Krypto-Diebstähle im April 2026
Im April 2026 machten zwei Hacks im Wert von 577 Millionen Dollar 76 % aller Krypto-Diebstähle in diesem Jahr aus. Beide Angriffe wurden von Nordkoreas Lazarus-Gruppe durchgeführt und waren keine Smart-Contract-Exploits. Die Angreifer gaben sich über einen Zeitraum von sechs Monaten als Handelsfirma aus, nahmen persönlich an Krypto-Konferenzen teil und bauten echte Beziehungen zu Ingenieuren des Drift-Protokolls auf, bevor sie die benötigten Signaturen extrahierten, um in nur zwölf Minuten 285 Millionen Dollar abzuziehen. Der zweite Angriff entleerte 292 Millionen Dollar von einem einzigen verwundbaren Brücken-Knoten. Dies ist kein bloßes Krypto-Sicherheitsproblem mehr; es handelt sich um eine staatlich geförderte Geheimdienstoperation, die von einem Land betrieben wird, das die Erlöse zur Finanzierung seines Waffenprogramms nutzt. Die Branche beginnt erst jetzt, dies zuzugeben.
Der Drift-Angriff
Um 16:06:09 UTC am 1. April 2026 entleerte ein Angreifer die Haupttresore des Drift-Protokolls, der größten dezentralen Perpetual-Futures-Börse auf Solana, von etwa 285 Millionen Dollar an Benutzervermögen. Der erste Abzug bewegte 41,72 Millionen JLP-Token, der letzte 2.200 Wrapped ETH. Der gesamte Schatz wurde in nur zwölf Minuten geleert, etwa so lange wie das Schreiben einer langen SMS. Die erste öffentliche Erklärung des Teams, die innerhalb weniger Stunden auf X veröffentlicht wurde, bat die Community, zu bestätigen, dass die ungewöhnliche Aktivität, die sie beobachteten, kein Aprilscherz war. Das war es nicht. Es war der Höhepunkt von sechs Monaten methodischer Vorbereitung durch Operative, die für die nordkoreanische Regierung arbeiteten.
NEU: Drift Protocol kündigte an, dass alle Wallets, die von dem Exploit am 1. April betroffen sind, Wiederherstellungstoken erhalten werden, die jeweils den verifizierten Verlust und den proportionalen Anspruch auf den Wiederherstellungspool repräsentieren. Siebzehn Tage später, am 18. April, entleerten Angreifer 292 Millionen Dollar von KelpDAO, einem Restaking-Protokoll, indem sie eine Konfiguration mit einem einzelnen Verifier in seiner LayerZero-Brücke manipulierten. Die beiden Angriffe zusammen machten etwa 95 Prozent der 625 Millionen Dollar an Krypto-Diebstahl im April aus, was den April 2026 zum schlimmsten Monat für Krypto-Sicherheit in der aufgezeichneten Geschichte machte. Der Diebstahl bis zum April überstieg 1 Milliarde Dollar. TRM Labs machte 76 Prozent des gesamten Betrags von 2026 auf zwei Angriffe verantwortlich. Beide waren das Werk desselben Bedrohungsakteurs.
Die Lazarus-Gruppe
NEU: KelpDAO bewegt $rsETH zu Chainlink CCIP und nennt die LayerZero-Infrastruktur als Quelle des DeFi-Exploits von über 300 Millionen Dollar im April. Dieser Bedrohungsakteur ist die Lazarus-Gruppe, der Überbegriff, den westliche Geheimdienste für staatlich geförderte Hacking-Operationen verwenden, die vom General Bureau of Reconnaissance, Nordkoreas primärer Geheimdienstbehörde, geleitet werden. Seit 2017 hat Lazarus und seine Untereinheiten über 6 Milliarden Dollar in Kryptowährung gestohlen. Laut Chainalysis wurden allein im Jahr 2025 2,06 Milliarden Dollar gestohlen, hauptsächlich angetrieben durch den katastrophalen Hack von Bybit im Februar dieses Jahres, dem größten Krypto-Diebstahl in der Geschichte. Das Tempo von 2026 lässt die Gruppe auf Kurs sein, die Gesamtzahl von 2025 bequem zu übertreffen.
