Kelp DAO erlitt am Samstag einen Hack im Wert von 292 Millionen US-Dollar und überholte damit Drift als größten Krypto-Exploit des bisherigen Jahres. Nordkoreanisch verknüpfte Hacker stehen im Verdacht, hinter dem Angriff zu stecken.
Kelp DAO erklärte am Montag, dass der Exploit auf einen Ausfall der Infrastruktur des Cross-Chain-Messaging-Protokolls LayerZero zurückzuführen sei. LayerZero erklärte, dass der Einbruch durch die Nutzung einer einzigen Verifier-Konfiguration durch Kelp DAO zur Genehmigung von Cross-chain-Nachrichten ermöglicht wurde.
LayerZero erklärte, dass „vorläufige Indikatoren" den Exploit TraderTraitor zuschreiben, einer Untergruppe der staatlich unterstützten nordkoreanischen Hackereinheit, bekannt als Lazarus Group.
Die Erkenntnisse des Blockchain-Ermittlers Tanuki42 fanden ebenfalls Verbindungen zu TraderTraitor. Tanuki42 erklärte am Dienstag, dass die beim Kelp DAO-Vorfall gestohlenen Gelder mit früheren Exploits derselben Gruppe vermischt wurden.
Während Nordkoreas Cyberaktivitäten gegen dezentralisierte Finanzplattformen im April zugenommen haben, stellen seine Taktiken auch eine Bedrohung für Unternehmen und Endnutzer dar.
Gelder aus dem Kelp DAO-Exploit wurden mit Wallets vermischt, die mit dem 1,4-Milliarden-Dollar-Bybit-Hack im Februar 2025 in Verbindung stehen. Quelle: Tanuki42
Nordkoreas Krypto-Machenschaften wieder im Fokus
Der April-Fools'-Day-Exploit auf der dezentralisierten Börse Drift belief sich auf insgesamt 285 Millionen US-Dollar und brachte den vermuteten nordkoreanisch verknüpften Krypto-Diebstahl auf mindestens 578 Millionen US-Dollar bei größeren Vorfällen im gesamten Monat.
Die beiden Angriffe sind die größten Krypto-Raubzüge, die nordkoreanischen Akteuren seit dem Bybit-Hack zugeschrieben werden.
Mittlerweile hat die Krypto-Branche erkannt, dass mit der DVRK verknüpfte Operateure sich als IT-Entwickler ausgeben, um Remote-Jobs bei Technologieunternehmen zu sichern. Sicherheitsforscher und die Vereinten Nationen sagen, dass diese Taktik Millionen von Dollar generiert, um Nordkoreas Waffenprogramme zu unterstützen.
Schwache Hintergrundüberprüfungen ermöglichen es nordkoreanischen IT-Arbeitern, Remote-Jobs zu erhalten. Quelle: Tanuki42
Verwandt: Nordkoreanische Cyberspione sind nicht mehr nur entfernte Bedrohungen
Im März verhängte das US-Finanzministerium Sanktionen gegen sechs Personen und zwei Unternehmen wegen ihrer mutmaßlichen Rollen in nordkoreanischen IT-Arbeiterbetrugsschemen. Das FBI gab im Juni ebenfalls Empfehlungen heraus, in denen es Arbeitgebern empfiehlt, den beruflichen Werdegang von Bewerbern zu überprüfen und persönliche Treffen zu verlangen.
Der Drift-Exploit deutet jedoch darauf hin, dass Pjöngjangs Cyber-Operateure sich anpassen. Die DeFi(Dezentralisierte Finanzen)-Plattform erklärte, dass ihre Mitarbeiter im November auf einer großen Krypto-Konferenz persönlich von Personen kontaktiert wurden, die sich als quantitatives Handelsunternehmen ausgaben. Die Angreifer kommunizierten weiterhin und bauten Vertrauen auf, bevor es zum Einbruch kam.
Kleinere Angriffe haben parallel dazu fortgesetzt. Der Krypto-Wallet-Anbieter Zerion erklärte, dass mit der DVRK verknüpfte Akteure KI-gestützte Social-Engineering-Methoden einsetzten, um in einem separaten Vorfall etwa 100.000 US-Dollar zu stehlen.
Nordkorea reagiert selten auf solche Anschuldigungen, obwohl sein Außenministerium im Mai 2020 eine Erklärung herausgab, in der es eine Beteiligung an Cyberangriffen bestritt und die Vereinigten Staaten beschuldigte, sein Image beschädigen zu wollen.
Krypto-Betrug im Einzelhandel nimmt zu, da DVRK-Taktiken überschwappen
Das Federal Bureau of Investigation (FBI) meldete in seinem Bericht des Internet Crime Complaint Center (IC3) 2025 einen Anstieg der kryptobezogenen Kriminalitätsbeschwerden um 21 %. Das FBI startete IC3 im Jahr 2000 als Portal für Opfer in den USA, um Online Betrug zu melden.
