Krypto-Hacks in den Jahren 2025 und Anfang 2026 exceeded alle bisherigen Jahresrekorde nach Dollarwert, mit Verlusten von bis zu 3,4 Milliarden US-Dollar über ein Spektrum aus Smart-Contract-Bugs, Supply-Chain-Kompromittierungen, Oracle-Manipulation, Schlüsseldiebstahl und politisch motivierter Sabotage hinweg, die zusammen offenlegten, dass konzentrierte Vertrauenspunkte – nicht nur fehlerhafter Code – weiterhin die gefährlichste Schwachstelle der Branche bleiben.
Der Stand der Krypto-Hacks 2025–2026
Die Zahlen sind schwer zu bestreiten, auch wenn sie je nach Methodik variieren.
Chainalysis estimated, dass sich der gesamte Kryptodiebstahl im Jahr 2025 auf 3,4 Milliarden US-Dollar belief und es damit zum schlimmsten Jahr aller Zeiten machte. TRM Labs und TechCrunch reported unabhängig voneinander eine Summe von 2,7 Milliarden US-Dollar. CertiK published seine Bilanz für H1 2025 mit 2,47 Milliarden US-Dollar über 344 Vorfälle, womit bereits die Gesamtverluste für das Jahr 2024 von 1,98 Milliarden US-Dollar übertroffen wurden.
Zum Vergleich: TRM Labs hatte calculated, dass im gesamten Jahr 2024 rund 2,2 Milliarden US-Dollar gestohlen wurden. Das bedeutet, dass allein die ersten sechs Monate 2025 das gesamte Vorjahr übertrafen.
Was diese Phase besonders macht, ist nicht die Anzahl der Vorfälle. Es ist die Konzentration.
Immunefi reported, dass Q1 2025 das schlimmste Quartal für Krypto-Hacks in der Geschichte war, mit 1,64 Milliarden US-Dollar Verlusten über nur 40 Ereignisse – ein 4,7-facher Anstieg gegenüber Q1 2024. Zwei Vorfälle allein, Bybit und Cetus, machten rund 1,78 Milliarden US-Dollar beziehungsweise 72 Prozent der H1-Gesamtsumme von CertiK aus.
Die Angriffskategorien haben sich kaum verändert. Smart-Contract-Exploits, Oracle-Manipulation, Kompromittierung privater Schlüssel, operative Fehler von Börsen und staatlich gelenkte Cyberangriffe sind alle präsent. Was sich verändert hat, ist der Umfang. Die durchschnittliche Hack-Größe verdoppelte sich im ersten Halbjahr 2025 gegenüber dem gleichen Zeitraum des Vorjahres, und der Schaden konzentrierte sich stark auf eine Handvoll katastrophaler Ereignisse.
Der rote Faden, der die schlimmsten Fälle unten verbindet, ist nicht Komplexität. Es ist Vertrauen – konzentriert in einzelnen Schlüsseln, einzelnen Dienstleistern, einzelnen Governance-Strukturen oder einzelnen Liquiditätsvenues.
Auch lesenswert: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: Wie ein unbesicherter Mint eine Stablecoin in eine Bilanzkrise verwandelte
Am 22. März 2026 compromised a privileged private key stored in Resolv's AWS Key Management Service ein Angreifer einen privilegierten privaten Schlüssel im AWS Key Management Service von Resolv und nutzte ihn, um zwei massiv aufgeblähte Mint-Operationen für die USR-Stablecoin des Protokolls zu autorisieren.
Die erste erzeugte 50 Millionen USR gegen eine Einlage von rund 100.000 US-Dollar in USDC (USDC). Die zweite prägte weitere 30 Millionen.
Insgesamt entered gelangten etwa 80 Millionen unbesicherte Token in den Umlauf. Der Minting-Schlüssel war ein einzelnes extern verwaltetes Konto – kein Multisig – und der Vertrag verfügte weder über maximale Mint-Limits, Oracle-Prüfungen noch Mengenvalidierung.
Der Angreifer wandelte die geminteten USR über wstUSR und Stablecoins in etwa 11.400 Ether (ETH) um, im Wert von ungefähr 24 bis 25 Millionen US-Dollar. Der Preis von USR crashed innerhalb von 17 Minuten auf Curve Finance auf bis zu 0,025 US-Dollar – ein Einbruch von 97,5 Prozent.
Besonders verheerend an Stablecoin-Exploits ist, dass sie sofort offenlegen, ob die hinterlegte Besicherung real oder fragil ist.
