Krypto-Diebstahl erreicht neue Dimension, Nordkorea kassiert zwei Drittel

Krypto-Diebstahl erreicht neue Dimension, Nordkorea kassiert zwei Drittel

Ein einzelner Nationalstaat beanspruchte im ersten Halbjahr 2026 zwei Drittel jedes Dollars, der aus dem globalen Krypto-Ökosystem gestohlen wurde.

Das ist kein Rundungsfehler. Es ist nicht das Artefakt eines einzigen spektakulären Coups.

Es ist das Ergebnis einer anhaltenden, industrialisierten Hacking-Operation – einer, die fast ein Jahrzehnt lang ihre Methoden verfeinert hat und nun alle anderen Bedrohungsakteure im Sektor zusammen übertrifft.

Das Ausmaß ist selbst nach den Maßstäben der Krypto-Kriminalität atemberaubend, einem Bereich, in dem es nie an dramatischen Zahlen mangelte.

Mit Nordkorea verbundene Gruppen zeichneten für 66,2 % der globalen Verluste durch Hacking digitaler Vermögenswerte im ersten Halbjahr 2026 verantwortlich, wie Zahlen zeigen, die diese Woche von Blockchain-Sicherheitsforschern verbreitet wurden.

Diese Konzentration der Verluste in einem einzelnen Bedrohungs-Cluster markiert eine qualitative Verschiebung im Risikoprofil der gesamten Branche. Und sie kommt zu einem Zeitpunkt, an dem institutionelles Kapital so schnell in Krypto fließt wie seit 2021 nicht mehr.

TL;DR

  • Nordkorea-verbundene Hacker erbeuteten 66,2 % aller Krypto-Hackingverluste im ersten Halbjahr 2026 – ein neuer Höchstwert der Konzentration staatlich geförderten Krypto-Diebstahls.
  • Die Lazarus Group und verbundene DPRK-Einheiten haben sich von opportunistischen Börsenhacks zu hochstrukturierten Operationen entwickelt, die DeFi-Protokolle, Cross-Chain-Brücken und Social Engineering von Entwicklern ins Visier nehmen.
  • Die Gelder finanzieren direkt Nordkoreas Waffenprogramme und machen Krypto-Sicherheit zu einem geopolitischen Thema, das Regulierer in Washington, Brüssel und Seoul inzwischen mit Dringlichkeit behandeln.

Die 66-%-Zahl und was sie tatsächlich misst

Bevor man das strategische Gesamtbild aufdröselt, verdient die Methodik hinter dieser Zahl genaue Betrachtung.

Die 66,2 % beziehen sich auf den Anteil der gesamten verifizierten Krypto-Hackingverluste, die im ersten Halbjahr 2026 Wallets mit Verbindung zur DPRK zugeschrieben werden – basierend auf On-Chain-Forensik, die Geldflüsse vom ursprünglichen Diebstahl über Mixer-Nutzung bis zum finalen Off-Ramping nachverfolgt.

Chainalysis, das die umfassendsten Langzeitdaten zu Krypto-Kriminalität veröffentlicht hat, berichtete in seinem Crime Report 2024, dass mit Nordkorea verbundene Gruppen 2023 in 47 Vorfällen rund 1,34 Milliarden Dollar stahlen – 61 % des gesamten Diebstahlvolumens jenes Jahres.

Die Zahl für das erste Halbjahr 2026 bedeutet eine weitere Konzentration. Sie legt nahe, dass die Lücke zwischen den Fähigkeiten der DPRK und allen anderen Bedrohungsakteuren eher größer als kleiner wird.

Dieser Anteil von 66,2 % ist die höchste jemals in einem Sechsmonatszeitraum gemessene Konzentration staatlich geförderten Diebstahls digitaler Vermögenswerte.

Wichtig ist auch, was die 66-%-Zahl nicht erfasst.

Sie schließt Exit-Scams, Rug Pulls und Betrug aus – Kategorien, die Chainalysis üblicherweise getrennt von Hacks führt. Der Nenner sind ausschließlich verifizierte Hackingverluste.

Würde man alle Kategorien der Krypto-Kriminalität einbeziehen, würde sich der prozentuale Anteil der DPRK verringern. Der absolute in Dollar gemessene Schaden bliebe jedoch unverändert.