Kryptowährungsfälle waren 2025 mit 181.565 Beschwerden verbunden, was zu Verlusten von 11,37 Milliarden US-Dollar führte, mehr als die Hälfte des Gesamtbetrags.
Anleger im Alter von 60 Jahren und älter meldeten 2025 die meisten Beschwerden im Zusammenhang mit Krypto. Quelle: FBI
Verwandt: Nordkoreanischer Spion macht einen Fehler und enthüllt Verbindungen in einem gefälschten Vorstellungsgespräch
Ältere Amerikaner im Alter von 60 Jahren und älter reichten die meisten kryptobezogenen Beschwerden ein. Anlagebetrug war die größte Kategorie mit 61.559 Beschwerden, darunter 13.685 von Personen ab 60 Jahren.
Das bedeutet nicht, dass der Einzelhandelssektor von mutmaßlichen nordkoreanischen Operationen unberührt bleibt. Eine im vergangenen November veröffentlichte Untersuchung ergab, dass mit der DVRK verknüpfte Operateure auch Einzelpersonen rekrutieren, um Remote-IT-Arbeiterprogramme zu unterstützen.
Im Laufe des Jahres 2025 kam Heiner García, ein Experte für Cyber-Bedrohungsintelligenz bei Telefónica, mit einem mutmaßlichen nordkoreanischen Operateur in Kontakt.
García teilte Cointelegraph zuvor mit, dass die Person versuchte, ihn als Proxy zu nutzen, um VPN-Beschränkungen von Freelancing-Plattformen zu umgehen. Die Taktik beinhaltet die Nutzung des Geräts eines Opfers in einer lokalen Gerichtsbarkeit durch die Installation von Fernzugriffssoftware wie AnyDesk.
Im August 2024 verhaftete das US-Justizministerium Matthew Isaac Knoot wegen des Betriebs einer „Laptop-Farm", die es DVRK-IT-Arbeitern ermöglichte, mit gestohlenen Identitäten als in den USA ansässige Mitarbeiter aufzutreten. Im Juli 2025 wurde Christina Chapman zu mehr als acht Jahren Gefängnis verurteilt, weil sie nordkoreanischen IT-Arbeitern dabei geholfen hatte, mehr als 17 Millionen US-Dollar zu verdienen.
Der Kompromiss hinter dem Einfrieren von Geldern, die von mutmaßlichen DVRK-Akteuren gestohlen wurden
Ein einzigartiges Element des Kelp DAO-Hacks war die Entscheidung des Arbitrum Security Council, 30.766 ETH im Zusammenhang mit dem Exploit einzufrieren.
Das Ethos von Krypto ist die Dezentralisierung, dennoch spalten Reaktionen auf große Hacks weiterhin die Branche. Einige Projekte neigen zu minimaler Intervention, selbst wenn Sicherheitsexperten zum Handeln aufrufen, was zu wenig Konsens darüber führt, wann es angemessen ist einzugreifen.
USDC-Emittent Circle wurde von Branchenteilnehmern für seine Untätigkeit beim Drift-Hack kritisiert. Quelle: James Seyffart
Ledger-CTO Charles Guillemet sagte am Dienstag, dass das Ergebnis „wahrscheinlich" gut sei, aber kein angenehmes. Das Einfrieren der Gelder verhinderte wahrscheinlich weitere Verluste. Das Unbehagen rührt daher, was die Maßnahme explizit macht.
Der Arbitrum Security Council hat keinen Bug ausgenutzt oder eine Hintertür entdeckt. Er übte seine vorgesehene Befugnis aus, den Zustand zu überschreiben. Diese Befugnis existiert by design und steht in Spannung mit der Idee einer glaubwürdig neutralen Infrastruktur. In der Praxis können Vermögenswerte auf heutigen Rollups unter bestimmten Bedingungen immer noch von Governance-Entscheidungen betroffen sein.
Guillemet verbindet diesen Kompromiss mit der Bedrohungsumgebung. Der Kelp DAO-Exploit beruhte nicht auf einem neuartigen Smart-Contract-Bug. Er legte Schwachstellen in Infrastruktur und Konfiguration offen und zeigte, wie Angriffe über den Code hinaus in die ihn unterstützenden Systeme vordringen.
Gleichzeitig haben sich nordkoreanisch verknüpfte Gruppen zu gut ausgestatteten, beharrlichen Gegnern entwickelt, die in der Lage sind, diese Systeme auf mehreren Fronten zu sondieren.
Das lässt die Branche gespalten zwischen der Akzeptanz von Interventionen oder der Akzeptanz von Verlusten, die nicht rückgängig gemacht werden können.
Magazin: Adam Back sagt, die aktuelle Nachfrage sei „fast" ausreichend, um Bitcoin auf 1 Million US-Dollar zu schicken
- #Kryptowährungen
- #Hacker
- #Nordkorea
- #Cybersicherheit
- #DeFi
- #Features
- #Branche
