andere Angriff hat einem einzelnen anfälligen Brückenknoten 292 Millionen US-Dollar abgezogen. Dies ist kein Krypto-Sicherheitsproblem mehr. Es handelt sich um eine staatlich geförderte Geheimdienstoperation, die von einem Land betrieben wird, das die Einnahmen zur Finanzierung seines Waffenprogramms verwendet. Und die Branche fängt gerade erst an, es zuzugeben.

Zwölf Minuten im April

Am 1. April 2026 um 16:06:09 UTC hat ein Angreifer die großen Tresore von Drift Protocol, der größten dezentralen ewigen Terminbörse auf Solana, mit etwa 285 Millionen US-Dollar an Benutzervermögen geleert. Bei der ersten Auszahlung wurden 41,72 Millionen JLP-Token bewegt. Der letzte bewegte sich um 2.200 $ETH. Die gesamte Schatzkammer wurde in zwölf Minuten geleert, etwa so lange, wie man braucht, um eine lange SMS zu schreiben.

In der ersten öffentlichen Erklärung des Teams, die innerhalb weniger Stunden auf X veröffentlicht wurde, wurde die Community aufgefordert, zu bestätigen, dass die beobachtete ungewöhnliche Aktivität kein Aprilscherz war. Das war es nicht. Es war der Höhepunkt einer sechsmonatigen methodischen Vorbereitung durch Mitarbeiter der nordkoreanischen Regierung.

JUST IN: Drift Protocol kündigt an, dass alle vom Exploit am 1. April betroffenen Wallets Wiederherstellungstoken erhalten werden, die jeweils einen verifizierten Verlust und einen proportionalen Wiederherstellungspoolanspruch darstellen pic.twitter.com/DRv4A61nBu

– crypto.news (@cryptodotnews) 5. Mai 2026

Siebzehn Tage später, am 18. April, erbeuteten Angreifer 292 Millionen US-Dollar von KelpDAO, einem Restaking-Protokoll, indem sie eine Single-Verifier-Konfiguration in seiner LayerZero-Brücke manipulierten. Die beiden Angriffe zusammen machten etwa 95 Prozent des Kryptodiebstahls im April in Höhe von 625 Millionen US-Dollar aus, was den April 2026 zum schlechtesten Monat für Kryptosicherheit in der Geschichte machte. Der Diebstahl im bisherigen Jahresverlauf bis April belief sich auf über 1 Milliarde US-Dollar. TRM Labs machte 76 Prozent der gesamten Gesamtsumme im Jahr 2026 auf zwei Angriffe zurückzuführen. Beide waren das Werk desselben Bedrohungsakteurs.

NEU: KelpDAO verschiebt $rsETH zu Chainlink CCIP und nennt die LayerZero-Infrastruktur als DeFi-Exploit-Quelle im Wert von über 300 Millionen US-Dollar im April pic.twitter.com/6pjFShk30N

– crypto.news (@cryptodotnews) 6. Mai 2026

Dieser Bedrohungsakteur ist die Lazarus-Gruppe, der Dachname, den westliche Geheimdienste für staatlich geförderte Hacking-Operationen verwenden, die vom Reconnaissance General Bureau, Nordkoreas wichtigstem Geheimdienst, ausgehen. Seit 2017 haben Lazarus und seine Untereinheiten Kryptowährungen im Wert von über 6 Milliarden US-Dollar gestohlen.

Nach Angaben von Chainalysis wurden allein im Jahr 2025 2,06 Milliarden US-Dollar davon gestohlen, was vor allem auf den katastrophalen Bybit-Hack im Wert von 1,5 Milliarden US-Dollar im Februar dieses Jahres zurückzuführen ist, den größten Kryptodiebstahl in der Geschichte. Das Tempo von 2026 bringt die Gruppe auf einen guten Weg, die Gesamtzahl von 2025 problemlos zu übertreffen.

Dies ist keine Krypto-Sicherheitsgeschichte im herkömmlichen Sinne. Die Bedrohungen, denen DeFi-Protokolle heute ausgesetzt sind, sind nicht die Bedrohungen, gegen die sie sich verteidigen sollten. Die Sorgen der Ära 2020 waren Fehler bei Smart Contracts und Flash-Loan-Exploits sowie Schwachstellen im Code. Die Realität im Jahr 2026 sind nachhaltige, länderübergreifende und mehrmonatige Operationen, die von Geheimdienstexperten durchgeführt werden, die keinen Code-Exploit benötigen, weil sie bereits über die Schlüssel verfügen. Sie mussten nur jemanden überzeugen, sie auszuhändigen.

Das war der Drift-Angriff. Und es zu verstehen, ist die wichtigste Sicherheitserziehung, die jeder Krypto-Inhaber, Entwickler oder Manager derzeit erhalten kann.

Die Drift-Operation, Schritt für Schritt

Die Anfang April veröffentlichte Obduktion von Drift Protocol liest sich eher wie ein Spionageabwehrbericht als wie eine Sicherheitsoffenlegung. Es beginnt im Oktober 2025.

Auf einer großen Krypto-Konferenz wandte sich eine Gruppe von Personen, die sich als Vertreter eines quantitativen Handelsunternehmens präsentierten, an Drift-Mitarbeiter. Sie verfügten über einen nachgewiesenen beruflichen Hintergrund, zeigten technisches Geschick und stellten genau die Art von Fragen, die ein echtes institutionelles Handelsunternehmen zur Integration in ein Perpetuals-Protokoll stellen würde. Drift-Mitwirkende, die solche Anfragen routinemäßig bearbeiten, behandelten sie wie jeden anderen potenziellen institutionellen Partner.

Drift hat inzwischen klargestellt, dass die Personen bei diesen persönlichen Treffen keine nordkoreanischen Staatsangehörigen waren. Bei Lazarus-Operationen werden für den persönlichen Kontakt fast immer externe Vermittler eingesetzt, wobei die eigentlichen technischen Mitarbeiter in Nordkorea oder China bleiben. Der Blockchain-Ermittler ZachXBT, der seit Jahren Krypto-Operationen der DVRK verfolgt, hat festgestellt, dass diese mehrschichtige Identitätsstruktur eines der bestimmenden Merkmale der Lazarus-Kampagnen ist.

Die Gruppe hörte nach der ersten Konferenz nicht auf. Über einen Zeitraum von sechs Monaten traten dieselben Mitarbeiter oder Mitarbeiter mit denselben Identitäten auf mehreren globalen Branchenveranstaltungen auf und vertieften die Beziehungen zu bestimmten Drift-Mitwirkenden. Eine Telegram-Gruppe wurde eingerichtet