Lesen Sie auch: XRP-Spotnachfrage steigt, während Binance-Perps eine 783-Millionen-Dollar-Warnung ausgeben

Wie die Lazarus Group zur Krypto-Supermacht wurde

Die Lazarus Group – die Sammelbezeichnung, die US-Geheimdienste und private Forscher für die fähigsten Cyber-Einheiten der DPRK verwenden – begann nicht als krypto-fokussierte Operation.

Ihr frühes Profil umfasste destruktive Angriffe, Banküberfälle über die Ausnutzung des SWIFT-Netzwerks und Ransomware.

Der Schwenk zu Krypto verlief schrittweise. Er begann ernsthaft um 2017, als die Gruppe südkoreanische Börsen angriff – und eskalierte stark nach dem Ronin-Network-Einbruch 2022.

Der Ronin-Hack, bei dem die Lazarus Group etwa 625 Millionen Dollar von der Axie-Infinity-Sidechain stahl, war ein strategischer Wendepunkt.

Er zeigte, dass DeFi-Infrastruktur – mit ihrer Smart-Contract-Komplexität, Abhängigkeiten von Cross-Chain-Brücken und Social-Engineering-Schwachstellen bei Entwicklern – eine weitaus lukrativere Angriffsfläche bot als zentralisierte Börsen, die ihre Abwehr nach einem Jahrzehnt von Einbrüchen gehärtet hatten.

Dieser Diebstahl von 625 Millionen Dollar im März 2022 ist bis heute der größte DeFi-Hack aller Zeiten. Er diente als operatives Template für nachfolgende Krypto-Kampagnen der DPRK.

Seit 2022 hat die Gruppe systematisch drei Angriffsvektoren verfeinert.

Der erste sind kompromittierte Entwickler-Zugangsdaten – typischerweise über gefälschte LinkedIn-Jobangebote, die Malware installieren, wenn ein Ziel ein Dokument öffnet oder ein Repository ausführt.

Der zweite sind Cross-Chain-Brücken-Exploits, die die Smart-Contract-Logik ins Visier nehmen, welche die Validierung von Asset-Transfers zwischen Netzwerken übernimmt.

Der dritte sind Supply-Chain-Angriffe auf Software-Abhängigkeiten, die von Krypto-Protokollen genutzt werden – eine Technik, die ursprünglich in der traditionellen IT-Sicherheit populär wurde und nun auf Blockchain-Ziele übertragen wird.

Lesen Sie auch: Eng vs Ind ist für Prediction-Market-Trader längst mehr als nur Cricket

Das Zielprofil hat sich von Börsen zu DeFi verschoben

Die Frühgeschichte großer Krypto-Hacks wurde von Einbrüchen bei zentralisierten Börsen geschrieben. Mt. Gox 2014, Bitfinex 2016, Coincheck 2018. Diese Angriffe setzten darauf, Hot-Wallet-Infrastruktur zu kompromittieren, API-Schwachstellen auszunutzen oder Insider zu korrumpieren. Die Täter waren häufig opportunistische kriminelle Gruppen, nicht staatliche Akteure mit institutioneller Rückendeckung.

Das aktuelle Playbook der DPRK sieht grundlegend anders aus. TRM Labs stellte in seinem Bericht 2024 Crypto Threat Intelligence fest, dass der Anteil der gesamten Krypto-Diebstähle der DPRK, der auf DeFi-Protokoll-Exploits statt auf Hacks zentralisierter Börsen entfällt, von rund 30 % im Jahr 2021 auf über 70 % bis 2024 gestiegen ist. Diese Verschiebung folgt dem Wachstum der On-Chain-Liquidität selbst.

Der weltweit in DeFi-Protokollen gesperrte Gesamtwert erreichte Ende 2021 einen Höchststand von über 180 Milliarden Dollar, fiel im Bärenmarkt 2022 stark und hat sich seitdem auf Niveaus erholt, die erneut ein attraktives Ziel darstellen. DefiLlama-Daten von Mitte 2026 zeigen eine globale DeFi-TVL von über 110 Milliarden Dollar über alle Chains hinweg, wobei Cross-Chain-Brücken einen überproportionalen Anteil dieses Wertes in gepoolter Form kontrollieren.

DeFi-Brückenverträge sind für hochentwickelte Angreifer strukturell attraktive Ziele, weil sie große Liquiditätspools in einzelnen Smart Contracts bündeln und gleichzeitig komplexe Cross-Chain-Nachrichtenvalidierung erfordern, die sich nur schwer vollständig auditieren lässt.

