Nordkorea steckt laut TRM Labs hinter 76 % des Wertes der Krypto-Hacks von 2026

Das Blockchain-Intelligence-Unternehmen TRM Labs hat berichtet, dass Hacker mit Nordkorea-Verbindung für etwa 76 % des gesamten im Jahr 2026 gestohlenen Krypto-Wertes verantwortlich waren, eine Zahl, die laut dem Unternehmen mit nur zwei großen Angriffen erreicht wurde. Die Erkenntnis unterstreicht, wie eine Handvoll großer, gut geplanter Operationen ein ganzes Jahr der Verluste dominieren kann, selbst wenn Hunderte kleinerer Vorfälle weiterhin Protokolle und Nutzer auf dem gesamten Markt beeinträchtigen.

Der Kontext dieser Schlagzeilenzahl ist ernüchternd. Schätzungen zufolge belaufen sich die gesamten Krypto-Verluste aus vielen Vorfällen im Jahr 2026 auf etwa 2,1 Milliarden US-Dollar, und Gruppen, die mit der Demokratischen Volksrepublik Korea (DVRK) verbunden sind, haben wiederholt große Protokolle ins Visier genommen. Der Drift Protocol Exploit, bei dem rund 285 Millionen US-Dollar entwendet wurden, wurde als DVRK-verbunden vermutet. Wenn Angriffe dieser Größenordnung erfolgreich sind, gestalten sie die jährlichen Statistiken von selbst neu.

Was TRM Labs herausfand

Laut TRM Labs waren Akteure mit Nordkorea-Verbindung für etwa 76 % des im Jahr 2026 in Krypto gestohlenen Wertes verantwortlich. Das auffällige Detail ist die Effizienz: Dieser Anteil stammte aus nur zwei großen Angriffen und nicht aus einem stetigen Strom kleinerer Diebstähle. Mit anderen Worten, eine winzige Anzahl von Sicherheitsverletzungen verursachte die überwiegende Mehrheit des finanziellen Schadens.

Dieses Muster ist für die Unternehmen, die illegale On-Chain-Aktivitäten verfolgen, nicht neu, aber die Konzentration im Jahr 2026 sticht hervor. Es zeigt uns, dass die gefährlichste Bedrohung für große Protokolle nicht unbedingt das Volumen der Versuche ist, sondern die Raffinesse und die Ressourcen hinter den wenigen Angriffen, die tatsächlich erfolgreich sind. Ein Jahr kann in Bezug auf aufsehenerregende Vorfälle relativ ruhig sein und dennoch enorme Verluste verzeichnen, wenn auch nur ein oder zwei Operationen gegen hochwertige Ziele erfolgreich sind.

Für Analysten ist die Erkenntnis, dass sich die Zuordnung und Prävention auf das obere Ende der Verteilung konzentrieren müssen. Das Stoppen der nächsten neunstelligen Sicherheitsverletzung ist für die Jahreszahlen weitaus wichtiger als das Blockieren von tausend Phishing-Versuchen mit geringem Wert, auch wenn beides Aufmerksamkeit verdient.

Warum wenige Angriffe das Jahr dominieren können

Es mag seltsam erscheinen, dass zwei Vorfälle alles andere zusammen übertreffen könnten. Die Mathematik ist einfacher, als es aussieht. Krypto-Verluste sind stark verzerrt: Die meisten Exploits stehlen bescheidene Beträge, aber eine kleine Anzahl von Sicherheitsverletzungen trifft Schatzkammern, Brücken oder große Protokolle, die enorme Summen an einem einzigen Ort halten. Wenn eines davon schiefgeht, wird der Verlust in Hunderten von Millionen statt in Tausenden gemessen.

Da die Verteilung so unausgewogen ist, wird die Jahressumme im Wesentlichen von den größten Ereignissen bestimmt. Eine Sicherheitsverletzung im Wert von 285 Millionen US-Dollar, wie die beim Drift Protocol vermutete, kann Tausende kleiner Phishing-Betrügereien zusammen übertreffen. Deshalb konzentrieren sich Analysten bei der Bewertung des Zustands der Krypto-Sicherheit so stark auf die größten Vorfälle.

Staatlich unterstütztes Hacking ist eine eigenständige Bedrohung

Es gibt einen wichtigen Unterschied zwischen opportunistischen Exploits und staatlich unterstützten Operationen. Opportunistische Angreifer neigen dazu, weitläufig nach einfachen Zielen zu suchen, einen bekannten Fehler auszunutzen und zu greifen, was sie können, bevor das Zeitfenster schließt. Sie sind oft durch Zeit, Fähigkeiten und Ressourcen eingeschränkt.

