Der größte Krypto-Raub aller Zeiten
Am 21. Februar 2025 ereignete sich der schwerwiegendste Angriff in der Geschichte der Kryptowährungen. Die Krypto-Börse Bybit, gemessen am Handelsvolumen die zweitgrößte der Welt mit Sitz in Dubai, wurde Opfer eines Diebstahls von rund 1,5 Milliarden US-Dollar in digitalen Vermögenswerten, die in einem Ethereum-Cold-Wallet verwahrt wurden. Keine Blockchain wurde gehackt. Kein kryptografischer Fehler wurde ausgenutzt. Die Schwachstelle war menschlicher, infrastruktureller und systemischer Natur. Der Angriff enthüllte die Unzulänglichkeit der aktuellen hybriden Web3-Architektur, die auf einem Paradoxon beruht: dezentrale Werkzeuge, die auf zentralisierten Infrastrukturen aufgebaut sind.
21. Februar 2025
Am 21. Februar um 13:30 Uhr UTC führte Bybit einen Routinevorgang durch: den Transfer von 30.000 ETH von einem seiner Multi-Signatur-Cold-Wallets auf ein zugänglicheres Wallet, ein sogenanntes „Warm Wallet“. Die scheinbar harmlose Bewegung entwickelte sich zu einem historischen Wendepunkt: 401.347 ETH, 90.375 stETH, 15.000 cmETH und 8.000 mETH wurden innerhalb weniger Minuten entwendet.
Geschätzter Gesamtschaden:
- 401.347 ETH ≈ 1,12 Milliarden US-Dollar
- 90.375 stETH ≈ 253 Millionen
- 15.000 cmETH ≈ 44 Millionen
- 8.000 mETH ≈ 23 Millionen
Gesamt: ≈ 1,5 Milliarden US-Dollar
Vergleich mit früheren Hacks
| Hack | Datum | Entwendeter Wert |
|---|---|---|
| Bybit | Feb 2025 | 1,5 Milliarden USD |
| Ronin (Axie Infinity) | Mär 2022 | 620 Millionen USD |
| Poly Network | Aug 2021 | 610 Millionen USD |
| Mt.Gox (Tokio) | 2014 | 850.000 BTC (~450M) |
| KuCoin | Sep 2020 | 275 Millionen USD |
Der Angriff auf Bybit übertrifft nicht nur alle vorherigen in seinem Ausmaß, sondern verlagert das Schlachtfeld von internen Blockchain-Schwachstellen auf eine neue Ebene: die Supply-Chain der Web3-Infrastruktur.
Warum dieser Angriff auf „Systemebene“ stattfand
Der Exploit betraf keine anfälligen Smart Contracts. Er traf die Signatur-Infrastruktur, die Menschen, Software-Wallets und Cloud-Umgebungen miteinander verband. Es ist ein gescheiterter Stresstest für das gesamte Krypto-Ökosystem, insbesondere für die vermeintliche Unverwundbarkeit von Multi-Signatur-Cold-Wallets, die seit jeher als Goldstandard der digitalen Verwahrung galten.
Die Dynamik des Angriffs: Der „Routine“-Transfer, der keiner war
Die betrügerische Transaktion tarnte sich als Routinevorgang. Die Unterzeichner sahen – in der GUI von Safe{Wallet} – einen legitimen Transfer. On-Chain wurden die Gelder jedoch direkt an von den Angreifern kontrollierte Verträge geleitet. Die Benutzeroberfläche zeigte eine korrekte Adresse an, doch der im Browser ausgeführte JavaScript-Code hatte die zugrunde liegende Logik des Signaturpakets modifiziert und die Parameter to, operation und data verändert.