Cross-Chain-Brücken wurden für DPRK-Einheiten zu einer besonderen Obsession, weil sie eine einzigartige Risikotopologie aufweisen. Ein Brückenvertrag muss Behauptungen einer entfernten Chain vertrauen, die er nicht nativ verifizieren kann. Die Validierungslogik ist komplex und stützt sich häufig auf ein Multisignatur-Komitee oder einen Light-Client-Nachweis. Beide Ansätze erzeugen ausnutzbare Annahmen. Die Ronin-Brücke verwendete ein Neun-von-Neun-Multisig, das durch Social Engineering de facto auf eine Fünf-von-Neun-Schwelle reduziert wurde. Diese Fünf-Signaturen-Schwelle wurde dann von den Angreifern erfüllt, wodurch Auszahlungen autorisiert wurden, die die Brücke leerten.

Lesen Sie auch: Ist Fable 5 den doppelten Preis wert, wenn Opus 4.8 immer noch liefert?

Die Fake-Job-Angebot-Taktik und das Anvisieren von Entwicklern

Das konstanteste und zugleich unterschätzteste Element der Krypto-Kampagne der DPRK im ersten Halbjahr 2026 ist die Social-Engineering-Infrastruktur, die sich gegen einzelne Entwickler und Protokollmitarbeiter richtet. Es handelt sich nicht um einen technischen Hack im klassischen Sinne. Es ist eine geduldige, beziehungsbasierte Geheimdienstoperation, die in Codeausführung mündet.

Das Standard-Playbook, das von Mandiant in seiner APT38-Analyse zu finanziellen Bedrohungen und von der US-Behörde für Cybersecurity and Infrastructure Security in CISA Alert AA22-108A detailliert dokumentiert wurde, sieht vor, dass DPRK-Operatoren überzeugende professionelle Profile auf LinkedIn erstellen, oft mit KI-generierten Profilfotos. Sie sprechen Entwickler an, die bei Krypto-Protokollen arbeiten, und bieten Freelance-Jobs, Vorstellungsgespräche oder Code-Review-Möglichkeiten an.

In dokumentierten Fällen pflegten DPRK-Operatoren wochen- oder monatelang LinkedIn-Beziehungen zu Krypto-Entwicklerzielen, bevor sie eine Malware-Nutzlast lieferten, und bauten Vertrauen durch fachlich fundierte Gespräche über den konkreten Code des Ziels auf.

Wenn ein Ziel reagiert, sendet der Angreifer schließlich eine Datei, die ausgeführt werden muss. Das kann ein PDF mit eingebetteter Nutzlast, ein GitHub-Repository mit einer bösartigen Abhängigkeit oder ein gefälschter technischer Test sein, der eine Hintertür installiert. Sobald der Angreifer einen Fuß auf dem Rechner des Entwicklers hat, kann er Private Keys, Session-Tokens für interne Systeme und Zugangsdaten für Cloud-Infrastruktur erbeuten, die zur Verwaltung von Protokoll-Deployments genutzt wird.

Die Raffinesse dieses Tradecrafts spiegelt eine institutionelle Investition in Fähigkeitsaufbau wider, die keine private kriminelle Gruppe nachbilden kann. Die Cyber-Einheiten der DPRK sind Staatsbedienstete, die in Vollzeit trainieren, unter strenger Operationssicherheit arbeiten und über jahrelanges institutionelles Wissen darüber verfügen, welche Protokolle am verwundbarsten und welche Entwickler am zugänglichsten sind.

Lesen Sie auch: TeraWulf-Aktie springt, da Anthropic-Deal Bitcoin-Miner in 19-Milliarden-Dollar-AI-Pivot neu positioniert

Die Geldwäsche-Infrastruktur hinter den Diebstahlzahlen

Krypto zu stehlen ist nur der erste Schritt. Die Umwandlung in für das Regime nutzbare Einnahmen erfordert eine ausgefeilte Geldwäschekette, die selbst Gegenstand intensiver On-Chain-Forschung geworden ist. Die Bewegungen der Gelder nach dem Diebstahl sind der Bereich, in dem Ermittler Angriffe am zuverlässigsten der DPRK zuschreiben, weil die Gruppe identifizierbare Verhaltensmuster aufweist. Muster in der Art und Weise, wie es Gelder bewegt und verschleiert.

