cryptonews.net
Die größte südkoreanische Kryptowährungsbörse Upbit sah sich kürzlich mit neuen Sicherheitsproblemen konfrontiert. Grund war der Diebstahl von Vermögenswerten im Wert von rund 54 Milliarden Won (ca. 36 Millionen US-Dollar) im Zusammenhang mit Solana. Das Unternehmen fror daraufhin umgehend alle Ein- und Auszahlungen seiner digitalen Dienste ein.
Die Ermittler in Seoul haben eine formelle Untersuchung eingeleitet. Erste Analysen deuten auf Methoden hin, die typischerweise von der Lazarus-Gruppe angewendet werden. Die Lazarus-Gruppe ist eine der berüchtigtsten staatlich gelenkten Cyberkriminalitätsgruppen weltweit.
Der Angriff ereignete sich in einem Jahr, das von Rekordzahlen bei Kryptodiebstählen geprägt ist. 2025 gilt als das schlimmste Jahr in der Geschichte der digitalen Vermögenskriminalität. Da die gestohlenen Gelder schneller wachsen als in den letzten Jahren, ist der Upbit-Vorfall ein weiteres Indiz dafür, dass der Markt für Börsen, Nutzer und dezentrale Plattformen zunehmend gefährlicher wird.
Der Hack erfolgte, nachdem bei Upbit ungewöhnliche ausgehende Überweisungen von mehreren mit Solana verknüpften Wallets festgestellt wurden. Der Betreiber der Börse, Dunamu, bestätigte kurz darauf den unautorisierten Geldabfluss und leitete eine umfassende Sicherheitsabschaltung ein.
Upbit versicherte, die Entschädigung der Kundinnen und Kunden erfolge aus eigenen Reserven und die Kundengelder würden in keiner Weise zur Deckung des Schadens beitragen. Zudem gab die Börse an, dass in Zusammenarbeit mit Partnerinstitutionen bereits Token im Wert von rund 12 Milliarden Won eingefroren worden seien und weitere Anstrengungen unternommen würden, um das restliche gestohlene Geld aufzuspüren und einzufrieren.
Die südkoreanische Regierung leitete umgehend Ermittlungen zu dem Angriff ein. Die Behörden verwiesen auf die Ähnlichkeit des Angriffs mit einem Upbit-Hack aus dem Jahr 2019, bei dem ein Schaden von 58 Milliarden Won entstanden war und der später der Lazarus Group angelastet wurde. Laut Quellen der Nachrichtenagentur Yonhap wies das jüngste Ereignis die gleichen Merkmale wie die älteren Lazarus-Angriffe auf, etwa die Besonderheiten des Transaktionsroutings und die Struktur der Abhebungszeiten.
Die Abteilung für Cyberkriminalität der Nationalen Polizeibehörde ermittelt forensisch, während die südkoreanischen Geheimdienste die kettenübergreifenden Transaktionen untersuchen, um die Präsenz der bekannten Lazarus-Infrastruktur aufzudecken.
Die Vereinigten Staaten und verschiedene europäische Behörden warnen bereits seit Langem vor Lazarus als hochentwickelter Cyberbedrohung, die in der Lage ist, große Finanzsysteme zu identifizieren und Blockchain-Netzwerke sowohl durch technische Methoden als auch durch Social Engineering zu nutzen. Der Upbit-Fall reiht sich in die wachsende Liste von Fällen ein, in denen staatlich verbundene Akteure ihren Fokus auf liquide Börsen mit großer Reichweite ausweiten.
Der November brach Rekorde – ein weiterer teurer Monat für Kryptowährungsdiebstähle
Der Angriff auf Upbit ereignete sich in einem ohnehin schon schwierigen Monat, in dem die Kryptoindustrie bereits hohe Verluste verzeichnen musste. Laut dem Bedrohungsbericht von CertiK beliefen sich die bestätigten Schäden durch Exploits, Betrugsfälle und Wallet-Hacks im November auf rund 127 Millionen US-Dollar. Die ursprüngliche Schadensschätzung lag bei über 172 Millionen US-Dollar. Nach Rückgewinnungen und dem Einfrieren von Vermögenswerten verringerte sich dieser Wert jedoch.
Das folgenreichste Ereignis war der Angriff auf das Liquiditätsprotokoll Balancer, durch den allein Schäden in Höhe von über 113 Millionen US-Dollar verursacht wurden. Der Exploit beeinträchtigte verschiedene Ethereum-Ökosysteme und Layer-2-Plattformen, störte Liquiditätspools und beeinträchtigte zugehörige dezentrale Anwendungen. Die BEX-Plattform von Berachain verzeichnete weitere Verluste in Höhe von 12 Millionen US-Dollar. Allerdings gab das Unternehmen bekannt, dass das gestohlene Geld erfolgreich eingefroren oder zurückgeholt werden konnte. Damit erhöhte sich der Gesamtbetrag der im Laufe des Monats eingefrorenen oder wiederhergestellten Gelder auf 45 Millionen US-Dollar.
