Größte Krypto-Hacks aller Zeiten: Vollständiger Verlauf (Update 2026)

Seit 2011 haben Kriminelle, staatliche Akteure und opportunistische Ausbeuter durch Hacks, Exploits und Börsenkompromittierungen mehr als 20 Milliarden US-Dollar an Kryptowährungen gestohlen. Die Geschichte der Krypto ist in vielerlei Hinsicht die Geschichte dieser Diebstähle. Jeder größere Vorfall hat die Art und Weise verändert, wie Börsen Gelder speichern und wie DeFi-Protokolle gehandhabt werden intelligenter Vertrag -Upgrades und wie Regulierungsbehörden die gesamte Branche sehen. Das Verständnis der größten Krypto-Hacks ist nicht nur eine faszinierende Kleinigkeit. Es ist ein wesentlicher Kontext für jeden, der digitale Vermögenswerte besitzt, Web3 einbaut oder auf zentralisierten Plattformen handelt.

Dieser Leitfaden listet die 15 größten Krypto-Hacks aller Zeiten bis 2026 auf, schlüsselt die Angriffsvektoren auf, die sie ermöglicht haben, ordnet diejenigen zu, die auf nationalstaatliche Akteure wie die nordkoreanische Lazarus-Gruppe zurückgeführt werden, und analysiert, welche gestohlenen Gelder jemals wiedergefunden wurden. Wir werden uns auch ansehen, wie Blockchain-Forensikfirmen wie Chainalysis und On-Chain-Ermittler wie ZachXBT gestohlene Vermögenswerte über Mixer, Brücken und zentralisierte Börsen verfolgen. Am Ende werden Sie ein vollständiges Bild davon haben, wo die Kryptosicherheit stand, wo sie heute steht und auf welche Angriffsmuster Sie in Zukunft achten sollten.

Die Zahlen sind atemberaubend. Der größte Hack der Geschichte, der Bybit-Cold-Wallet-Angriff im Februar 2025, hat bei einem einzigen Angriff 1,5 Milliarden US-Dollar verschwendet. Dieser eine Vorfall überstieg die gesamte jährliche Hackerzahl für 2023. Dennoch war es nur ein Kapitel in einer viel längeren Geschichte, die mit Mt. Gox im Jahr 2011 beginnt und sich mit der Ausnutzung neuer Variationen derselben grundlegenden Schwachstellen jedes Jahr fortsetzt.

Die 15 größten Krypto-Hacks aller Zeiten

Diese Rangliste basiert auf dem US-Dollar-Wert der zum Zeitpunkt des Vorfalls gestohlenen Vermögenswerte. Wenn es nach dem Vorfall zu Wiederherstellungen kam, wird die ursprüngliche Verlustzahl verwendet. Die Liste wird bis 2026 aktualisiert und umfasst sowohl zentralisierte Austauschkompromittierungen als auch dezentrale Protokoll-Exploits.

#1 Bybit (1,5 Milliarden US-Dollar, Februar 2025): Der größte Hack in der Geschichte

Am 21. Februar 2025 kam es an der zentralisierten Börse Bybit zum bislang größten Einzel-Kryptowährungsdiebstahl, der jemals registriert wurde. Angreifer manipulierten die Benutzeroberfläche während eines routinemäßigen Signiervorgangs an einem Safe-Multisig-Wallet und brachten die Unterzeichner dazu, eine Transaktion zu genehmigen, die die Kontrolle über eines der Ethereum-Cold-Wallets von Bybit an eine von den Angreifern kontrollierte Adresse übertrug. Innerhalb weniger Stunden wurden etwa 401.000 ETH im Wert von damals etwa 1,5 Milliarden US-Dollar abgezogen.

Der Angriff war kein Smart-Contract-Bug im herkömmlichen Sinne. Der Safe-Vertrag selbst funktionierte genau wie geplant. Der Exploit erfolgte auf der Ebene der menschlichen Schnittstelle. Die Unterzeichner sahen in ihrem Browser etwas, das wie eine legitime Transaktion aussah, aber die zugrunde liegenden Anrufdaten waren durch Schadcode geändert worden, der über ein kompromittiertes Safe-Frontend eingeschleust wurde. Dies wird manchmal als „Blind-Signing-Angriff“ bezeichnet und stellt eine neue Generation von Bedrohungen dar, bei denen der Smart Contract zwar in Ordnung ist, die zum Signieren von Transaktionen verwendete Schnittstelle jedoch kompromittiert ist.

Innerhalb von 24 Stunden hatten das FBI, Chainalysis, Elliptic und ZachXBT den Angriff öffentlich zugeschrieben Lazarus Group, das staatlich geförderte Hacker-Kollektiv Nordkoreas. Die gestohlene ETH wurde schnell auf Tausende von Zwischen-Wallets aufgeteilt, über DEXs getauscht und in Mixer geleitet Tornado Cash und der Bitcoin-fokussierte eXch Tauschservice. Ben Zhou, CEO von Bybit, bestätigte den Verlust innerhalb weniger Stunden öffentlich, eröffnete einen Notfall-Überbrückungskredit von großen Kontrahenten und versprach, die Kundengelder auszugleichen. Die Börse kam dieser Zusage nach und nahm die vollständigen Abhebungen innerhalb von 72 Stunden wieder auf, eine Reaktion, die weithin als erstklassiges Krisenmanagement gelobt wird.