Staatlich unterstützte Gruppen, wie die mit Nordkorea verbundene Lazarus Group, agieren anders. Sie sind gut ausgestattet, geduldig und in der Lage, in lange Aufklärungsarbeiten, maßgeschneiderte Tools und Social-Engineering-Kampagnen zu investieren, die auf bestimmte Mitarbeiter oder Systeme abzielen. Sie können Wochen oder Monate damit verbringen, ein Ziel zu studieren, bevor sie handeln. Diese Kombination aus Finanzierung und Beharrlichkeit macht sie zu einer separaten Bedrohungskategorie und hilft zu erklären, warum die ihnen zugeschriebenen Angriffe so groß sind.

Wie sich die gestohlenen Gelder bewegen

Sobald Gelder entwendet wurden, besteht die nächste Herausforderung für diese Gruppen darin, sie zu waschen. Staatlich unterstützte Akteure verschieben gestohlene Vermögenswerte typischerweise über mehrere Ketten hinweg, wobei sie Mixer und komplexe Hop-Muster verwenden, die darauf ausgelegt sind, die Spur zu verwischen. Ziel ist es, die Verbindung zwischen dem ursprünglichen Diebstahl und dem letztendlichen Auszahlungspunkt zu unterbrechen.

Diese kettenübergreifende Bewegung ist genau das, was Blockchain-Intelligence-Unternehmen wie TRM Labs zu entwirren versuchen. Durch die Verfolgung von Transaktionen über Brücken, Swaps und Verschleierungsdienste können Ermittler manchmal den Weg gestohlener Gelder rekonstruieren und einen Angriff einer bestimmten Gruppe zuordnen, selbst wenn die Angreifer sich große Mühe geben, verborgen zu bleiben. Wiederholte, erkennbare Geldwäschemuster sind oft Teil dessen, wie Analysten eine neue Sicherheitsverletzung einer etablierten Gruppe und nicht einem einmaligen Angreifer zuordnen.

Die Geldwäschephase ist auch wichtig, weil dort gelegentlich Gelder eingefroren oder wiederhergestellt werden können. Je mehr Hops und Ketten beteiligt sind, desto schwieriger wird dies, weshalb Geschwindigkeit und Koordination zwischen Börsen, Analysefirmen und Protokollen nach einem großen Diebstahl einen erheblichen Unterschied machen können.

Was das für Protokolle und Nutzer bedeutet

Die Konzentration der Verluste auf wenige große Angriffe birgt eine klare Lektion für Entwickler. Audits sind wichtig, aber sie sind nur eine Ebene. Viele der größten Sicherheitsverletzungen betreffen betriebliche Schwachstellen, wie kompromittierte Schlüssel, Social Engineering oder Insider-Zugriff, und nicht eine einzige übersehene Codezeile. Starke Betriebssicherheit, sorgfältige Zugriffskontrollen und kontinuierliche Überwachung sind ebenso wichtig wie die Code-Überprüfung selbst.

Für alltägliche Nutzer ist die Erkenntnis Vorsicht statt Alarm. Der sorgfältige Umgang mit Wallet-Schlüsseln, Skepsis gegenüber unerwarteten Nachrichten und Links sowie das Verständnis, dass selbst bekannte Protokolle angegriffen werden können, sind alles vernünftige Gewohnheiten. Tools, die Nutzern bei der Recherche von Token und On-Chain-Aktivitäten helfen, einschließlich Plattformen wie DEXTools, können fundiertere Entscheidungen unterstützen, obwohl kein Tool das Risiko vollständig beseitigt. Nichts davon ist Finanzberatung, und es gibt keine Abkürzungen zu perfekter Sicherheit.

Was zu beobachten ist

Die Zahl von TRM Labs ist eine Momentaufnahme eines Jahres, das von einer kleinen Anzahl überdimensionierter Ereignisse geprägt ist. Die Fragen für die Zukunft sind, ob Protokolle die operativen und menschlichen Schichten, die diese Angriffe ausnutzen, härten können und ob Ermittler Schritt halten können, wenn die Geldwäschetechniken komplexer werden. Mit rund 2,1 Milliarden US-Dollar an Gesamtverlusten, die bereits auf Vorfälle im Jahr 2026 zurückzuführen sind, wird der Druck auf Verteidiger und On-Chain-Analysten voraussichtlich nicht so schnell nachlassen.

Vorerst ist die Hauptbotschaft klar. Der Krypto-Sektor steht einem gut ausgestatteten, staatlich unterstützten Gegner gegenüber, der nicht viele Erfolge benötigt, um ernsthaften Schaden anzurichten. Zu beobachten, wie die größten Protokolle reagieren und wie schnell die Branche ihre Sicherheitskultur verschärft, wird viel darüber aussagen, wie sich 2027 entwickeln wird.