Der ursprüngliche Sicherheitenpool des Protokolls von rund 95 Millionen US-Dollar blieb technisch intakt, aber mit 80 Millionen neuen, unbesicherten Token im Umlauf blieb Resolv mit ungefähr 95 Millionen US-Dollar an Vermögenswerten gegenüber rund 173 Millionen US-Dollar an Verbindlichkeiten zurück. DeFi-Protokolle wie Aave, Morpho, Euler, Venus und Fluid ergriffen vorsorgliche Maßnahmen, um ihr Exposure zu isolieren.
Die Kettenreaktion – Exploit, Zwangsverkäufe, Depeg, Deckungslücke, Panik – spielte sich in weniger als einem Tag ab.
Auch lesenswert: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: Der 1,5-Milliarden-Dollar-Megabreach, der das Jahr prägte
Kein einzelnes Ereignis in der Geschichte des Kryptowährungsdiebstahls ist in Dollar gemessen vergleichbar mit dem, was am 21. Februar 2025 mit Bybit happened geschah.
Der On-Chain-Ermittler ZachXBT machte zunächst verdächtige Abflüsse von mehr als 1,46 Milliarden US-Dollar aus der Ethereum-(ETH)-Cold-Wallet der Börse aus. Das FBI attributed den Diebstahl später dem TraderTraitor-Cluster Nordkoreas, einem Teil der Lazarus Group, und bezifferte die Summe auf etwa 1,5 Milliarden US-Dollar.
Etwa 401.347 ETH wurden gestohlen. Das überstieg die kombinierten Summen der Hacks des Ronin Network und des Poly Network, zuvor die beiden größten in der Krypto-Geschichte.
Die Sicherheitsverletzung war kein Versagen des eigenen Codes von Bybit. Forensische Untersuchungen von Sygnia und Verichains traced die eigentliche Ursache auf eine Kompromittierung der Lieferkette von Safe{Wallet}, einer Multisig-Plattform eines Drittanbieters, zurück. Angreifer kompromittierten bereits ab dem 4. Februar den macOS-Arbeitsrechner eines Safe-Entwicklers, stahlen AWS-Session-Tokens und injected am 19. Februar bösartigen JavaScript-Code in die Safe-Weboberfläche.
Der Code wurde nur aktiviert, wenn die spezifische Ethereum-Cold-Wallet von Bybit eine Transaktion initiierte. Drei von sechs Multisig-Unterzeichnern genehmigten die Transaktion, ohne die Manipulation zu bemerken.
Bybit-CEO Ben Zhou confirmed, dass die Börse solvent blieb, gestützt auf Vor-Hack-Reserven von mehr als 16 Milliarden US-Dollar. Innerhalb von 72 Stunden replenished Bybit seine ETH-Reserven durch Notkredite von Galaxy Digital, FalconX, Wintermute und Bitget. Bis zum 20. März waren jedoch rund 86 Prozent der gestohlenen ETH über nahezu 7.000 Wallets in Bitcoin (BTC) umgewandelt worden.
Die Lehre ist eindeutig: Ein Venue, ein Einbruch, ein Ereignis – und das jährliche Verlustprofil der Branche verschiebt sich vollständig. Einige der schlimmsten Krypto-Fehlschläge geschehen dort, wo Nutzer Größe mit Sicherheit verwechseln.
Auch lesenswert: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus auf Sui: Wie ein 223-Millionen-Dollar-Exploit eine Flaggschiff-DEX einfrohr
Im Mai 2025 wurde Cetus, die größte dezentrale Börse im Sui-(SUI)-Netzwerk, durch einen Exploit hit, der etwa 223 Millionen US-Dollar aus ihren Liquiditätspools abzog. Die eigentliche Ursache war ein Integer-Overflow-Bug in der konzentrierten Liquiditäts-Math-Bibliothek des Protokolls.
Eine Funktion compared Werte mit einem Schwellenwert, der um ein Bit falsch war, wodurch der Angreifer einen einzelnen Token einzahlen, aber Liquiditätspositionen im Wert von Millionen erhalten konnte.
Sui-Validatoren took den außergewöhnlichen Schritt, ungefähr 162 Millionen US-Dollar der gestohlenen Gelder on-chain einzufrieren – ein Schritt, der per Governance-Abstimmung mit 90,9 Prozent Zustimmung gebilligt wurde. Rund 60 Millionen US-Dollar waren bereits vor dem Freeze auf Ethereum gebridged worden.
Cetus resumed den Betrieb nach einer 17-tägigen Unterbrechung und füllte die Pools mit den zurückerhaltenen Mitteln, 7 Millionen US-Dollar aus den eigenen Cash-Reserven und einem USDC-Darlehen über 30 Millionen US-Dollar von der Sui Foundation wieder auf.