Die Rolle von Safe{Wallet} und der Web2-Supply-Chain
Safe (ehemals Gnosis Safe) ist das am häufigsten verwendete Multisig-Tool der Branche. Bybit nutzte es, um die 3-Ebenen-Signatur seiner Cold-Wallets zu verwalten. Der Einstiegspunkt des Angriffs war die Kompromittierung des Rechners eines Safe-Entwicklers, von wo aus die Angreifer Zugriff auf den AWS S3-Bucket erhielten, der das öffentliche Frontend von Safe hostete.
Durch die Änderung der Datei safe-transaction.js schleusten die Angreifer eine JavaScript-Payload ein, die erkennen konnte, wann ein Bybit-Signer eine Transaktion genehmigte, und deren Inhalt im laufenden Betrieb veränderte. Der modifizierte Code wurde dann über AWS CloudFront als legitim ausgeliefert.
Dies ist das Paradoxon: Eine Lösung, die als dezentral und „trustless“ konzipiert war, hing von einem zentralisierten CDN und nicht ausreichend geschütztem Cloud-Speicher ab.
Lazarus Group: Der „Cyber-Arm“ Nordkoreas
Die Urheberschaft wurde vom FBI sowie von Blockchain-Analyseunternehmen wie Chainalysis und Elliptic bestätigt. Die verantwortliche Gruppe ist Lazarus, eine Elite-Einheit aus Nordkorea, die mit dem Reconnaissance General Bureau (RGB), einer militärischen Geheimdienstbehörde, verbunden ist.
Frühere Angriffe: Die Laufbahn von Lazarus, von Spionage zu Krypto-Diebstählen
Die Gruppe Lazarus, die als operative Einheit unter dem Reconnaissance General Bureau (RGB) identifiziert wurde, hat sich in etwas mehr als einem Jahrzehnt von Sabotageoperationen zu ausgeklügelten Kampagnen der Finanz-Cyberkriminalität entwickelt. Die Entwicklung zeigt einen klaren Trend: vom Angriff auf US-Einrichtungen mit geopolitischen Zielen hin zum Aufbau einer industriellen Infrastruktur für den Diebstahl von Kryptowährungen.
Sony Pictures (2014): Sabotage als diplomatische Waffe
Der Angriff auf Sony Pictures Entertainment im Jahr 2014 markiert den Eintritt von Lazarus in die globale Cyber-Szene. Das Motiv war politisch: die Veröffentlichung des Films The Interview, einer Satire auf das Regime von Kim Jong-un. Lazarus drang in das interne Netzwerk des Unternehmens ein, zerstörte 70 % der Server und internen Geräte und exfiltrierte Terabytes an vertraulichen Daten, darunter private E-Mails, Gehaltsabrechnungen, unveröffentlichte Inhalte und persönliche Daten von Mitarbeitern. Der Angriff kostete Sony zig Millionen Dollar. Es war der Beweis, dass Lazarus nicht als Aktivistengruppe, sondern als strategisches staatliches Instrument agierte.
Zentralbank von Bangladesch (2016): Der Übergang zum Finanzdiebstahl
Im Februar 2016 nutzte Lazarus kompromittierte SWIFT-Zugangsdaten der Bangladesh Bank, um einen Diebstahl von 951 Millionen US-Dollar von der Federal Reserve in New York zu versuchen. Nur ein Tippfehler im Namen des Begünstigten („Fundation“ statt „Foundation“) verhinderte den vollen Erfolg. Dennoch wurden 81 Millionen USD erfolgreich transferiert und größtenteils über philippinische Casinos gewaschen. Dies ist der erste dokumentierte Fall eines direkten Angriffs auf ein internationales Bankensystem mit rein finanziellem Ziel, was den Übergang von Sabotage zur wirtschaftlichen Ausbeutung im globalen Maßstab markiert.
