- Die Hacker der DVRK stahlen 2025 Kryptowährungen im Wert von 2 Milliarden Dollar, ein Anstieg von 51 % trotz weniger Angriffe.
- Die Angreifer wechselten von Massenkampagnen zu präzisen Angriffen auf hochwertige Börsen.
- Die Ethereum Foundation identifizierte 100 DPRK-Akteure, die in Krypto-Einstellungspipelines eingedrungen sind.
Nordkoreanische staatlich verbundene Hacker stahlen im Jahr 2025 Kryptowährungen im Wert von über 2 Milliarden US-Dollar, ein Anstieg von 51 % gegenüber dem Vorjahr, so ein neuer Bedrohungsbericht der Cybersicherheitsfirma CrowdStrike. Das auffälligste Detail ist nicht die Dollarzahl selbst, sondern wie diese Zahl erreicht wurde.
Die Anzahl der Angriffe ging zurück, und die Erfolgsquote pro Angriff stieg dramatisch. Mit der DVRK verbundene Gruppen haben sich von großvolumigen Kampagnen hin zu weniger und gezielteren Operationen gegen hochwertige Börsen und Web3-Protokolle entwickelt.
Warum Krypto das Ziel ist
Die Analyse von CrowdStrike geht direkt darauf ein, warum der Kryptowährungssektor insbesondere nordkoreanische Staatsakteure anzieht. Gestohlene Gelder können mit deutlich größerer Anonymität ausgezahlt und überwiesen werden als bei ähnlichen Diebstielen aus traditionellen Banksystemen. Die Erlöse werden mit ziemlicher Sicherheit gewaschen, um die Militärprogramme des Landes zu finanzieren.
Der Finanzdienstleistungssektor ist laut demselben Bericht mittlerweile die viertgrößte Zielgruppe weltweit für Cyberangriffe. Innerhalb dieser Kategorie verfügen Kryptobörsen und Web3-Infrastruktur über die höchste Kombination aus Liquidität und Exit-Liquidität, was sie zu den effizientesten Zielen für staatliche Akteure macht, die in großem Umfang agieren.
Die Infiltration ist in die Einstellungspipeline gegangen
Die besorgniserregendste Entwicklung im Bericht ist, wie Angreifer überhaupt Zugang zu Kryptoprojekten erhalten. Traditionelle Perimeter-Sicherheit ist nicht mehr der Schwachpunkt. Die Einstellungspipeline ist es.
Im April 2025 identifizierte die Ethereum Foundation 100 von der DVRK unterstützte Personen, die direkt in Kryptoprojekte eingedrungen waren, typischerweise als Remote-Einstellungen in Entwicklerteams. Der Fall des Driftprotokolls ist das auffälligste Beispiel. Die mit der DVRK verbundenen Technologiearbeiter trafen das Drift Protocol-Team auf einer großen Konferenz der Kryptowährungsbranche und bauten eine sechsmonatige Arbeitsbeziehung auf, bevor der Kompromiss identifiziert wurde.
Der Onchain-Ermittler ZachXBT hat ähnliche Infiltrationsmuster mehrerer Unternehmen verfolgt und deutet darauf hin, dass der Drift-Vorfall nicht isoliert, sondern Teil einer koordinierten Strategie war.
Wie sich die Operation entwickelt hat
CrowdStrike beschreibt die operative Struktur als deutlich gereift. Mit der DVRK verbundene Gruppen operieren nun über verteilte Auftragnehmer und Vermittlungsnetzwerke, die speziell mit dem Kryptosektor verbunden sind. Dieser dezentrale Ansatz erhöht die Widerstandsfähigkeit und ermöglicht eine schnellere Anpassung an Plattformsicherheits-Upgrades.
Die Abhängigkeit von Remote-Mitwirkenden, offenen Entwicklungsumgebungen und globalem Outsourcing im Web3 ist zu einer strukturellen Schwachstelle geworden. Jeder Remote-Entwickler ist ein potenzieller Einstiegspunkt. Jeder Auftragnehmer-Onboarding ist ein potenzieller Kompromiss.
Was die Branche dagegen unternimmt
Sicherheitsteams auf großen Krypto-Plattformen erhöhen die Überwachung und Verifizierung während der Onboarding- und Code-Beitragsprozesse. Die Hintergrundüberprüfungen werden intensiviert. Die Identitätsverifizierung wird verstärkt. Code-Commits von neuen Mitwirkenden werden aggressiver geprüft.
Die Herausforderung besteht darin, dass die Schauspieler der DVRK ihre Techniken weiterhin parallel anpassen. Während Sicherheitsteams die Einstellungspipeline verschärfen, verfeinern Bedrohungsakteure ihre Deckgeschichten, professionellen Netzwerke und Social-Engineering-Taktiken, um die neuen Kontrollen zu umgehen.
Verwandt: CertiK-Bericht zeigt, dass nordkoreanische Hacker 2026 1,1 Milliarden Dollar in Krypto gestohlen haben
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