#2 Ronin Network (625 Millionen US-Dollar, März 2022)

Die Ronin-Brücke war die Sidechain, die Axie Infinity antreibt, das erfolgreichste Play-to-Earn-Spiel in der Geschichte der Kryptowährung. Im März 2022 verschafften sich Mitarbeiter der Lazarus Group über Social Engineering Zugang zu Sky Mavis, indem sie einem leitenden Ingenieur des Unternehmens ein gefälschtes LinkedIn-Stellenangebot unterbreiteten. Der Ingenieur lud etwas herunter, das wie ein Stellenbeschreibungs-PDF aussah, das tatsächlich Schadsoftware enthielt, die den Angreifern dauerhaften Zugriff auf die Infrastruktur von Sky Mavis verschaffte.

Von dort aus ernteten die Angreifer vier der neun validator key -Anmeldeinformationen sind erforderlich, um Abhebungen von der Ronin-Brücke zu unterzeichnen. Sie stellten außerdem fest, dass ein fünfter Validator, der vom Axie DAO gesteuert wird, während einer früheren Zeit mit hohem Datenverkehr so ​​konfiguriert war, dass er Transaktionen automatisch signierte, und dass diese Konfiguration nie rückgängig gemacht wurde. Mit fünf von neun Unterschriften unter ihrer Kontrolle prägten sie Auszahlungstransaktionen für 173.600 ETH und 25,5 Millionen USDC, was einem Gesamtwert von rund 625 Millionen US-Dollar entspricht.

Der Verstoß blieb sechs Tage lang unentdeckt. Ronin entdeckte den Diebstahl erst, als ein Benutzer versuchte, 5.000 ETH abzuheben, und die Transaktion fehlschlug, weil die Brücke leer war. Das OFAC des US-Finanzministeriums sanktionierte die empfangende Wallet und führte den Angriff offiziell darauf zurück Lazarus im April 2022. Fast keines der gestohlenen Gelder wurde wiedergefunden. Sky Mavis und Binance haben gemeinsam einen Erstattungspool in Höhe von 150 Millionen US-Dollar für betroffene Benutzer finanziert.

#3 Poly Network (611 Millionen US-Dollar, August 2021): Der Hack, der zurückgekehrt ist

Poly Network ist ein kettenübergreifendes Interoperabilitätsprotokoll. Im August 2021 nutzte ein einzelner Angreifer eine Schwachstelle in der Art und Weise aus, wie das Protokoll kettenübergreifende Nachrichten überprüfte, wodurch er sich effektiv Managerprivilegien für den Poly-Vertrag sichern und 611 Millionen US-Dollar an Ethereum, BSC und Polygon verschwenden konnte.

Dann passierte etwas Unerwartetes. Der Angreifer, der sich später als „Mr White Hat“ identifizierte, gab in den folgenden zwei Wochen fast den gesamten gestohlenen Betrag freiwillig zurück. Sie gaben öffentlich an, dass der Hack „zum Spaß“ durchgeführt wurde und um die Schwachstelle aufzudecken. Poly Network bot dem Angreifer sogar ein Kopfgeld von 500.000 US-Dollar und einen Job als Chef-Sicherheitsberater an. Der Angreifer nahm das Kopfgeld an, nahm den Job jedoch nicht an. Dies bleibt das ungewöhnlichste Ergebnis in der Geschichte großer Krypto-Hacks. Fast jeder zweite Fall in dieser Liste endete damit, dass die Angreifer mit den Geldern dauerhaft verschwanden.

#4 BNB Chain Bridge (570 Mio. $, Oktober 2022)

Die native Cross-Chain-Brücke der BNB-Kette, bekannt als BSC Token Hub, wurde durch einen gefälschten Merkle-Beweis ausgenutzt. Der Angreifer entdeckte einen Fehler in der Art und Weise, wie die IAVL-Proof-Verifizierung der Brücke bestimmte Randfälle behandelte. Durch die Herstellung eines böswilligen Beweises, den die Brücke als gültig akzeptierte, prägten sie sich selbst 2 Millionen BNB im Wert von damals etwa 570 Millionen US-Dollar. Dies ist ein klassisches Beispiel für a bridge exploit , bei dem die kryptografische Überprüfung kettenübergreifender Nachrichten grundlegend fehlerhaft ist.