Chainalysis hat den standardmäßigen DPRK-Geldwäscheablauf als mehrstufigen Prozess dokumentiert. Gestohlene Vermögenswerte werden zunächst über On-Chain-Dezentrale-Börsen in Ethereum (ETH) oder Bitcoin (BTC) getauscht, um illiquide, protokollspezifische Token in liquidiere Assets umzuwandeln. Diese Vermögenswerte durchlaufen anschließend Mixing-Dienste; die Gruppe nutzte historisch Tornado Cash, bevor deren OFAC-Sanktionierung im August 2022 sie zur Anpassung an alternative Verschleierungstools wie Sinbad und Yomix zwang, die inzwischen beide ebenfalls mit US-Sanktionen belegt wurden.

OFAC setzte den Sinbad-Mixer im November 2023 und den Yomix-Mixer im April 2025 auf die Sanktionsliste und demonstrierte damit eine Katz-und-Maus-Dynamik, bei der jedes DPRK-Geldwäschetool früher oder später von Sanktionen betroffen ist, was die Gruppe zu neuer Infrastruktur treibt.

Nach dem Mischen werden Gelder über ein Netzwerk verschachtelter Börsenkonten, OTC-Broker in Jurisdiktionen ohne wirksame AML-Durchsetzung und Peer-to-Peer-Plattformen geleitet. Der letztendliche Off-Ramp erfolgte historisch am häufigsten über Börsen in Ost- und Südostasien mit eingeschränkter KYC-Durchsetzung. Ein Bericht eines UN-Expertengremiums aus dem Jahr 2024 zu Nordkorea identifizierte Erlöse aus Krypto-Diebstahl ausdrücklich als primäre Finanzierungsquelle für das ballistische Raketenprogramm der DPRK und schätzte, dass Krypto-Einnahmen rund 40 % des Devisenbedarfs für die Entwicklung von Massenvernichtungswaffen deckten.

Lesen Sie auch: Ethereum Könnte Unter Buterins Radikalstem Lean-Chain-Plan In Einen Near-Zero-State Fallen

Die Reaktion der Aufsichtsbehörden und ihre Grenzen

Die US-Regierung hat ein umfangreiches Instrumentarium gegen die Krypto-Operationen der DPRK eingesetzt, darunter OFAC-Listungen von Wallets und Mixing-Diensten, FBI-Zuschreibungsmitteilungen für bestimmte Hacks sowie gemeinsame Hinweise mit verbündeten Nachrichtendiensten. Das Justizministerium hat mehrere namentlich bekannte DPRK-Operative angeklagt, obwohl eine Strafverfolgung de facto unmöglich ist, da Auslieferungswege fehlen.

Die Grenzen der US-Reaktion sind struktureller Natur. Sanktionen gegen Wallet-Adressen sind nur für Akteure effektiv, die regulierte Finanzinfrastruktur als Off-Ramps nutzen. Auf hochentwickelte Akteure, die über Jurisdiktionen außerhalb der US-AML-Reichweite routen, haben sie nur minimale Auswirkungen. Die OFAC-Maßnahme gegen Tornado Cash war bedeutend und umstritten, aber die DPRK passte sich innerhalb von Monaten an, indem sie auf alternative Infrastruktur migrierte.

Das Justizministerium hat sieben namentlich bekannte militärische Hacker der DPRK im Zusammenhang mit Krypto-Diebstahlsoperationen angeklagt, doch keiner von ihnen stand vor Gericht. Anklagen fungieren in erster Linie als Instrumente der Zuschreibung und als Abschreckung für Drittanbieterdienste, die andernfalls die Bewegung von Geldern erleichtern könnten.

Die Financial Action Task Force, das zwischenstaatliche Gremium für AML-Standards, hat Nordkorea in die höchste Risikokategorie hochgestuft und fordert die Mitgliedsstaaten dauerhaft auf, bei Transaktionen mit DPRK-Bezug verstärkte Sorgfaltspflichten anzuwenden. Doch FATF-Empfehlungen sind nicht bindend, und die für die DPRK beim Off-Ramping nützlichsten Jurisdiktionen sind im Allgemeinen entweder keine FATF-Mitglieder oder Mitglieder mit schwacher Umsetzungspraxis.