Wenn ein zentrales Liquiditätsvenue bricht, leidet die Glaubwürdigkeit der gesamten Chain. Tokenpreise, Chain-Reputation, Nutzervertrauen und der Bedarf an Notfallinterventionen durch Ökosystemakteure – der Explosionsradius reicht weit über das Protokoll selbst hinaus.
Auch lesenswert: Brazil Freezes Crypto Tax Rules
GMX: Warum ein Top-Perpetuals-Venue trotzdem mehr als 42 Millionen US-Dollar verlor
Im Juli 2025 wurde GMX durch eine Cross-Contract-Reentrancy-Schwachstelle in seinem V1-Deployment auf Arbitrum für mehr als 42 Millionen US-Dollar exploited. Die Funktion, die für die Ausführung von Decrease Orders verantwortlich war, akzeptierte eine Smart-Contract-Adresse als Parameter, anstatt eine Standard-Wallet zu verlangen.
Während des ETH-Rückerstattungsschritts wurde die Ausführung an den bösartigen Vertrag des Angreifers übergeben, was Reentrancy ermöglichte, die interne Preisdaten auf etwa das 57-Fache unter dem tatsächlichen Marktpreis manipulierte.
GMX offered eine White-Hat-Prämie von 10 Prozent, im Wert von rund 5 Millionen US-Dollar, mit einer Frist von 48 Stunden und eine Androhung rechtlicher Schritte. Der Angreifer gab in Tranchen ungefähr 37,5 bis 40,5 Millionen US-Dollar zurück und behielt die Prämie. GMX completed später einen Entschädigungsplan über 44 Millionen US-Dollar für betroffene GLP-Inhaber.
Die Tatsache, dass Gelder zurückgegeben wurden, bedeutet nicht, dass das System funktioniert hat. White-Hat-Framing, Prämienangebote und teilweise Wiederbeschaffung können die Marktreaktion abmildern, ohne das zugrunde liegende Sicherheitsversagen zu beseitigen.
Die Schwachstelle war ironischerweise im Rahmen eines Fixes aus dem Jahr 2022 für einen früheren Bug eingeführt worden. GMX V2 war nicht betroffen.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: Wenn ein Krypto-Hack zur geopolitischen Kriegsführung wird
Im Juni 2025 wurde Nobitex, Irans größte Kryptowährungsbörse, hacked und verlor rund 90 Millionen US-Dollar über mehrere Blockchains, darunter Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) und TON (TON).
Die pro-israelische Hackergruppe Gonjeshke Darande, auch bekannt als Predatory Sparrow, claimed die Verantwortung.
Der Angriff fand während aktiver militärischer Feindseligkeiten zwischen Israel und Iran statt.
Dies war kein finanziell motivierter Diebstahl. Die gestohlenen Gelder wurden an Vanity-Burner-Adressen sent mit anti-IRGC-Nachrichten und ohne wiederherstellbare Private Keys geschickt – effektiv wurden 90 Millionen US-Dollar als politisches Statement verbrannt.
Am nächsten Tag veröffentlichten die Angreifer öffentlich den gesamten released Quellcode von Nobitex, die Infrastrukturdokumentation und interne Privacy-Forschung.
Einige Krypto-Hacks sind überhaupt keine profitmaximierenden Angriffe. Sie sind Sabotage, Signalgebung oder Cyberkriegsführung. Das macht sie in praktisch jeder Dimension anders als Protokollexploits: Motivation, Methode, Nachwirkungen und die Unmöglichkeit der Wiederbeschaffung. Nobitex reported anschließend eine teilweise Wiederaufnahme des Betriebs, aber die eingehenden Transaktionsvolumina fielen Anfang Juli im Jahresvergleich um mehr als 70 Prozent.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: Der Exploit, der DeFi-Kredite über GMX-gebundene Cauldrons traf
Am 25. März 2025 drained ein Angreifer etwa 6.260 ETH – rund 13 Millionen US-Dollar – aus den Kreditmärkten von Abracadabra Finance, den sogenannten Cauldrons. Die anvisierten Cauldrons nutzten GMX-V2-Liquiditätspool-Token als Sicherheiten, und der Exploit basierte auf einer Flash-Loan-unterstützten Selbstliquidationstechnik, die Zustandsverfolgungsfehler in den gmCauldron-Verträgen ausnutzte.
Die gestohlenen Gelder wurden von Arbitrum nach Ethereum gebridged. PeckShield gehörte zu den ersten Sicherheitsfirmen, die den Vorfall meldeten. GMX bestätigte, dass seine eigenen Verträge nicht betroffen waren.