Der Angriff hätte wahrscheinlich zu einem viel größeren Verlust geführt, aber der Validatorsatz der BNB-Kette koordinierte innerhalb weniger Stunden nach dem Exploit einen Notstopp des Netzwerks. Indem sie die Blockproduktion stoppten, froren sie etwa 430 Millionen US-Dollar der gestohlenen Gelder auf der BNB-Kette ein. Die restlichen 137 Millionen US-Dollar waren bereits an andere Ketten weitergegeben worden und größtenteils nicht mehr einbringlich. Der Vorfall verdeutlichte sowohl die Risiken zugelassener Validierungssätze (das Netzwerk könnte überhaupt gestoppt werden) als auch die Vorteile (der Verlust wurde auf einen Bruchteil dessen begrenzt, was er hätte sein können).

#5 Coincheck ($530 Mio., Januar 2018)

Coincheck mit Sitz in Tokio hat etwa 523 Millionen NEM-Token in einem einzigen Hot Wallet ohne Mehrfachsignaturschutz gespeichert. Im Januar 2018 manipulierten Angreifer die Wallet und überwiesen den gesamten Restbetrag im Wert von rund 530 Millionen US-Dollar an 11 verschiedene von ihnen kontrollierte Adressen. Die NEM Foundation markierte die gestohlenen Coins in der Kette und forderte die Börsen auf, sie abzulehnen, doch der Großteil der Gelder wurde über Dunkelmärkte und nicht nachverfolgbare Swap-Dienste gewaschen, bevor ein sinnvoller Eingriff erfolgen konnte.

Coincheck entschädigte die betroffenen Benutzer schließlich aus eigenen Unternehmensmitteln, ein damals seltenes Ergebnis und trug dazu bei, das Vertrauen in japanische Börsen wiederherzustellen. Der Coincheck-Hack ist nach wie vor der größte Kryptowährungsdiebstahl an einer japanischen Börse und führte direkt zu strengeren japanischen FSA-Vorschriften, die eine obligatorische Kühllagerung von Kundenvermögen vorschreiben Sicherheit Audits und Trennung von Betriebs- und Kundengeldern.

#6 Mt. Gox (470 Mio. USD, 2011–2014)

Mt. Gox ist der ursprüngliche Krypto-Hack und wohl der folgenreichste. Mt. Gox mit Sitz in Tokio wickelte auf seinem Höhepunkt im Jahr 2013 etwa 70 % des gesamten weltweiten Bitcoin-Handelsvolumens ab. Über einen Zeitraum von mehreren Jahren, der bereits 2011 begann, nutzten Angreifer schwache Sicherheitsmaßnahmen und höchstwahrscheinlich interne Komplizenschaft aus, um systematisch etwa 850.000 BTC aus den Wallets der Börse zu entnehmen, was zu Preisen von 2014 etwa 470 Millionen US-Dollar wert war. Beim heutigen BTC-Preis beläuft sich der Verlust auf mehrere zehn Milliarden Dollar.

Mt. Gox meldete im Februar 2014 Insolvenz an. Der Fall wurde zu einem der am längsten laufenden Insolvenzverfahren in der Finanzgeschichte. Die Verteilung der zivilen Sanierung an die Gläubiger begann schließlich im Jahr 2024 und dauerte bis 2025, mehr als ein Jahrzehnt nach dem ursprünglichen Zusammenbruch. Der Fall Mt. Gox gab die Vorlage vor, der fast jede Krypto-Börse folgen würde: Die Warnzeichen waren öffentlich, die Fehler waren systemisch und der Wiederherstellungsprozess verlief äußerst langsam. Die Lehren aus Mt. Gox fließen auch heute noch in die Verwahrungspraktiken von Börsen ein.

#7 FTX (415 Mio. USD Abfluss nach der Insolvenz, November 2022)

FTX ist eher als Betrug denn als Hacker bekannt, aber in der Nacht des 11. November 2022, Stunden nachdem die Börse Insolvenz nach Kapitel 11 angemeldet hatte, hat ein unbekannter Angreifer etwa 415 Millionen US-Dollar aus den FTX-Wallets abgezogen. Die neuen Insolvenzverwalter bestätigten den Verlust am nächsten Tag öffentlich. Spätere Untersuchungen führten den Angriff auf ehemalige FTX-Mitarbeiter oder Auftragnehmer zurück, die weiterhin Zugriff darauf hatten private key -Material während des Chaos des Insolvenzantrags.

Im Jahr 2024 erhob die US-Bundesanwaltschaft Anklage gegen drei Personen im Zusammenhang mit dem FTX-Abfluss und beschuldigte sie der Verschwörung zum Überweisungsbetrug und schweren Identitätsdiebstahls. Der Fall ist ungewöhnlich, da es sich sowohl um einen Hackerangriff als auch um die Nachwirkungen einer Unternehmenspleite handelt, die zum für die betroffenen Benutzer denkbar ungünstigsten Zeitpunkt kollidiert.