Auch andere Plattformen wie Beets und Gana Payment meldeten schwerwiegende Sicherheitslücken und verzeichneten Verluste von über 3,8 bzw. 3,1 Millionen US-Dollar. Auch wenn diese kleiner waren als die größeren Verstöße gegen die Protokolle, verdeutlichten auch sie die ungelösten Lücken in der operativen Sicherheit und die Angriffsflächen, die auf Benutzer abzielen.
Die Novemberstatistik zeigt, dass dezentrale Finanzplattformen (DeFi) den größten Anteil der Verluste verzeichneten. Im Oktober waren es noch Bridge-Angriffe, die weltweit die größten Verluste verursachten. Im November erlitten DeFi-Protokolle bestätigte Verluste von über 134 Millionen US-Dollar durch Sicherheitslücken in Smart Contracts. Weitere rund 33 Millionen US-Dollar entstanden durch Kompromittierungen von Wallets, die in der Regel durch gestohlene Zugangsdaten oder Malware verursacht wurden.
Phishing-Fälle gingen zwar weiterhin zurück, verzeichneten im November jedoch einen deutlichen Anstieg. Die durch Phishing verursachten Verluste beliefen sich im November auf rund 5,8 Millionen US-Dollar, im Oktober waren es noch 28 Millionen US-Dollar. Analysten warnten jedoch davor, dass dieser Rückgang kein langfristiger Trend sei. Am zweitstärksten betroffen waren Kryptobörsen, wobei Upbit die größte Rolle spielte. Aufgrund von Sicherheitslücken beliefen sich die Verluste diesmal auf fast 29 Millionen US-Dollar.
2025 entwickelte sich aufgrund von Kryptokriminalität zum schlimmsten Jahr
Eine Analyse von Chainalysis, die Mitte 2025 veröffentlicht wurde, zeigt, dass allein im ersten Halbjahr 2025 Kryptowährungen im Wert von über 2,17 Milliarden US-Dollar gestohlen wurden. Diese Summe übersteigt den gesamten Diebstahlbetrag des Jahres 2024 bereits jetzt und deutet auf einen Trend hin, der bis Ende des Jahres die 4-Milliarden-Dollar-Marke erreichen oder sogar übertreffen wird.
Das bedeutendste Ereignis in der Bedrohungslandschaft des Jahres 2025 war der ByBit-Hack, bei dem 1,5 Milliarden US-Dollar erbeutet wurden. Verursacht wurde dieser Hack von Nordkorea. Es handelt sich um den größten jemals verzeichneten Kryptodiebstahl, der etwa 70 % des gesamten in diesem Jahr von Diensten gestohlenen Wertes entspricht. Besonders bemerkenswert an diesem Angriff sind sein Ausmaß und seine Vorgehensweise, die mutmaßlich ein tiefgreifendes Eindringen in die Systeme von IT-Mitarbeitern durch fortgeschrittene Social-Engineering-Techniken umfasste. Da andere Angriffe mit Verbindungen zur DVRK denselben Infiltrationstechniken folgten, ist davon auszugehen, dass die staatlich unterstützten Organisationen neben rein technischen Sicherheitslücken auch interne Schwachstellen ausnutzen.
Angriffe auf Serviceebene oder solche, die anhand des gemeldeten Schadens bewertet werden, sind zwar nach wie vor vorherrschend, doch die Kompromittierung persönlicher Wallets macht einen zunehmend größeren Anteil der gesamten kriminellen Aktivitäten aus. Laut Chainalysis werden im Jahr 2025 mehr als 23 % aller gestohlenen Gelder in privaten Wallets gespeichert sein. Dies deutet auf einen Anstieg gezielter Malware, des Sammelns von Zugangsdaten sowie ausgefeiltere Phishing-Operationen hin.
Derzeit befinden sich gestohlene Vermögenswerte im Wert von rund 8,5 Milliarden US-Dollar in von Angreifern kontrollierten persönlichen Wallet-Adressen. Zum Vergleich: On-Chain-Verluste durch Angriffe auf Serviceebene belaufen sich auf 1,28 Milliarden US-Dollar. Dieser Trend lässt darauf schließen, dass Angreifer gestohlenes Geld oft lieber zurückhalten, anstatt es sofort zu waschen. Möglicherweise vertrauen sie darauf, unentdeckt zu bleiben, oder sie handeln zu einem günstigen Zeitpunkt, der sich nach Marktfaktoren richtet.