Web3-Hacks kosteten im ersten Quartal 464 Millionen US-Dollar, da Phishing den Großteil der Verluste verursacht: Hacken
Nach Angaben des Blockchain-Sicherheitsunternehmens Hacken verloren Web3-Projekte im ersten Quartal 2026 464,5 Millionen US-Dollar durch Hacks und Betrügereien, während milliardenschwere „Mega-Hacks“ einer größeren Zahl mittelgroßer Vorfälle Platz machten.
Laut Hackens Bericht für das erste Quartal 2026 dominierten Phishing- und Social-Engineering-Angriffe den Zeitraum und verursachten Verluste in Höhe von 306 Millionen US-Dollar in einem Quartal mit insgesamt 43 Vorfällen. Ein einzelner Hardware-Wallet-Betrug im Wert von 282 Millionen US-Dollar im Januar war für 81 % des Schadens in diesem Quartal verantwortlich.
Die Zahl der Smart-Contract-Exploits belief sich auf insgesamt 86,2 Millionen US-Dollar, wobei Zugriffskontrollfehler, einschließlich kompromittierter Schlüssel und Cloud-Dienste, zu weiteren Verlusten in Höhe von 71,9 Millionen US-Dollar führten.
Die Verluste machen dieses Quartal zum zweitniedrigsten ersten Quartal seit 2023, da es keinen einzigen Mega-Hack in der Größenordnung von Bybit gab, das im ersten Quartal 2025 1,46 Milliarden US-Dollar verlor, was der Hauptgrund für den Rückgang im Jahresvergleich war.
Hackens Incident Mapping zeigt, dass die größten Ausfälle zunehmend außerhalb des On-Chain-Codes auftreten, in Betriebs- und Infrastrukturebenen, die bei herkömmlichen Audits selten berührt werden. Yev Broshevan, CEO und Mitbegründer von Hacken, sagte gegenüber Cointelegraph, dass die teuersten Ausfälle „vollständig außerhalb der Codeschicht passieren“.
Verwandt: Aethir stoppt Bridge-Exploit und verspricht Entschädigung nach Verlust von 90.000 US-Dollar
Laut Hacken wird dieser Wandel von Regulierungsbehörden und institutionellen Gegenparteien stärker unter die Lupe genommen, da Rahmenwerke wie die Markets in Crypto-Assets Regulation (MiCA) und der Digital Operational Resilience Act (DORA) in der Europäischen Union weiter in die Durchsetzung vordringen und die Erwartungen an eine kontinuierliche Sicherheitsüberwachung und Reaktion auf Vorfälle erhöhen.
Legacy-Code, gefälschte VC-Aufrufe und wichtige Kompromisse
Broshevan verwies auf Phishing im Wert von 306 Millionen US-Dollar, einen mit Nordkorea in Verbindung stehenden gefälschten Risikokapitalgeber (VC) im Wert von 40 Millionen US-Dollar gegen Step Finance und eine Kompromittierung des AWS-Schlüsselverwaltungsdienstes im Wert von 25 Millionen US-Dollar bei Resolv Labs. Selbst wenn Smart Contracts schuld waren, lagen die kostspieligsten Fehler oft in älteren Implementierungen und bekannten Schwachstellenklassen. Truebit verlor 26,4 Millionen US-Dollar durch einen Fehler in einem Solidity-Vertrag, der vor etwa fünf Jahren eingeführt wurde, während Venus Protocol von einem seit 2022 dokumentierten Spendenangriffsmuster betroffen war.
Q1 2025 im Vergleich zu Q1 2026. Quelle: Hacken.
Sechs geprüfte Projekte, darunter Resolv mit 18 Prüfungen und Venus mit fünf separaten Firmen, verursachten immer noch Verluste in Höhe von 37,7 Millionen US-Dollar. Im Durchschnitt war das mehr als bei ihren ungeprüften Mitbewerbern, da TVL-Protokolle (Total Value Locked) anspruchsvollere Angreifer und Exploits anziehen.
Globale Aufsichtsbehörden verschärfen die Erwartungen an die Reaktion auf Vorfälle
Im ersten Quartal gingen MiCA und DORA in der EU weiter zur aktiven Durchsetzung über, Dubais Regulierungsbehörde, die Virtual Assets Regulatory Authority, verschärfte die Erwartungen an ihr Technologie- und Informationsregelwerk, Singapur setzte Basel-konforme Kapital- und einstündige Vorfallsbenachrichtigungsregeln durch und die neue Kapitalmarktbehörde der Vereinigten Arabischen Emirate übernahm die bundesstaatliche Aufsicht über digitale Vermögenswerte mit umfassenderen Befugnissen und höheren Strafen.
Gesamte Kryptoverluste pro Quartal. Quelle: Hacken
Verwandt: Krypto-Hacker stehlen im ersten Quartal 169 Millionen US-Dollar aus 34 DeFi-Protokollen: DefiLlama
Hacken verbindet diese Systeme mit einem neuen Maßstab für „regulierungsfähige“ Stacks, der Nachweise über Reserven, die durch einen täglichen internen Abgleich gestützt werden, eine 24/7-On-Chain-Überwachung über Treasury-Wallets und privilegierte Rollen hinweg, automatisierte Leistungsschalter für Präge- und Governance-Funktionen sowie Uhren für Vorfallbenachrichtigungen umfasst, die auf den strengsten geltenden Standard kalibriert sind.
Der Bericht hebt „realistische“ Ziele für die Sensibilisierung innerhalb von 24 Stunden, die Kennzeichnung innerhalb von vier Stunden und die Blockierung in 30 Sekunden hervor, wobei „ehrgeizige“ Ziele nur 10 Minuten für die Erkennung und 1 Sekunde für die Blockierung betragen, basierend auf den Leitlinien von Global Ledgers Daten zum Laundering Race 2025.
Auf menschlicher Ebene bezeichnet Hacken nordkoreanische Cluster als die beständigste betriebliche Bedrohung, wobei der Verlust von Step Finance in Höhe von 40 Millionen US-Dollar und der Infrastrukturverstoß von Bitrefill eine Reihe gefälschter VC-Einsätze, böswilliger Videoanruf-Tools und kompromittierter Mitarbeiterendpunkte erweitern, die dem Sektor im Jahr 2025 rund 2,04 Milliarden US-Dollar entzogen haben.
Magazin: XRP muss noch 3 bullische Katalysatoren „einpreisen“, Bitcoin auf 80.000 US-Dollar? Geschäftsgeheimnisse