Upbit (2019): Lazarus betritt die Krypto-Welt
Im November 2019 hackte Lazarus die südkoreanische Börse Upbit und entwendete 342.000 ETH (damals ca. 41 Millionen USD). Der Diebstahl erfolgte aus einem Hot Wallet, das durch einen gezielten Angriff kompromittiert wurde. Im Gegensatz zum Fall Bangladesch ermöglichte die „permissionless“-Natur der Blockchain eine schnellere Ausführung und eine nahezu sofortige Verteilung der Gelder. Der Angriff markiert den offiziellen Eintritt der Gruppe in die krypto-native Kriminalität: geringes Risiko, hohe Geschwindigkeit, maximale Liquidierbarkeit.
KuCoin (2020): Dezentraler Diebstahl, aber teilweise Rückgewinnung
Im September 2020 traf Lazarus die Börse KuCoin, die ihren Sitz auf den Seychellen hatte, aber hauptsächlich auf dem asiatischen Markt operierte. Es wurden rund 275 Millionen US-Dollar in einer Vielzahl von ERC-20-Token und anderen Vermögenswerten auf kompatiblen Blockchains gestohlen. Der Unterschied zu früheren Angriffen lag in der teilweisen Rückgewinnung: Über 80 % der Gelder wurden zurückgegeben, dank der Zusammenarbeit zwischen den Token-Entwicklern, die Verträge einfroren oder Vermögenswerte neu bereitstellten. Der Vorfall verdeutlicht zwei Elemente: die Schnelligkeit von Lazarus bei Angriffen auf die Krypto-Infrastruktur und gleichzeitig die Anfälligkeit fungibler Vermögenswerte gegenüber Kontrollen durch die ursprünglichen Teams.
Ronin / Axie Infinity (2022): Der größte Angriff bis 2025
Am 23. März 2022 traf Lazarus das Ronin Network, eine Ethereum-Sidechain, die für das Spiel Axie Infinity entwickelt wurde. Die Gruppe kompromittierte fünf der neun Validatoren, die für die Autorisierung von Transaktionen auf der Chain erforderlich sind, und konnte so 173.600 ETH und 25,5 Millionen USDC transferieren, insgesamt etwa 620 Millionen US-Dollar. Der Angriff ist eine Lektion über das systemische Risiko von semi-zentralisierten Validierungsschemata, die sich als Dezentralisierung tarnen. Es ist auch der erste Fall, in dem das US-amerikanische Office of Foreign Assets Control (OFAC) ein Ethereum-Wallet direkt sanktionierte und es als nordkoreanisches staatliches Instrument anerkannte.
Atomic Wallet (2023): Exploit außerhalb der Börse
Im Juni 2023 kompromittierte Lazarus Atomic Wallet, eine Non-Custodial-Self-Custody-Software, die von Millionen von Nutzern verwendet wird. Der Exploit traf keine Börse, sondern private Nutzergeräte. Die Gruppe nutzte eine Schwachstelle im Code des Wallets aus, um etwa 100 Millionen USD in verschiedenen Kryptowährungen zu stehlen. Der Angriff zeigt eine neue Grenze auf: das Ziel ist der einzelne Nutzer, wodurch jede institutionelle Kontrolle umgangen wird. Keine Deckung, keine Rückerstattung. Die Identifizierung des Exploits und die Schadensbegrenzung erfolgten zu spät für eine nennenswerte Rückgewinnung.
Lazarus ist keine „normale“ kriminelle Gruppe: Sie agiert als Instrument der finanziellen Außenpolitik für Nordkorea und wandelt Krypto-Diebstähle in Finanzierung für Atomwaffen und ballistische Raketen um.
Geldwäsche und Fragmentierung: Phase 2 der Operation
Unmittelbar nach Abschluss des Diebstahls begann die zweite Phase der Operation: die systematische Verteilung der gestohlenen Gelder. Die Verantwortlichen des Angriffs, die als Mitglieder der Lazarus-Gruppe identifiziert wurden, aktivierten einen hocheffizienten Geldwäscheplan, bei dem die digitalen Vermögenswerte in großem Umfang fragmentiert und verschleiert wurden.