#8 Wurmloch (320 Mio. $, Februar 2022)

Wormhole ist eine Brücke zwischen Solana und Ethereum. Im Februar 2022 nutzte ein Angreifer einen Fehler in der Überprüfung der Guardian-Signaturen durch die Bridge aus. Sie reichten eine böswillige VAA (überprüfbare Aktionsgenehmigung) mit gefälschter Signatur ein und täuschten die Brücke vor, 120.000 wETH seien auf Ethereum gesperrt worden, obwohl dies nicht der Fall war. Anschließend prägte die Brücke 120.000 wETH auf Solana an den Angreifer, der diese umgehend gegen SOL und andere Vermögenswerte eintauschte.

Die einzigartige Wendung in der Wormhole-Geschichte ist die Rettungsaktion. Jump Crypto, einer der größten Unterstützer des Wormhole-Projekts, hat sofort 320 Millionen US-Dollar seiner eigenen ETH in die Brücke eingezahlt, um den Verlust abzufangen. Dies war damals die größte private Rettungsaktion in der Geschichte der Kryptowährung. Dies bedeutete, dass kein Wormhole-Benutzer tatsächlich Geld verloren hatte. Die Kosten wurden vollständig von Jump getragen. Der Angreifer wurde nie öffentlich identifiziert.

#9 DMM Bitcoin (305 Mio. USD, Mai 2024)

Die japanische Börse DMM Bitcoin verlor im Mai 2024 aufgrund einer Kompromittierung des privaten Schlüssels etwa 4.503 BTC im Wert von 305 Millionen US-Dollar. Die Muttergesellschaft der Börse hat Notkapital bereitgestellt, um betroffene Benutzer zu entschädigen. Die japanische Polizei arbeitete später mit dem FBI zusammen und gab die Zuschreibung bekannt Lazarus im Dezember 2024, bei dem Social Engineering eines externen Wallet-Dienstanbieters als erster Einbruchsvektor identifiziert wurde. DMM Bitcoin kündigte Ende 2024 an, seinen Betrieb einzustellen und Kundenkonten an SBI VC Trade zu übertragen.

#10 KuCoin (281 Mio. USD, September 2020)

Die Hot Wallets von KuCoin wurden am 25. September 2020 durch einen Angriff geleert, der zunächst verheerend aussah, am Ende aber zu einer der besten Wiederherstellungsgeschichten in der Geschichte der Kryptowährungen wurde. Die Angreifer haben etwa 281 Millionen US-Dollar an Bitcoin, Ethereum und einer breiten Palette von ERC-20-Tokens gestohlen. KuCoin arbeitete mit Projektteams zusammen, um noch nicht ausgetauschte Token einzufrieren, Angreiferadressen auf die schwarze Liste zu setzen und Forks für einige Token zu koordinieren, bei denen ein Einfrieren nicht möglich war. Das Ergebnis war, dass etwa 84 % des gestohlenen Wertes schließlich wiedererlangt wurden.

#11 Nomad Bridge (190 Mio. $, August 2022)

Der Nomad-Bridge-Hack ist einzigartig, weil er für alle kostenlos ist. Nachdem bei einem routinemäßigen Smart-Contract-Upgrade ein Fehler aufgetreten war, der dazu führte, dass die Bridge jede Nachricht als gültig akzeptierte, entzog der erste Angreifer einen Teil des Geldes, und dann bemerkten Dutzende Nachahmer den gleichen Exploit auf Etherscan, kopierten die Transaktion und spielten sie mit ersetzten eigenen Adressen ab. Innerhalb weniger Stunden wurden etwa 190 Millionen US-Dollar von Hunderten verschiedener Adressen abgezogen, von hochentwickelten MEV-Bots bis hin zu erstmaligen Exploits, die lediglich ein einzelnes Feld in einer Transaktion änderten. Einige White Hats haben auch proaktiv Gelder abgezogen, um sie später zurückzugeben.

#12 Bohnenstange (182 Millionen US-Dollar, April 2022)

Beanstalk Farms war ein Stablecoin-Protokoll, das durch tokengewichtete Abstimmung geregelt wurde. Im April 2022 nahm ein Angreifer einen Schnellkredit auf, um die Mehrheit der Governance-Token zu erwerben, stimmte über einen böswilligen Vorschlag ab, der alle Protokollgelder an eine von ihm kontrollierte Adresse übertrug, und zahlte den Schnellkredit zurück – alles innerhalb einer einzigen Transaktion. Der Exploit kostete 182 Millionen US-Dollar. Dies ist das klassische Beispiel für einen Governance-Flash-Darlehensangriff und führte zu einer weit verbreiteten Einführung von Snapshot-basierten Abstimmungen und zeitgesteuerten Vorschlagsverzögerungen im gesamten DeFi.

#13 Wintermute (160 Mio. $, September 2022)

Wintermute ist ein bedeutender Krypto-Marktmacher. Im September 2022 nutzten Angreifer eine Schwachstelle im Vanity-Adressgenerator Profanity aus, den das Unternehmen zur Erstellung einer seiner operativen Wallets verwendet hatte. Profanität nutzte nicht genügend Entropie, wodurch bestimmte Vanity-Adressen mit roher Gewalt geknackt werden konnten. Die Angreifer haben den privaten Schlüssel für eine Wintermute-Administratoradresse zurückentwickelt und 160 Millionen US-Dollar aus dem DeFi-Tresor des Unternehmens abgezogen.