Die Bedrohung durch Social Engineering
Dies ist keine Krypto-Sicherheitsgeschichte im herkömmlichen Sinne. Die Bedrohungen, denen DeFi-Protokolle heute gegenüberstehen, sind nicht die Bedrohungen, gegen die sie entworfen wurden, um sich zu verteidigen. Die Sorgen aus dem Jahr 2020 betrafen Bugs in Smart Contracts und Flashloan-Exploits, Schwachstellen im Code. Die Realität von 2026 sind nachhaltige, länderübergreifende, monatelange Operationen, die von Geheimdienstprofis durchgeführt werden, die keinen Code-Exploit benötigen, weil sie bereits die Schlüssel haben. Sie mussten nur jemanden überzeugen, sie herauszugeben. Das war der Drift-Angriff. Und es zu verstehen, ist die wichtigste Sicherheitsbildung, die jeder Krypto-Inhaber, -Entwickler oder -Manager jetzt erhalten kann.
Die Vorgehensweise der Angreifer
Der eigene Nachbericht des Drift-Protokolls, veröffentlicht Anfang April, liest sich mehr wie ein Geheimdienstbericht als eine Sicherheitsoffenlegung. Er beginnt im Oktober 2025. Auf einer großen Krypto-Konferenz trat eine Gruppe von Personen, die sich als Vertreter einer quantitativen Handelsfirma ausgaben, an Drift-Mitarbeiter heran. Sie hatten verifizierte berufliche Hintergründe, zeigten technische Sprachgewandtheit und stellten genau die Fragen, die eine echte institutionelle Handelsfirma über die Integration mit einem Perpetual-Protokoll stellen würde. Drift-Mitarbeiter, die mit solchen Anfragen routinemäßig umgehen, behandelten sie wie jeden anderen potenziellen institutionellen Partner. Drift hat seitdem klargestellt, dass die Personen bei diesen persönlichen Treffen keine nordkoreanischen Staatsangehörigen waren. Lazarus-Operationen verwenden fast immer Dritte als Vermittler für den persönlichen Kontakt, während die tatsächlichen technischen Betreiber in Nordkorea oder China bleiben. Der Blockchain-Ermittler ZachXBT, der seit Jahren die Krypto-Operationen der DPRK verfolgt, hat festgestellt, dass diese geschichtete Identitätsstruktur eines der bestimmenden Merkmale von Lazarus-Kampagnen ist.
Die Gruppe hörte nach der ersten Konferenz nicht auf. Über sechs Monate hinweg traten dieselben Operativen oder Operative, die dieselben Identitäten präsentierten, bei mehreren globalen Branchenveranstaltungen auf und vertieften die Beziehungen zu bestimmten Drift-Mitarbeitern. Eine Telegram-Gruppe wurde eingerichtet, um fortlaufende Diskussionen über Handelsstrategien und Integrationsmöglichkeiten zu führen. Von Dezember 2025 bis Januar 2026 „onboardete“ die gefälschte Handelsfirma einen Ökosystem-Tresor mit Drift, indem sie Strategie-Details einreichte und über 1 Million Dollar in das Protokoll als Partner einzahlte. Dies ist keine normale Betrugsoperation. Dies ist ein Geheimdienst, der eine HUMINT-Kampagne mit einem Budget führt.
Technische Angriffe und ihre Folgen
Bis Februar und März 2026 waren die Beziehungen so tief, dass die Mitarbeiter diesen Gegenparteien vertrauten, um Repositories und Anwendungen zu teilen. Laut Drift verwendeten die Angreifer zwei spezifische Malware-Vektoren. Einer beinhaltete das Teilen von Repositories, die Code enthielten, der, wenn er in VSCode oder Cursor (dem KI-unterstützten Code-Editor) geöffnet wurde, eine stille Codeausführung durch eine damals nicht gepatchte Schwachstelle auslösen konnte. Der andere beinhaltete, dass ein Mitarbeiter ein Produkt herunterlud, das als Wallet-Produkt über TestFlight, Apples Beta-Testplattform, verteilt wurde, was das Gerät kompromittierte. Sobald die Angreifer Zugriff auf die richtigen Maschinen hatten, hatten sie Zugriff auf die richtigen Wallets. Und sobald sie die richtigen Wallets hatten, war der Rest der Operation Logistik.