Die Markets in Crypto-Assets Regulation der EU, die Ende 2024 vollständig in Kraft trat, enthält Travel-Rule-Anforderungen, die eine Identifikation der Gegenpartei für Krypto-Transfers über bestimmten Schwellenwerten vorschreiben. Befürworter argumentieren, dass dies einige OTC-Off-Ramp-Pfade schließt. Kritiker merken an, dass die Operationen der DPRK ausreichend ausgeklügelt sind, um KYC-Anforderungen zu umgehen, indem unhosted Wallets und Jurisdiktionen außerhalb der EU-Reichweite genutzt werden.

Lesen Sie auch: Metas Muse Image Macht Instagram Zum Rohmaterial Für KI-Kunst

Was die On-Chain-Forensik tatsächlich zeigt

Die Zuschreibung von Krypto-Diebstahl an Nordkorea ist keine politische Behauptung. Sie beruht auf überprüfbaren On-Chain-Daten, die von jedem Forscher mit Zugriff auf öffentliche Blockchain-Daten und Wallet-Clustering-Tools unabhängig reproduziert werden können. Zu verstehen, wie diese Zuschreibung funktioniert, ist entscheidend, um ihre Glaubwürdigkeit zu bewerten.

Wenn die DPRK von einem Protokoll stiehlt, ist die anfängliche Transaktion sofort On-Chain sichtbar. Die gestohlenen Gelder fließen in von Angreifern kontrollierte Wallets, die dann eine Abfolge von Swaps, Bridge-Transaktionen und Mixing-Operationen ausführen. Elliptic, ein weiteres Blockchain-Analyseunternehmen, hat eine detaillierte Methodik veröffentlicht, die zeigt, dass DPRK-Wallets sich um Verhaltenenssignaturen gruppieren, darunter spezifische Timing-Muster, bevorzugte Swap-Routen, charakteristische Staubbeträge (Dust), die in Zwischenwallets verbleiben, und eine Tendenz, gestohlene Gelder über längere Zeiträume in Wallet-Clustern zu halten, bevor sie bewegt werden.

Elliptics Wallet-Clustering-Analyse hat über 15.000 Adressen identifiziert, die mit Diebstahlsoperationen der DPRK in Verbindung stehen, und so einen Graphen miteinander verbundener Wallets geschaffen, den Forensiker nutzen, um Geldflüsse auch nach Mixing nachzuverfolgen.

Die FBI-Zuschreibungsmitteilungen für bestimmte Hacks, darunter der Alphapo-Vorfall und der Atomic Wallet-Exploit im Jahr 2023, beruhen auf dieser forensischen Methodik in Kombination mit klassifizierter Signaleaufklärung.

Die Kombination aus öffentlichen On-Chain-Daten und nachrichtendienstlichen Informationen von Regierungen hat zu Zuversichtlichkeitsniveaus bei der Zuschreibung geführt, die das in traditionellen Cybercrime-Ermittlungen Übliche übertreffen, wo es keine On-Chain-Beweise gibt.

Lesen Sie auch: Saylor Sagt, 3,3 % Bitcoin-Wachstum Können Strategie-Dividenden Am Leben Erhalten

Das IT-Arbeiterprogramm als paralleler Einnahmekanal

Getrennt von den Hack-Operationen betreibt die DPRK ein paralleles Programm zur Generierung von Krypto-Einnahmen, das 2024 und 2025 erhebliche Aufmerksamkeit der Strafverfolgungsbehörden erhielt. Tausende nordkoreanische Staatsangehörige haben sich unter falschen Identitäten mit KI-generierten Dokumenten und Deepfake-Video-Technologie Remote-Stellen bei Kryptounternehmen und Web3-Startups in Nordamerika und Europa gesichert.

Das Justizministerium hat im Mai 2024 vierzehn Personen angeklagt, weil sie ein Programm betrieben haben sollen, das nordkoreanische IT-Arbeiter bei über 300 US-Unternehmen platzierte, wobei die Einnahmen an die DPRK zurückgeleitet wurden.

Die Anklage behauptete, dass einzelne Arbeiter jährlich zwischen 250.000 und 300.000 US-Dollar verdienten und das gesamte Programm über mehrere Jahre hinweg Einnahmen in zweistelliger Millionenhöhe generierte.

Die Anklageschrift des DOJ vom Mai 2024 dokumentierte, dass nordkoreanische IT-Arbeiter bei US-Krypto- und Tech-Unternehmen jeweils bis zu 300.000 US-Dollar pro Jahr verdienten, wobei die Gelder über ein Netzwerk von Helfern in den USA, Großbritannien und China an die DPRK überwiesen wurden.