#14 Cream Finance (130 Mio. USD, Oktober 2021)

Cream Finance ist ein Geldmarktprotokoll, das allein im Jahr 2021 drei verschiedene Exploits erlitten hat. Der Vorfall im Oktober war der größte, bei dem Angreifer eine komplexe Flash-Darlehensstrategie nutzten, um das Preisorakel für yUSD zu manipulieren, wodurch sie weit mehr von Cream leihen konnten, als ihre Sicherheiten tatsächlich wert waren. Der Exploit kostete 130 Millionen US-Dollar. Cream erholte sich nie vollständig und das Protokoll stellte den Betrieb in den folgenden Jahren langsam ein.

#15 Multichain (126 Millionen US-Dollar, Juli 2023)

Der Zusammenbruch von Multichain (ehemals AnySwap) bleibt eine der seltsamsten Geschichten im Kryptobereich. Im Juli 2023 wurden unter bizarren Umständen 126 Millionen US-Dollar an Nutzervermögen aus Multichain-Bridge-Verträgen abgezogen. Berichten zufolge war der CEO des Protokolls von chinesischen Behörden festgenommen worden und besaß alle MPC-Schlüssel (Multi-Party Computing) der Brücke. Als er nicht verfügbar war, konnten die Schlüssel weder gedreht noch widerrufen werden, und jemand (möglicherweise die Behörden, möglicherweise ein Hacker, möglicherweise das Team selbst) hat die Brücke geleert. Das Protokoll wurde dauerhaft geschlossen und die meisten betroffenen Benutzer haben ihre Gelder nie zurückerhalten.

Angriffsvektor-Taxonomie: Die fünf Möglichkeiten, wie Krypto gehackt wird

Bei allen 15 Vorfällen und den Hunderten kleinerer Hacks, die jedes Jahr auftreten, passt fast jeder Exploit in eine von fünf Angriffsvektorkategorien. Das Verständnis dieser Kategorien hilft Ihnen, das Risiko jeder Plattform, mit der Sie interagieren, einzuschätzen.

Lazarus Group: Der nordkoreanische Staatsschauspieler

Wenn Sie genügend Hack-Post-Mortems lesen, taucht immer wieder ein Name auf. Lazarus Group is a hacking collective attributed to the Reconnaissance General Bureau of North Korea. Multiple intelligence agencies including the FBI, CISA, NCSC and South Korea's NIS have publicly named Lazarus as a state-sponsored actor whose operations finance North Korea's weapons programs in the face of international sanctions. The U.S. Treasury's OFAC hat zahlreiche von der Gruppe verwendete Wallets und Mixer sanktioniert.

Lazarus wurde mindestens drei der Top-15-Hacks in diesem Artikel zugeschrieben: Bybit (1,5 Milliarden US-Dollar), Ronin (625 Millionen US-Dollar) und DMM Bitcoin (305 Millionen US-Dollar). Sie werden auch für den Atomic Wallet-Hack (100 Millionen US-Dollar, Juni 2023), den Stake.com-Hack (41 Millionen US-Dollar, September 2023), den WazirX-Hack (235 Millionen US-Dollar, Juli 2024) und zahlreiche kleinere Vorfälle verantwortlich gemacht. Der Gesamtbetrag, den Lazarus bei allen Krypto-Operationen gestohlen hat, übersteigt 3 Milliarden US-Dollar und es wird angenommen, dass sie durch diese Diebstähle etwa die Hälfte des nordkoreanischen Raketenentwicklungsbudgets finanzieren.

Die Operationen von Lazarus folgen einem erkennbaren Spielbuch. Der Einbruch beginnt typischerweise mit Social Engineering, oft einem gefälschten Stellenangebot auf LinkedIn, das Malware in einem „Coding Challenge“-PDF oder einem komprimierten Archiv bereitstellt. Die Malware stellt dauerhaften Zugriff her und weitet die Berechtigungen innerhalb der Zielorganisation schrittweise aus, bis die Angreifer Transaktionen signieren oder private Schlüssel extrahieren können. Sobald Gelder gestohlen werden, werden sie auf Tausende von Zwischenadressen aufgeteilt, über DEXs getauscht, um die Verknüpfungen mit den ursprünglichen Transaktionen zu lösen, und weitergewaschen mixer -Dienste vor der Umstellung auf Fiat über OTC-Schalter in Gerichtsbarkeiten mit schwacher Compliance.

Brücken: Die Angriffsfläche Nummer eins

Von den Top-15-Hacks betrafen sieben in irgendeiner Form Cross-Chain-Brücken: Ronin, Poly Network, BNB Bridge, Wormhole, Nomad und Multichain. Auf Bridges entfallen mehr als 2,5 Milliarden US-Dollar an gestohlenen Geldern, etwa ein Viertel aller größeren Verluste durch Kryptodiebstahl. Diese Konzentration ist kein Zufall. Brücken sind aus mehreren strukturellen Gründen besonders schwierig zu sichern.