Um die gestohlenen Ethereum in Bitcoin umzuwandeln, wurde eine Reihe von dezentralen Börsen (DEX) und Cross-Chain-Bridges genutzt, die für ihre fehlenden KYC-Kontrollen (Know Your Customer) bekannt sind. Dazu gehören THORSwap, Chainflip, Uniswap und eXch – letzteres stand bereits wegen seiner anfänglichen mangelnden Kooperation bei der Sperrung von Geldern in der Kritik. Die fehlende Identifizierungspflicht ermöglichte es den Angreifern, Kapital ohne regulatorische Hindernisse schnell zu verschieben.
Der Prozess umfasste über 4.400 verschiedene Krypto-Adressen, die genutzt wurden, um die Gelder zu fragmentieren und die Rückverfolgung zu erschweren. Die Strategie zielte darauf ab, die On-Chain-Überwachungstools und die Compliance-Teams der Börsen zu überlasten, was eine rechtzeitige Reaktion unmöglich machte. Diese Taktik, bekannt als „Flood the Zone“, ist mittlerweile Teil des wiederkehrenden Modus Operandi von Lazarus bei groß angelegten Diebstählen.
Laut den kombinierten Analysen von Elliptic und Bybit wurden etwa 90 % der gestohlenen Gelder in den ersten Tagen nach dem Angriff in Bitcoin umgewandelt. Sobald sie umgewandelt waren, wurden die BTC über Mixer, Zwischen-Wallets und Cross-Transaktionen auf alternativen Blockchains weiter verschoben.
Mindestens 20 % der gesamten Gelder gelten als „im Dunkeln verschwunden“, das heißt, sie sind mit aktuellen Blockchain-Untersuchungstools nicht mehr rückverfolgbar. Dieser Teil umfasst Münzen, die bereits in Bargeld umgewandelt wurden, Kryptowährungen, die über Tumbler verschleiert wurden, oder Vermögenswerte, die in inaktiven Wallets eingefroren sind.
Trotz der hohen Komplexität des Plans führten einige Gegenmaßnahmen zu Teilerfolgen: Nur 42,89 Millionen US-Dollar wurden dank des koordinierten Eingreifens einiger Partner aus der Branche eingefroren, darunter Tether, ChangeNOW, THORchain und andere Betreiber, die bei der Identifizierung und Sperrung der kompromittierten Adressen zusammenarbeiteten. Der zurückgewonnene Anteil bleibt jedoch im Vergleich zur Gesamtsumme marginal.
Das LazarusBounty von Bybit
Am 25. Februar startete Bybit das LazarusBounty, das erste strukturierte Kopfgeldprogramm gegen eine staatliche Cyberkriminellengruppe. Zu gewinnen: 10 % der gestohlenen Gelder, etwa 140 Millionen USD für jeden, der bei der Nachverfolgung und Sperrung der Gelder hilft.
Zum 10. März 2025 begann das von Bybit gestartete LazarusBounty-Programm, erste konkrete Ergebnisse zu liefern. Die Initiative, die darauf ausgelegt ist, die Nachverfolgung gestohlener Gelder durch die Zusammenarbeit der Krypto-Community zu fördern, hat signifikante Fortschritte bei der Kartierung verdächtiger Transaktionen ermöglicht.
Insgesamt wurden bereits über 4 Millionen US-Dollar an Belohnungen an Personen ausgezahlt, die nützliche Informationen zur Identifizierung und Sperrung von etwa 40 Millionen US-Dollar an gestohlenen Vermögenswerten lieferten. Diese Hinweise ermöglichten es einigen Börsen und Vermittlungsdiensten, Transaktionen zu unterbrechen oder Gelder einzufrieren, bevor sie vollständig gewaschen werden konnten.