Das IT-Arbeiterprogramm ist für die Kryptoindustrie besonders heimtückisch, weil es Insiderzugang in Entwicklungsteams einschleust. Ein IT-Arbeiter mit legitimen Zugangsdaten und Repository-Zugriff ist gefährlicher als ein externer Angreifer, der versucht, Perimeterverteidigungen zu durchdringen.

Mehrere Sicherheitsforscher haben festgestellt, dass verdächtige Muster bei Code-Commits, ungeklärte Repository-Zugriffe und ungewöhnliche Arbeitszeiten inzwischen von sicherheitsbewussten Kryptofirmen als potenzielle Indikatoren für DPRK-IT-Arbeiter behandelt werden.

Die Schnittmenge des IT-Arbeiterprogramms mit der Social-Engineering-Kampagne gegen Entwickler bedeutet, dass die Angriffsfläche der DPRK gegenüber der Kryptoindustrie multidimensional ist. Externe Hacker, kompromittierte Entwickler durch gefälschte Jobangebote und eingeschleuste Insider stellen gleichzeitig aktive Bedrohungsvektoren dar.

Lesen Sie auch: OpenAI Erhält GPT-5.6-Genehmigung, Da Trump Einen Breiteren KI-Rollout Ermöglicht

Die breitere Sicherheitsreaktion der Industrie

Die Reaktion der Industrie auf die DPRK-Bedrohung ist substanziell, aber uneinheitlich.

Die am besten ausgestatteten Protokolle führen inzwischen umfangreiche Sicherheitsprüfungen vor der Bereitstellung durch, betreiben Bug-Bounty-Programme mit sechsstelligen Prämien und unterhalten interne Sicherheitsteams mit Hintergrund in offensiver Forschung.

Diese Konzentration von Sicherheitsinvestitionen an der Spitze der Protokoll-Hierarchie spiegelt dasselbe Potenzgesetz wider, das die Kryptoindustrie allgemein bestimmt.

Immunefi, die führende Web3-Bug-Bounty-Plattform, hat bis Mitte 2025 Berichten zufolge Gesamtprämien von über 100 Millionen US-Dollar ausgezahlt und damit die Identifizierung von Schwachstellen ermöglicht, die potenziell Milliardenverluste hätten verursachen können.

Die größte einzelne Auszahlung in ihrer Geschichte war eine Belohnung von 10 Millionen US-Dollar an einen White-Hat-Forscher, der einen kritischen Fehler in einem großen DeFi-Protokoll entdeckte, bevor er ausgenutzt werden konnte.

Doch diese Konzentration der Sicherheitsausgaben auf Top-Tier-Protokolle lässt kleinere DeFi-Projekte – die kollektiv immer noch über Milliarden an TVL verfügen – deutlich untergeschützt.

Das Cross-Chain-Bridge-Problem, das im Zentrum so vieler großer Hacks steht, hat eigene architektonische Antworten hervorgebracht.

An erster Stelle steht der Übergang zu stärker vertrauensminimierten Bridges, bei denen Zero-Knowledge-Proofs verwendet werden, um den Zustand der Quell-Chain zu verifizieren, ohne sich auf Validator-Komitees zu verlassen.

Projekte wie Succinct Labs und Polyhedra Network haben ZK-Light-Client-Infrastrukturen aufgebaut, die speziell darauf ausgelegt sind, die vertrauensbasierte Komitee-Annahme zu eliminieren, die Bridges wie Ronin verwundbar machte.

Obdass sich die Sicherheitsinfrastruktur schnell genug verbessert, um der Fähigkeitsentwicklung der DVRK voraus zu sein, ist wirklich ungewiss.

Der Anteil von 66 % im 1. Halbjahr 2026 deutet darauf hin, dass der Angreifer trotz erheblicher Investitionen der Branche Schritt hält.

Auch lesen: SpaceXAI will einen Cursor-gesteuerten Claude-Killer, noch bevor der 60-Milliarden-Dollar-Deal überhaupt abgeschlossen ist

Geopolitische Einsätze und was als Nächstes kommt

Kryptodiebstahl ist Nordkoreas wichtigste Quelle für Devisen.

Das ist keine rhetorische Übertreibung. Es spiegelt eine dokumentierte operative Realität wider – eine, die vom US-Finanzministerium, den Vereinten Nationen und verbündeten Geheimdiensten anerkannt wird.