Am 23. März, mehr als eine Woche vor dem Diebstahl, richteten die Angreifer vier Wallets mit Solanas „dauerhaften Nonce“-Funktion ein, die es ermöglicht, vorab signierte Transaktionen zu einem beliebigen zukünftigen Zeitpunkt auszuführen. Zwei dieser Wallets gehörten kompromittierten Mitgliedern des Sicherheitsrates von Drift, der Multisig-Signaturgruppe, die die sensibelsten Funktionen des Protokolls kontrollierte. Die anderen beiden standen unter direkter Kontrolle der Angreifer. Durch Social Engineering und die kompromittierten Geräte erhielten die Angreifer die Multisig-Zustimmungen von zwei der fünf Sicherheitsratsunterzeichner, die erforderlich waren, um die vorab signierten Transaktionen auszuführen. Am 1. April, während das Drift-Team einen routinemäßigen Abzug aus dem Versicherungsfonds durchführte, führten die Angreifer zwei der vorab signierten Transaktionen vier Blockslots auseinander aus. Die Transaktionen erlangten die Admin-Kontrolle, führten einen synthetischen Vermögenswert namens CarbonVote Token (CVT) in den Spotmarkt ein, manipulierten seinen Preis durch Wash-Trading auf zwei dezentralen Börsen, um den falschen Anschein eines legitimen Wertes zu erwecken, und erhöhten das USDC-Abhebungslimit des Protokolls auf 500 Billionen. CVT wurde dann als Sicherheit gegen den gesamten Schatz hinterlegt. Zwölf Minuten später waren 285 Millionen Dollar verschwunden.
Die Geldwäsche und ihre Implikationen
Die Angreifer tauschten die gestohlenen Vermögenswerte über Jupiter, Solanas größten DEX-Aggregator, in USDC um und bridgten etwa 129.000 ETH im Wert von 270 Millionen Dollar zu Ethereum über Circles CCTP-Protokoll. Sie hielten die gestohlenen USDC mehrere Stunden, bevor sie die Brücke abschlossen. Circle fror die Gelder während dieses Zeitraums nicht ein. Der Sicherheitsforscher Specter stellte zu diesem Zeitpunkt fest, dass die Angreifer absichtlich vermieden hatten, in Tether umzuwandeln, was auf Vertrauen hindeutete, dass Circle, insbesondere, nicht intervenieren würde. Sie hatten recht.
Die Versuchung, den Drift-Nachbericht zu lesen, besteht darin, ihn als außergewöhnlichen Einzelfall zu behandeln. Eine sechsmonatige Operation. Mehrere kompromittierte Geräte. Vorab signierte Transaktionen. Wash-traded gefälschte Sicherheiten. Es liest sich wie ein Hollywood-Drehbuch. Aber wenn man einen Schritt zurücktritt, sind die architektonischen Fingerabdrücke jedes großen Lazarus-DeFi-Angriffs der letzten drei Jahre identisch. Ein kompromittierter menschlicher Unterzeichner. Eine geschwächte Multisig-Konfiguration. Ein verzögerter oder fehlender Timelock. Eine bösartige Nutzlast, die sich als routinemäßige Operation tarnt. Der Bybit-Hack im Februar 2025, der Diebstahl von 1,5 Milliarden Dollar, der jetzt vom FBI einem Lazarus-Subcluster namens TraderTraitor zugeschrieben wird, verwendete denselben Ansatz. Die Unterzeichner von Bybit glaubten, sie genehmigten routinemäßige Cold-Wallet-Operationen über die Multisig-Infrastruktur von Safe. Das taten sie nicht. Die Safe-Infrastruktur war durch einen Entwicklerangriff kompromittiert worden, und die Transaktion, die sie unterzeichneten, übertrug die Kontrolle über den Wallet-Vertrag selbst. Gehen Sie weiter zurück, und das Muster bleibt bestehen. Der Hack der Ronin Bridge im Jahr 2022, bei dem 625 Millionen Dollar von Axie Infinitys Brücke verloren gingen, begann mit gefälschten LinkedIn-Jobangeboten, die einen Entwickler anvisierten. Eine bösartige „Interview-Herausforderung“ lud Malware herunter. Die Malware kompromittierte Validator-Knoten. Die Angreifer erhielten die fünf Validator-Signaturen, die sie benötigten, und entleerten die Brücke. Der DMM Bitcoin-Hack von 2024, ein Verlust von 300 Millionen Dollar, begann auf die gleiche Weise: ein gefälschter Recruiter, der einen Ingenieur bei Ginco, dem Wallet-Anbieter, den DMM benötigte, kontaktierte. Der CoinsPaid-Angriff von 2023, dasselbe Spielbuch erneut.