Mindestens 20 verschiedene Mitarbeiter – darunter unabhängige Analysten, Forensik-Gruppen und Mitglieder der Krypto-Community – haben aktiv an der Operation teilgenommen, verdächtige Bewegungen gemeldet und Transaktionspfade in Echtzeit kartiert. Auch wenn der zurückgewonnene Betrag nur einen Bruchteil der Gesamtsumme darstellt, zeigt die Operation die Wirksamkeit einer verteilten und incentivierten Reaktion gegen komplexe staatliche Angriffe.
Auswirkungen auf den Markt und die Nutzer
Der Angriff auf Bybit hatte unmittelbare Folgen für den gesamten Krypto-Markt und löste sowohl bei den Preisen als auch auf psychologischer Ebene bei den Anlegern Turbulenzen aus. Ab dem Tag des Diebstahls verschlechterte sich die Marktstimmung rapide und löste eine Verkaufswelle aus, die insbesondere die beiden wichtigsten Vermögenswerte des Ökosystems traf.
Bitcoin (BTC), das im Januar 2025 sein Allzeithoch bei 109.000 $ erreicht hatte, verzeichnete einen Rückgang von 20 % und fiel innerhalb weniger Wochen auf 87.000 $. Der Abwärtsdruck wurde durch allgemeine Ängste um die Sicherheit der Krypto-Infrastruktur verstärkt, verschärft durch die Erkenntnis, dass selbst in Cold Wallets verwahrte Vermögenswerte durch indirekte Angriffe kompromittiert werden konnten.
Ethereum (ETH) erlitt einen noch heftigeren Einbruch. Von einem Preis von etwa 6.200 $ fiel er in nur 48 Stunden auf 5.100 $, wodurch über 100 Milliarden US-Dollar an Marktkapitalisierung vernichtet wurden. Der Absturz stand in direktem Zusammenhang mit der Menge der gestohlenen ETH (über 400.000) und der anschließenden On-Chain-Fragmentierung, die die Unsicherheit über den tatsächlichen Grad der Rückverfolgbarkeit der Vermögenswerte schürte.
Paradoxerweise stieg die Aktivität auf Bybit trotz des Diebstahls an. In den Tagen nach dem Angriff verzeichnete die Börse einen Anstieg von +25 % beim Handelsvolumen, angetrieben durch einen massiven Rückfluss von institutionellem Kapital. Dieser Zufluss war kein Zufall: Er erfolgte nach der offiziellen Ankündigung der vollständigen Deckung der gestohlenen Gelder und der vollen Betriebsbereitschaft der Plattform.
Um die Lücke in der Bilanz zu schließen, erhielt Bybit innerhalb von weniger als 48 Stunden 1,23 Milliarden US-Dollar in ETH aus drei Quellen: Überbrückungskredite, Einlagen von „Walen“ und OTC-Käufe (Over-the-Counter). Die Reaktion des Netzwerks zeigte, dass die Börse trotz des Angriffs ihre Solvenz und das operative Vertrauen der wichtigsten Akteure der Branche beibehalten konnte.
Innerhalb von 72 Stunden nach dem Vorfall stellte Bybit eine 1:1 Proof-of-Reserves wieder her, die von externen Prüfern zertifiziert und On-Chain validiert wurde. Dies trug dazu bei, die Kapitalflucht einzudämmen und die Position der Börse in den Augen des Marktes zu stabilisieren.
Die wichtigste Zahl bleibt jedoch der Nettofluss: 4 Milliarden US-Dollar an Geldern flossen innerhalb von nur 12 Stunden nach der Bestätigung der Deckung auf Bybit. Es ist ein unmissverständliches Signal: Trotz der Schwere des Angriffs haben die Schnelligkeit und Transparenz der Reaktion das Vertrauen eines signifikanten Teils der Nutzer, insbesondere der institutionellen, gefestigt – anstatt es zu untergraben.