Erstens halten Brücken große Mengen an gesperrten Sicherheiten auf einer Kette, die verpackte Token auf einer anderen sichern. Dies macht sie zu attraktiven Zielen im Vergleich zu Single-Chain-Protokollen. Zweitens verlassen sich Brücken normalerweise auf eine Reihe von Validatoren oder Wächtern, um zu bestätigen, dass Nachrichten von einer Kette in einer anderen Kette gültig sind. Wenn genügend dieser Validatoren kompromittiert sind, kann die Brücke geleert werden. Drittens ist die kryptografische Verifizierungslogik für kettenübergreifende Nachrichten komplex und fehleranfällig, was zu Vorfällen wie dem Signaturverifizierungsfehler von Wormhole und dem Merkle-Proof-Exploit von BNB führt. Weitere Informationen zur Funktionsweise dieser Angriffsfläche finden Sie in unserer speziellen Aufschlüsselung Bridge-Hack -Phänomen.

CEX vs. DeFi vs. Bridge: Wie sich die Verluste aufschlüsseln

Das beliebte Narrativ ist, dass DeFi gefährlich und zentralisierte Börsen sicher sind. Die Daten erzählen eine differenziertere Geschichte.

Zentralisierte Börsen verursachen die größten Einzelverluste und bleiben die Ziele mit dem höchsten Wert. Bei DeFi-Protokollen treten häufigere, aber im Allgemeinen kleinere Exploits auf. Brücken nehmen eine eigene Kategorie ein und liegen zwischen zentraler Infrastruktur und dezentralen Verträgen, oft mit den schlechtesten Eigenschaften beider. Für einen Investor oder Händler bedeutet dies, dass die Frage nicht lautet: „Ist DeFi sicherer als CEX.“ Die Frage ist, welche spezifischen Plattformen die Sicherheitsarbeit geleistet haben, um sich gegen die spezifischen Angriffsvektoren zu wappnen, die für ihre Architektur gelten.

Wiederherstellungsergebnisse: Zurückgegeben, Teilweise, Nie

Sobald Gelder gestohlen wurden, schwanken die Wiederherstellungschancen enorm, abhängig von der Identität des Angreifers, dem gewählten Geldwäscheweg und der Geschwindigkeit, mit der die Ermittler vorgehen können. Bei den Top-15-Hacks verteilen sich die Ergebnisse ungefähr wie folgt.

Das Muster ist klar. Hackerangriffe staatlicher Akteure werden fast nie wiederhergestellt, da die Angreifer über die Infrastruktur und die Zeit verfügen, Gelder über Mixerketten und OTC-Schalter in nicht kooperativen Gerichtsbarkeiten zu waschen. Börsen-Hacks, bei denen die Börse überlebt, führen häufig dazu, dass der Benutzer eine Rückerstattung aus Unternehmensmitteln erhält, selbst wenn der tatsächlich gestohlene Betrag nicht mehr wiederhergestellt werden kann. DeFi-Exploits führen manchmal zu teilweisen Erträgen, wenn der Exploiter identifiziert und mit rechtlichen Schritten bedroht wird.

Blockchain-Forensik: Wie gestohlene Gelder verfolgt werden

Öffentliche Blockchains erzeugen eine beispiellose forensische Spur. Jede Transaktion wird dauerhaft protokolliert. Die Herausforderung besteht nicht darin, die Daten zu finden, sondern sie über Millionen von Adressen hinweg zu interpretieren und die Aktivitäten in der Kette mit realen Identitäten zu verknüpfen. Eine Handvoll Firmen und Einzelpersonen sind zu Weltexperten auf diesem Gebiet geworden.

Kettenanalyse ist das größte Blockchain-Analyseunternehmen und das wichtigste Tool, das von Strafverfolgungsbehörden weltweit eingesetzt wird. Sie unterhalten umfassende Datenbanken zur Adresszuordnung, gruppieren Wallets, die derselben Entität gehören, durch Transaktionsmusteranalyse und verfügen über direkte Beziehungen zu Börsen, die es ihnen ermöglichen, Auszahlungsstellen zu identifizieren, an denen gestohlene Gelder in das Fiat-System gelangen.

Geheimdienst von Arkham bietet eine stärker auf den Einzelhandel ausgerichtete Plattform, die On-Chain-Analysen mit einem Prämiensystem kombiniert. Benutzer können Belohnungen für die Identifizierung der Besitzer bestimmter Wallets posten und so eine Crowdsourcing-Zuordnungsebene erstellen, die dabei geholfen hat, mehrere wichtige Hack-Zuschreibungen aufzudecken.

ZachXBT ist der bekannteste unabhängige Blockchain-Ermittler. Ihm wird die Erstverantwortung für mehrere Lazarus-Operationen zugeschrieben, unter anderem für die Bereitstellung wichtiger Informationen zum Bybit-Hack innerhalb weniger Stunden nach dem Vorfall. Seine Ermittlungsthreads in den sozialen Medien führten zu Strafverfolgungsmaßnahmen und konnten in mehreren Fällen Benutzergelder retten.