Die menschliche Angriffsfläche
Das gleiche Spielbuch funktioniert weiterhin, weil die Angriffsfläche, das menschliche Vertrauen, nicht so gehärtet wurde wie Smart Contracts. Diese Wiederholung ist das Wichtigste, was man über das Lazarus-Problem verstehen muss. Die Prüfung von Smart Contracts ist zu einer routinemäßigen Disziplin in DeFi geworden. Jedes ernsthafte Protokoll wird geprüft, oft von mehreren Firmen. Bug-Bounty-Programme sind weit verbreitet. Nichts davon fängt eine sechsmonatige Social-Engineering-Operation ab, die auf die menschlichen Unterzeichner abzielt. Die Asymmetrie zwischen der Reife der Codesicherheit und der Reife der operationellen Sicherheit ist die Lücke, die Lazarus in den letzten fünf Jahren industrialisiert hat.
Neue Facetten der Bedrohung
Die Evolution von 2026 fügt zwei neue Facetten hinzu. Eine ist die Verwendung von KI-unterstützten Codierungswerkzeugen als Angriffsvektor. VSCode und Cursor haben es Entwicklern dramatisch erleichtert, Code aus externen Quellen zu öffnen und auszuführen. Diese Bequemlichkeit hat auch die Angriffsfläche erweitert. Der Drift-Angriff nutzte eine spezifische Schwachstelle aus, bei der das Öffnen eines Repositories in einer Entwicklungsumgebung eine stille Codeausführung auslösen konnte. Dies war kein Fehler, der einzigartig für Drift war. Es war eine Klasse von Schwachstellen, die unter jedem Entwickler in der Branche sitzt, der diese Tools verwendet, was die meisten von ihnen sind.
Die zweite Facette ist die KI selbst. Cybersicherheitsforscher, die in diesem Frühjahr vor US-Haussubkomiteen aussagten, haben festgestellt, dass DPRK-Operative jetzt KI-Tools verwenden, um überzeugendere gefälschte Personas zu erstellen, plausiblere Kommunikationen zu entwerfen und die Frühphase der Aufklärung von Zielen zu beschleunigen. Die gleichen Produktivitätswerkzeuge, die legitime Unternehmen transformieren, transformieren auch die Angreifer.
Finanzierung von Waffenprogrammen
Es ist wichtig, präzise zu sein, wo die gestohlenen Gelder enden, denn hier wird das Unbehagen der Krypto-Industrie mit der Geschichte am deutlichsten. Das UN-Expertengremium zu Nordkorea hat geschätzt, dass die Gelder aus Krypto-Diebstählen einen wesentlichen Teil des DPRK-Budgets für die Entwicklung von Raketen und Atomwaffen finanzieren. Diese Schätzung spiegelt sich jetzt in formalen Bewertungen des US-Finanzministeriums und der südkoreanischen Geheimdienste wider. Der kumulierte Krypto-Diebstahl Nordkoreas, der seit 2017 über 6 Milliarden Dollar beträgt, macht die Aktivität zu einer der größten Quellen für Devisen des Regimes, neben Kohleexporten nach China und dem Einsatz von IT-Arbeitern im Ausland.