Warum dieser Hack einen Wendepunkt markiert
Der Angriff auf Bybit stellt einen strukturellen Bruch im Sicherheitsparadigma von Kryptowährungen dar. Der Mythos der Unverletzlichkeit von Multi-Signatur-Cold-Wallets ist zusammengebrochen. Jahrelang als höchster Sicherheitsstandard betrachtet, haben sich diese Werkzeuge nicht in ihren kryptografischen Mechanismen, sondern am Punkt der menschlichen Interaktion als anfällig erwiesen. Die Signatur der Transaktion – die als Kontrollinstrument galt – wurde zum Punkt des Versagens. Die kompromittierte Benutzeroberfläche täuschte die Unterzeichner und verleitete sie dazu, eine betrügerische Operation zu autorisieren. Das Ergebnis beweist, dass physische Isolierung (Cold Storage) nicht ausreicht, wenn die Signaturumgebung manipulierbar ist.
Das zweite kritische Element betrifft die strukturelle Abhängigkeit des Web3-Ökosystems von Web2-Komponenten. Die theoretisch dezentrale Infrastruktur stützt sich immer noch auf zentralisierte Dienste wie AWS S3, CloudFront und nicht verifizierbare JavaScript-Umgebungen. Der bösartige Code wurde in einen S3-Bucket eingeschleust und über CDN als „offizieller“ Inhalt verbreitet, wodurch jede Kontrolle umgangen wurde. Dies macht deutlich, dass die Dezentralisierung von Protokollen nicht automatisch die Resilienz der gesamten technologischen Lieferkette impliziert.
Der Angriff markiert auch einen endgültigen Wandel in der Natur des Gegners. Es handelt sich nicht mehr um einzelne Hacker, sondern um staatliche Akteure mit unbegrenzten Ressourcen, strategischen Motivationen und fortgeschrittenen operativen Fähigkeiten. Die Lazarus-Gruppe agiert als Erweiterung der nordkoreanischen Staatsmacht und verwandelt jeden Krypto-Diebstahl in einen Akt finanzieller Außenpolitik. Der Diebstahl ist nicht mehr nur ein wirtschaftlicher Verlust für eine Börse, sondern eine geopolitische Angelegenheit mit Auswirkungen auf Sanktionen, internationale Sicherheit und den Umlauf von digitalem Kapital.
Schließlich hat der Angriffsvektor die rein technische Ebene verlassen. Es handelte sich nicht um einen Fehler in einem Smart Contract oder eine Lücke in einer Blockchain. Die gesamte Operation basierte auf kognitiven und prozeduralen Schwachstellen: Social Engineering, gezieltes Phishing, Manipulation der Laufzeitumgebung, Blindheit des Nutzers gegenüber nicht lesbaren Daten. Das neue Angriffsmodell nutzt nicht mehr die Mathematik aus, sondern die Unwissenheit des menschlichen Bedieners und das Fehlen unabhängiger Überprüfungen zwischen dem, was angezeigt wird, und dem, was tatsächlich signiert wird.
Der Diebstahl bei Bybit ist nicht nur ein Vorfall. Es ist ein technischer und strategischer Beweis dafür, dass das Web3 in seiner jetzigen Form inhärent ungeminderten systemischen Risiken ausgesetzt ist.
Die Zukunft des Web3
Der Hack von Bybit ist nicht nur ein Diebstahl, sondern ein Angriff auf die Architektur der modernen Dezentralisierung selbst. Das blinde Vertrauen in die Sicherheit von Multisigs und Cold Wallets wird nicht durch eine Zero-Day-Schwachstelle oder einen kryptografischen Fehler erschüttert, sondern durch eine Signatur, die von einem Menschen genehmigt wurde, der von einer gefälschten Schnittstelle getäuscht wurde.
Wenn das Web3 überleben will, muss es sich reformieren, beginnend bei seinen Grundlagen: Transparenz des Codes, Resilienz der Infrastruktur und die Fähigkeit, menschliches Versagen auf Null zu reduzieren. Andernfalls wird das Narrativ der Dezentralisierung eine Illusion auf einem anfälligen Stack bleiben.
Leave a Reply