Elliptisch und TRM Labs are other major commercial forensics firms that work primarily with exchanges, financial institutions, and government agencies. Their automated screening tools are part of why most regulated exchanges now refuse deposits from sanctioned addresses or known mixer outputs.

Wie Börsen ihre Sicherheit erhöht haben

Jeder große Hack hat zu strukturellen Veränderungen in der gesamten Branche geführt. Nach Mt. Gox führten die Börsen den Nachweis von Reserven und Kühllagerungspraktiken ein. Nach Coincheck wurden Multi-Signatur-Wallets zum Standard. Nach dem Bybit-Hack beschleunigten mehrere große Börsen, darunter OKX und Binance, die Implementierung zusätzlicher Verifizierungsebenen, hardwaregestützter Signaturen für Cold-Wallet-Vorgänge und der obligatorischen Simulation jeder Transaktion in einer Sandbox vor der Signatur.

Bybits eigene Reaktion auf seinen Hack ist zu einer Fallstudie zur Wiederherstellung von Börsen geworden. Innerhalb von 12 Stunden nach dem Verstoß hatte der CEO den Verlust öffentlich bekannt gegeben, eine Überbrückungskreditfazilität mit wichtigen Gegenparteien eröffnet, Abhebungen nur kurzzeitig eingefroren und sich verpflichtet, alle Kunden wieder gesund zu machen. Innerhalb von 72 Stunden war der volle Betrieb wieder aufgenommen und die meisten Benutzer hatten erfolgreich Geld abgehoben. Diese Reaktion zeigte, dass die Widerstandsfähigkeit des Austauschs heute genauso wichtig ist wie die Prävention. Selbst eine erstklassige Börse mit milliardenschweren Reserven kann gehackt werden. Die Frage ist, wie schnell und transparent sie mit den Folgen umgehen.

Moderne Exchange-Sicherheitsstacks umfassen in der Regel Kühlspeicher für mindestens 90 % der Kundenvermögenswerte, Hardware-Sicherheitsmodule für alle Signiervorgänge, Multisignaturschemata mit geografischer Verteilung der Unterzeichner, Transaktionssimulation und Richtlinien-Engines, die ungewöhnliche Muster vor dem Signieren kennzeichnen, obligatorische Doppelkontrolle für hochwertige Vorgänge, regelmäßige Drittanbieter Intelligente Vertragsprüfung Regelmäßige Überprüfungen aller Zollverträge und Nachweise von Reservebescheinigungen.

Lessons Learned: Was jeder Investor wissen sollte

Die Geschichte der Krypto-Hacks lehrt mehrere Lektionen, die sich direkt darauf beziehen, wie Sie Ihre eigenen Bestände verwalten sollten. Erstens besteht selbst bei erstklassigen Plattformen ein reales Wechselkursrisiko. Der Bybit-Hack hat bewiesen, dass selbst die sicherheitsbewusstesten zentralisierten Börsen kompromittiert werden können. Wenn Sie an einer Börse große Guthaben halten, sollten Sie die Reaktionsfähigkeit der Börse bei Vorfällen bewerten und nicht nur ihre präventiven Kontrollen.

Zweitens sind Brücken von Natur aus riskanter als Einzelkettenbeteiligungen. Wenn Sie Vermögenswerte über Ketten hinweg überbrücken, betrachten Sie die Brücke als das schwächste Glied in der Kette und minimieren Sie den Betrag und die Zeit, die Sie überbrücken. Benutzen Sie Brücken nur beim aktiven Transfer, nicht als Abstellplatz für Vermögenswerte.

Drittens sind Governance-Tokens wertvoll und Protokolle, an die Sie delegieren, können dem Risiko von Governance-Angriffen ausgesetzt sein, wenn sie keine Snapshot-Abstimmung und Zeitsperren implementiert haben. Bevor Sie an einer DAO-Governance teilnehmen, prüfen Sie, ob das Protokoll gegen Flash-Loan-Governance-Exploits abgesichert ist.

Viertens sind Depotsoftware und Wallet-Frontends wichtig. Der Bybit-Hack geschah auf der UI-Ebene einer Multisig-Wallet, die selbst sicher war. Überprüfen Sie Transaktionsaufrufdaten immer über eine unabhängige Quelle, z. B. eine Hardware-Wallet-Anzeige, bevor Sie hochwertige Vorgänge signieren.