Die UN-Expertengruppe schätzte die Erträge der DVRK aus Kryptodiebstahl auf etwa 3 Milliarden US-Dollar zwischen 2017 und 2023, wobei sich das Tempo in den folgenden Jahren beschleunigt hat.

Die Gelder verschwinden nicht in irgendeiner herkömmlichen Form in einer Staatskasse des Regimes.

Sie fließen direkt in Waffenprogramme – insbesondere in die Programme zur Miniaturisierung ballistischer Sprengköpfe und nuklearer Gefechtsköpfe, die Pjöngjangs vorrangige strategische Priorität darstellen.

Jeder Dollar, der aus einem DeFi-Protokoll gestohlen wird, kann sich potenziell in materielle und technische Kapazitäten für Waffensysteme übersetzen, die US-amerikanische, südkoreanische und japanische Verteidigungsplaner aktiv in ihren Bedrohungsanalysen modellieren.

Die UN-Expertengruppe brachte diese 3 Milliarden US-Dollar an Diebstahl zwischen 2017 und 2023 direkt mit der Finanzierung von Waffenprogrammen in Verbindung – und macht damit Blockchain-Sicherheit zu einer lebendigen Komponente regionaler Sicherheitskalkulationen in Nordostasien.

Als Nächstes lesen: 5 günstigere Fable-5-Konkurrenten: Zahlen Sie nicht zu viel für tägliche KI-Arbeit

Abschließende Gedanken

Die Zahl von 66,2 % Anteil aus dem 1. Halbjahr 2026 ist keine datenmäßige Kuriosität.

Sie ist ein Signal über den aktuellen Stand des Wettstreits zwischen einem der fähigsten staatlichen Cyberprogramme der Welt und einer Branche, die historisch gesehen Markteinführungsgeschwindigkeit höher bewertet hat als operative Sicherheit.

Der Verlauf dieses Wettstreits – von opportunistischen Börsenhacks im Jahr 2017 über den Ronin-Bridge-Einbruch 2022 bis hin zur aktuellen Multivektor-Kampagne, die gleichzeitig Entwickler, Bridges und Insider ins Visier nimmt – zeigt einen Bedrohungsakteur, der schneller lernt, sich anpasst und skaliert, als es die defensiven Investitionen der Branche bislang eindämmen konnten.

Die strukturellen Faktoren, die die DVRK begünstigen, werden in absehbarer Zeit nicht verschwinden.

Nordkorea verfügt über eine institutionalisierte Cyber-Belegschaft ohne Versuchungen durch den Privatsektor, ohne öffentliche Rechenschaftspflicht und mit einem staatlichen Auftrag, auf jede verfügbare Weise Einnahmen zu generieren.

Die Kryptobranche hingegen hat eine zersplitterte Sicherheitslandschaft. Die wertvollsten Protokolle sind zunehmend gut verteidigt – aber der lange Schwanz kleinerer DeFi-Projekte bleibt systematisch unterausgestattet.

Und Cross-Chain-Bridges, die Infrastruktur, welche die Inseln der Liquidität im Ökosystem verbindet, bleiben architektonisch komplex und schaffen damit anhaltende ausnutzbare Annahmen.

Haftungsausschluss und Risikowarnung: Die in diesem Artikel bereitgestellten Informationen dienen nur Bildungs- und Informationszwecken und basieren auf der Meinung des Autors. Sie stellen keine Finanz-, Anlage-, Rechts- oder Steuerberatung dar. Kryptowährungsassets sind hochvolatil und unterliegen hohen Risiken, einschließlich des Risikos, Ihre gesamte oder einen erheblichen Teil Ihrer Investition zu verlieren. Der Handel oder das Halten von Krypto-Assets ist möglicherweise nicht für alle Anleger geeignet. Die in diesem Artikel geäußerten Ansichten sind ausschließlich die des Autors/der Autoren und repräsentieren nicht die offizielle Politik oder Position von Yellow, seinen Gründern oder seinen Führungskräften. Führen Sie immer Ihre eigenen gründlichen Recherchen (D.Y.O.R.) durch und konsultieren Sie einen lizenzierten Finanzprofi, bevor Sie eine Anlageentscheidung treffen.
Krypto-Diebstahl erreicht neue Dimension, Nordkorea kassiert zwei Drittel | Yellow.com