Abracadabra bot eine Bug-Bounty von 20 Prozent. Dies war der zweite große Hack des Protokolls; bereits im Januar 2024 hatte ein Exploit über 6,49 Millionen US-Dollar hit.
Der Vorfall illustriert das Kompositionsrisiko. Ein Protokoll kann für sich genommen sicher erscheinen, aber durch Integrationen und Abhängigkeiten verwundbar werden.
Für DeFi-Nutzer ist das, was unter der Haube sitzt – welche Sicherheitenarten ein Protokoll akzeptiert, welche externen Verträge es aufruft – wichtiger als die Top-Level-Marke, bei der sie einzahlen.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid und JELLY: Marktstruktur-Drama und Fragen zur Zentralisierung
Am 26. März 2025 opened ein Angreifer eine Short-Position über 4,1 Millionen US-Dollar auf den illiquiden JELLY-Memecoin auf Hyperliquid, zusammen mit zwei kompensierenden Long-Positionen, und pumpte dann den Spotpreis des Tokens um mehr als 400 Prozent.
Als die Short-Position liquidiert wurde, übernahm der automatisierte HLP-Vault von Hyperliquid die unter Wasser stehende Position, und die unrealiserten Verluste des Vaults erreichten etwa 13,5 Millionen US-Dollar.
Die Validatoren von Hyperliquid force-closed daraufhin alle JELLY-Positionen und rechneten zum ursprünglichen Short-Einstieg des Angreifers von 0,0095 US-Dollar ab, statt zu den 0,50 US-Dollar, die externe Oracles meldeten.
Das Manöver wurde innerhalb von zwei Minuten ausgeführt und revealed, dass das Protokoll nur auf vier Validatoren pro Set beruhte.
Der Skandal ist hier nicht nur der Verlust.
Bitget-CEO Gracy Chen bezeichnete Hyperliquid öffentlich als „FTX 2.0“. Der Total Value Locked des Protokolls brach im folgenden Monat von 540 Millionen auf 150 Millionen US-Dollar ein, und der HYPE-Token fiel um 20 Prozent. Hyperliquid upgraded später auf On-Chain-Validator-Voting für Entscheidungen zur Delistung von Assets.
Was passiert, wenn eine dezentrale Plattform in einer Krise zentral handelt? Diese Frage ist für jedes Forschungspublikum nützlich, selbst wenn der Dollarverlust kleiner ist als bei den größten Einbrüchen. Sie legte eine Glaubwürdigkeitsbruchlinie offen.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: Unendliche Mint-Risiken und warum geringe Liquidität einen größeren Bug verschleiern kann
Im Juni 2025 suffered Meta Pool einen Smart-Contract-Exploit, der es einem Angreifer erlaubte, 9.705 mpETH – im Wert von rund 27 Millionen US-Dollar – zu minten, ohne ETH als Sicherheiten zu hinterlegen.
Die Schwachstelle lag in der ERC-4626-Mint-Funktion. Der Angreifer umging die normale Cooldown-Periode über die Fast-Unstake-Funktionalität des Protokolls.
Doch der realisierte Verlust betrug nur etwa 132.000 US-Dollar. Dünne Liquidität in den entsprechenden Uniswap-Swappools bedeutete, dass der Angreifer nur 52,5 ETH extrahieren konnte.
Ein MEV-Bot front-rannte einen Teil des Angriffs und zog rund 90 ETH an Liquidität ab, die später an das Protokoll zurückgegeben wurden. Die ursprünglich von Nutzern gestakten 913 ETH blieben bei den Betreibern des SSV-Netzwerks sicher.
Manchmal ist der Bug weit schlimmer als der realisierte Verlust. Der Exploit-Pfad implizierte in diesem Fall einen katastrophalen theoretischen Schaden, aber die geringe Liquidität begrenzte die Extraktion. Dieser Unterschied ist für alle, die DeFi-Risiken bewerten, wichtig und verleiht diesem Fall mehr Tiefe, als es ein einfaches Ranking nach Dollarverlusten vermuten ließe.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: Von a16z unterstützt und trotzdem ausgenutzt
Am 28. Mai 2025 wurde Cork Protocol durch einen Smart-Contract-Exploit exploited und verlor rund 12 Millionen US-Dollar. Der Angreifer extrahierte 3.761 wstETH, indem er Schwächen in der beforeSwap-Logik des Cork Hook und fehlende Zugriffskontrollen ausnutzte.
Die Hauptursache war ein Mangel an Eingabevalidierung in Kombination mit der erlaubnislosen Erstellung von Märkten ohne Leitplanken, was es dem Angreifer ermöglichte, einen gefälschten Markt zu erstellen, der einen legitimen DS-Token als Einlösungsasset verwendete.