Fünftens funktionieren einfache Schutzmaßnahmen immer noch. Verwenden Sie eine Hardware-Wallet für alle Bestände, die Sie nicht gerne verlieren würden. Aktivieren Sie die Zulassungsliste für Auszahlungsadressen an Börsen. Verwenden Sie eindeutige Passwörter und Hardware-Sicherheitsschlüssel für Exchange-Konten. Diese grundlegenden Maßnahmen hätten einen Großteil der kleineren Hacks verhindert, die nicht in dieser Top-15-Liste auftauchen, aber zusammengenommen den Nutzern jedes Jahr Milliarden kosten. Für einen breiteren Sicherheitskontext sehen Sie sich unsere Aufschlüsselung gängiger Angriffsvektoren wie an Honigtopf -Token, Teppichzieher Betrug, MEV Extraktion, Sandwich-Angriff Mechanik, 51 % Angriff Theorie und Sybil-Angriff -Muster, die alle in der breiteren Sicherheitslandschaft eine Rolle spielen.

Der Wendepunkt 2025: Wie Bybit alles veränderte

Der Bybit-Hack im Februar 2025 war ein Wendepunkt für die gesamte Branche. Das schiere Ausmaß des Verlusts, 1,5 Milliarden US-Dollar in einer einzigen Transaktion, übertraf die gesamten Gesamtverluste aller vorangegangenen Kalenderjahre und zwang zu einer raschen Neubewertung der Art und Weise, wie Kühllagervorgänge an allen großen Börsen durchgeführt werden. Die Tatsache, dass der Exploit auf die Mensch-Maschine-Schnittstelle und nicht auf den kryptografischen Kern des Multisig-Systems abzielte, zeigte, dass traditionelle Definitionen von „sicherer“ Verwahrung unzureichend waren.

In den Monaten nach dem Hack breiteten sich mehrere strukturelle Veränderungen in der gesamten Branche aus. Hardware-Wallet-Hersteller wie Ledger und Trezor beschleunigten ihre „Clear Signing“-Initiativen, die für Menschen lesbare Interpretationen von Transaktionsanrufdaten auf dem Gerätebildschirm anzeigen, wodurch es schwieriger wird, Unterzeichner mit böswilligen Benutzeroberflächen zu täuschen. Das Safe-Projekt selbst hat seine Front-End-Sicherheitsarchitektur überarbeitet und zusätzliche Verifizierungsabläufe für hochwertige Vorgänge eingeführt. Mehrere institutionelle Depotbanken begannen vor der Unterzeichnung mit der Einführung einer obligatorischen Air-Gap-Simulation jeder Transaktion.

Auf der Geldwäscheseite löste der Bybit-Fall eine beispiellose internationale Zusammenarbeit aus. Der eXch , der zum Waschen eines erheblichen Teils der gestohlenen ETH genutzt wurde, wurde im Mai 2025 von den europäischen Strafverfolgungsbehörden nach koordinierter Aktion deutscher und niederländischer Behörden eingestellt. Dies war die folgenreichste Abschaltung eines Kryptowäschedienstes seit Bestmixer im Jahr 2019 und zeigte, dass selbst nominell nicht verwahrte Swap-Dienste nicht außerhalb der Reichweite der Regulierungsbehörden liegen.

Regulatorische Folgen

Die kumulativen Auswirkungen jahrzehntelanger Krypto-Hacks haben in fast allen wichtigen Gerichtsbarkeiten zu regulatorischen Reaktionen geführt. Die japanische FSA erlegt einige der strengsten Verwahrungsanforderungen weltweit auf, die direkt aus den Erfahrungen mit Mt. Gox und Coincheck hervorgegangen sind. Das MiCA-Rahmenwerk der Europäischen Union, das 2024 vollständig in Kraft trat, schreibt die Trennung von Kundengeldern, Anforderungen an die Kühllagerung und die Meldung von Vorfällen für alle lizenzierten Anbieter von Krypto-Asset-Diensten vor. Die USA haben die Durchsetzung durch die SEC, die CFTC und das DOJ vorangetrieben, wobei das OFAC zahlreiche mit Lazarus und anderen illegalen Akteuren in Verbindung stehende Wallets sanktioniert hat.

Sanktionen gegen Mischdienste waren besonders folgenreich. Tornado Cash wurde im August 2022 vom OFAC sanktioniert, was zu gerichtlichen Anfechtungen führte, die bis 2026 andauern. Der Sanktionsrahmen um Tornado Cash and other privacy tools has shaped both the technical evolution of mixers (toward more decentralized, sanction-resistant designs) and the compliance posture of every exchange and DeFi protocol that touches funds with potentially mixed history.

Für normale Benutzer haben die regulatorischen Folgen eine Mischung aus Vorteilen und Reibungsverlusten mit sich gebracht. Regeln zur Trennung von Kundengeldern und Nachweise über Rücklagen sorgen für sinnvolle zusätzliche Sicherheit. Die Einhaltung von Reiseregeln und die Überprüfung der Geldherkunft bei Ein- und Auszahlungen können mühsam sein, verringern jedoch den Wert von Kryptowährungen als Geldwäscheinstrument, was wiederum den finanziellen Anreiz für Hacks leicht verringert.

Video: Insider der größten Krypto-Hacks

Eine visuelle Zusammenfassung der größten Kryptodiebstähle und ihrer Durchführung.

Häufig gestellte Fragen