76%. Keine Schätzung, keine Prognose. Laut TRM Labs entfallen 76% aller Krypto-Hack-Verluste der ersten vier Monate 2026 auf Nordkorea: 577 Millionen von insgesamt 651 Millionen US-Dollar, in nur vier Monaten erbeutet.
Kerndaten
- DPRK-Verluste Jan., Apr. 2026 $577.000.000
- Gesamtverluste Krypto-Hacks (Apr. 2026) $651.000.000
- DPRK-Anteil am Gesamtschaden 76%
- Drift Protocol (1. Apr., TraderTraitor) $285.000.000
- Kelp DAO (18. Apr., TraderTraitor) $292.000.000
- April 2026: schlechtester Monat seit Feb. 2025 $651M gesamt
Quelle: TRM Labs, Chainalysis, Elliptic · Mai 2026
Quelle: TRM Labs, Chainalysis, Elliptic · Mai 2026
Zwei Angriffe, zwei völlig unterschiedliche Protokolle, ein und derselbe Akteur, ein und derselbe Monat. Drift Protocol: 285 Millionen US-Dollar auf Solana am 1. April, zugeschrieben der TraderTraitor-Untergruppe der Lazarus Group durch Elliptic und TRM Labs. Kelp DAO: 292 Millionen am 18. April, dieselbe Einheit, völlig anderer Angriffsvektor (LayerZero-Bridge statt Social Engineering auf Solana). Nordkorea improvisierte nicht: Das Regime arbeitete gleichzeitig auf mehreren Fronten.
Security Incident Report
- Protokoll Drift Protocol (Solana)
- Gestohlener Betrag $285.000.000
- Datum 1. April 2026
- Angriffsvektor Langfristige Infiltration: Erstellung des CarbonVote Token (CVT) am 11. März, systematisches Wash Trading, anschließend Exploit der Drift-Vaults in 12 Minuten. Gelder via Circle CCTP von Solana nach Ethereum gebridgt in 6 Stunden während US-Geschäftszeiten.
- Zuschreibung Lazarus Group / TraderTraitor (Elliptic, TRM Labs). Timestamps vereinbar mit Pjöngjanger Zeitzone. Vorfinanzierung via Tornado Cash: 10 ETH.
Quelle: Elliptic, TRM Labs, ZachXBT · April 2026
Quelle: Elliptic, TRM Labs, ZachXBT · April 2026
Security Incident Report
- Protokoll Kelp DAO (rsETH/LayerZero)
- Gestohlener Betrag $292.000.000
- Datum 18., 19. April 2026
- Angriffsvektor Kompromittierung des LayerZero-DVN-RPC-Knotens sowie DDoS auf nicht kompromittierte Knoten. Abfluss von 116.500 rsETH. Aave V3 durch Bad Debt betroffen, da rsETH als Sicherheit hinterlegt war.
- Zuschreibung Lazarus Group / TraderTraitor (offizielles LayerZero Post-mortem, 20. April 2026). Rund 175 Mio. USD innerhalb von 36 Stunden via THORChain gewaschen.
Quelle: LayerZero Labs, Chainalysis, ZachXBT · April 2026
Quelle: LayerZero Labs, Chainalysis, ZachXBT · April 2026
Die vollständige Analyse des Kelp-DAO-Exploits und des Falls Drift Protocol sowie alle Details zur Aave-Krise nach dem Exploit und dem 95-prozentigen rsETH-Recovery bei Aave finden sich in unseren Detailanalysen.
Wie stiehlt Nordkorea Kryptowährungen?
Das Modell hat sich grundlegend gewandelt. Kein einsamer Hacker, der nach Smart-Contract-Lücken sucht. Die nordkoreanische Struktur, von Chainalysis, TRM Labs und FBI-Forschern als TraderTraitor identifiziert, funktioniert wie ein Unternehmen. Sie rekrutiert Entwickler über gefälschte Stellenangebote, dokumentiert in den GhostHire-Operationen von Cisco Talos. Die Agenten werden als Auftragnehmer in Krypto-Unternehmen eingeschleust, wo sie monatelang als gewöhnliche Mitarbeiter arbeiten. Zum gewählten Zeitpunkt nutzen sie den internen Zugang, um Schlüssel zu kompromittieren, Konfigurationen zu ändern oder Wallets zu leeren.
#PeckShieldAlert @THORChain has been exploited for ~$10M worth of crypto, including 36.75 $BTC ($3M) and ~$7M worth of assets from #BNBChain, #Ethereum, and #Base.
, PeckShieldAlert (@PeckShieldAlert) May 15, 2026
The stolen funds mainly sit in:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37… pic.twitter.com/mhWIWueVPK
Der Fall Drift ist am lückenlosesten dokumentiert. Die Angreifer hatten am 23. März Entwicklerkonten auf Solana angelegt, drei Wochen vor dem Angriff. Sie führten Wash Trading durch, um den CarbonVote Token glaubwürdig zu machen. Dann warteten sie. Am 1. April, in 12 Minuten, leerten sie die Vaults. Anschließend nutzten sie Circle CCTP, das USDC-Cross-Chain-Protokoll, um laut TRM Labs 232 Millionen US-Dollar innerhalb von 6 Stunden während US-Geschäftszeiten von Solana nach Ethereum zu verschieben. Circle griff nicht ein. Die Rolle der Lazarus Group beim Kelp-Exploit folgte derselben Logik langfristiger Planung.
Künstliche Intelligenz hält Einzug in den Angriffsprozess. Die von Cisco Talos dokumentierten Kampagnen GhostCall und GhostHire setzen geklonte Stimmen und Deepfakes ein, um Web3-Führungskräfte in Vorstellungsgesprächen per Videoanruf zu imitieren, was die Infiltrationsrate erhöht. Das entspricht noch nicht dem Modell „KI greift Smart Contracts an“ des EVMbench-Benchmarks, ist aber dessen Vorläufer: KI als Vorbereitungs- und Verschleierungswerkzeug vor dem eigentlichen Exploit.
Gesamtbilanz 2026 und regulatorische Reaktion
TRM Labs hat den THORChain-Exploit vom 15. Mai noch nicht Nordkorea zugeschrieben. Sollte sich eine Beteiligung von TraderTraitor auch an dieser Operation über 10,8 Millionen US-Dollar bestätigen, würden die DPRK-Verluste 2026 noch vor Jahresmitte die Marke von 588 Millionen US-Dollar überschreiten. Die europäische Regulierungsreaktion konzentrierte sich bislang auf Russland, doch das nordkoreanische Dossier bleibt das konkreteste und am wenigsten adressierte Sicherheitsproblem des Sektors.
OFAC hat 2026 bereits Dutzende nordkoreanische Mittelsmänner sanktioniert, die letzte Runde im März. Gereicht hat es nicht. Die THORChain-Community stimmt bis zum 22./23. Mai über die eigene Schadensbehebung ab. Sollte sich die Zuschreibung ändern, wüchse auch der Druck auf die Branche, Transaktions-Screening-Mechanismen einzuführen, die heute 99% der Bridges und Cross-Chain-Protokolle nicht besitzen. Für DACH-Anleger und BaFin-regulierte Plattformen bedeutet das: Compliance-Teams sollten die OFAC-Sanktionslisten und die DPRK-spezifischen FATF-Leitlinien bereits jetzt in ihre AML-Prozesse integrieren. Alle weiteren Updates gibt es im Hack-Bereich von SpazioCrypto.