Cork hatte im September 2024 Investitionen von a16z crypto und OrangeDAO erhalten.
Die Schlussfolgerung ist einfach. Institutionelle Investoren, erstklassige Venture-Capital-Unterstützung und poliertes Branding beseitigen kein technisches Risiko. Leser sollten die Qualität der Fundraising-Runden nicht mit der Sicherheit eines Protokolls verwechseln, und Audits – so gründlich sie auch sein mögen – sind keine Garantien. Alle Verträge wurden nach der Entdeckung sofort pausiert, aber das Geld war weg.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: Oracle-Manipulation als wiederkehrende DeFi-Schwachstelle
Im April 2025 lost KiloEx etwa 7 bis 7,5 Millionen US-Dollar auf Base, opBNB und BNB Smart Chain, nachdem ein Angreifer eine Zugriffskontrollschwachstelle im MinimalForwarder-Vertrag der Plattform ausnutzte. Der Fehler erlaubte es jedem, Preissetzungsfunktionen aufzurufen.
Der Angreifer manipulierte das Oracle so, dass es beim Öffnen von gehebelten Positionen einen absurd niedrigen ETH-Preis von 100 US-Dollar meldete und beim Schließen 10.000 US-Dollar.
KiloEx offered eine 10-prozentige White-Hat-Prämie von 750.000 US-Dollar. Vier Tage später gab der Angreifer alle gestohlenen Gelder zurück, und KiloEx kündigte an, keine rechtlichen Schritte einzuleiten.
Die Plattform nahm nach einer 10-tägigen Pause den Betrieb wieder auf und published einen Entschädigungsplan für Nutzer, deren Trades während der Unterbrechung offen geblieben waren.
Dies ist der klarste Fall zur Erklärung von Oracle-Risiken. Falsche Preisdaten können es Angreifern ermöglichen, Positionen zu falschen Werten zu eröffnen und zu schließen. Viele Exploits, die als hochentwickelt vermarktet werden, basieren immer noch auf alten Grundprinzipien – schlechte Preisfeeds, vorhersehbare Annahmen, mangelhafte Validierung. Oracle-Manipulation bleibt eine der hartnäckigsten Schwachstellen in DeFi.
Also Read: Gold's WorstWeek Since 1983
Was das Muster offenbart
Die 10 oben genannten Fälle unterscheiden sich in Mechanismus, Umfang und Motivation. Aber sie teilen ein strukturelles Muster.
Die finanziell verheerendsten Vorfälle – Bybit und Resolv – wurden überhaupt nicht durch On-Chain-Bugs verursacht. Es waren Ausfälle auf Infrastrukturebene: ein kompromittierter Entwicklerrechner in einem Fall, ein einzelner ungeschützter Minting-Schlüssel, der in einer Cloud-Infrastruktur gespeichert war, im anderen. Der Schaden war in beiden Fällen gerade deshalb katastrophal, weil es zentralisierte Vertrauenspunkte gab, von deren Existenz die Nutzer nicht ausgegangen waren.
Protokoll-Ebene-Exploits wie bei Cetus und GMX beinhalteten zwar Codefehler, aber der Explosionsradius wurde durch die Reaktionen der Governance bestimmt – also ob Validatoren Gelder einfrieren konnten, ob Kopfgeldverhandlungen erfolgreich waren und ob Akteure im Ökosystem mit Notfinanzierungen einsprangen.
Nobitex war in keinem sinnvollen Sinne ein Protokoll-Exploit; es war ein Akt geopolitischer Sabotage.
Das Gesamtbild ist nicht ermutigend. Weniger Vorfälle bedeuten nicht weniger Schaden. Die durchschnittliche Schwere nimmt zu. Allein Nordkorea accounted im Jahr 2025 für mehr als 2 Milliarden US-Dollar an Diebstählen, ein Anstieg von 51 Prozent gegenüber dem Vorjahr.
Der Sicherheitsperimeter, der im Kryptobereich am meisten zählt, hat sich von der On-Chain-Logik zu Off-Chain-Infrastruktur, Schlüsselverwaltung und menschlicher operativer Sicherheit verlagert.
Für Privatanwender, Token-Investoren und Protokollteams gleichermaßen legen die Daten denselben Schluss nahe. Die Frage ist nicht mehr, ob die Smart Contracts eines Protokolls auditiert wurden. Die Frage ist, wo das konzentrierte Vertrauen sitzt – und was passiert, wenn es bricht.
Weiterlesen: Bitcoin Mining Difficulty Falls 7.76%