Die Mechanik, um von „gestohlenem ETH“ zu „Waffenbeschaffung“ zu gelangen, ist gut dokumentiert. Nach dem ursprünglichen Diebstahl werden die Gelder typischerweise in Bitcoin oder Stablecoins umgetauscht und dann über Cross-Chain-Brücken geleitet, um die Spur zu verwischen. THORChain, das Cross-Chain-Swap-Protokoll, ist zu einem bevorzugten Weg geworden, genau weil seine Betreiber öffentlich abgelehnt haben, Transaktionen einzufrieren oder zu überprüfen und jede solche Intervention als gegen die Dezentralisierungsprinzipien des Protokolls zu betrachten. THORChain verarbeitete das größte Volumen an Geldwäsche sowohl aus den Bybit- als auch aus den KelpDAO-Heists. Von dort aus bewegen sich die Gelder durch russische Krypto-Börsen und chinesische OTC-Schalter, bevor sie in Fiat umgewandelt und in Beschaffungsnetzwerke geleitet werden, die Komponenten und Materialien kaufen, die durch internationale Vereinbarungen sanktioniert sind.
NEU: Der KelpDAO-Hacker bewegt alle 75.701 ETH im Wert von 175 Millionen Dollar in BTC über THORChain und zusätzliche Routen. Die Rolle der Krypto-Industrie in dieser Pipeline ist unangenehm, aber unvermeidlich. Jeder Protokoll-Exploit von Lazarus ist in der Tat eine Kapitalübertragung von Krypto-Nutzern zur Waffenentwicklung eines Staates, der mit nuklearen Angriffen gegen seine Nachbarn gedroht hat. Jede ungeschützte Multisig ist ein Beitrag zu dieser Pipeline. Jeder Entwickler, der ohne Überprüfung auf eine „Portfolio-Unternehmensinterview“-Kalendereinladung klickt, wird in einem realen Sinne zu einem Posten im DPRK-Raketenbudget. Dies ist ein harter Satz für eine Branche, die auf genehmigungsfreiem Zugang und Dezentralisierung basiert.
Die Herausforderungen der Krypto-Industrie
Der Instinkt in Krypto, der bis zu seinen Ursprüngen zurückreicht, war es, Code als den Ort des Vertrauens zu behandeln und Vermittlerüberprüfungen, Adressblocklisten und zentrale Interventionen zu misstrauen. Dieser Instinkt hat der Branche in vielen Kontexten gut gedient. Hier dient er ihr schlecht. THORChains Weigerung, Transaktionen zu überprüfen, steht im Einklang mit seinen erklärten Prinzipien, und genau deshalb nutzt Nordkorea THORChain. Beides ist wahr.
Der KelpDAO-Angriff am 18. April ist strukturell in einem wichtigen Punkt von Drift verschieden: Er produzierte etwas, worüber die Krypto-Industrie seit Jahren spricht, aber nie tatsächlich im großen Maßstab erlebt hat. Einen DeFi-Bankrun. Innerhalb von Stunden nach dem Abzug der KelpDAO-Brücke wurde der gestohlene rsETH (KelpDAOs Restaking-Receipt-Token) als Sicherheit auf Aave und anderen Kreditplattformen hinterlegt, während die zugrunde liegenden KelpDAO-Verträge pausiert wurden und der wahre Wert des Tokens zusammenbrach. Aave-Nutzer, die ETH gegen rsETH-Sicherheiten geliehen hatten, fanden plötzlich ihre Kredite durch wertlose Vermögenswerte gedeckt. Innerhalb von 48 Stunden verließen mehr als 8,4 Milliarden Dollar an Einlagen Aave. Der gesamte DeFi-TVL im Ökosystem fiel im selben Zeitraum um über 13 Milliarden Dollar, da die Nutzer zuerst abzogen und später Fragen stellten.
Dies war keine Panik. Es war ein klassischer, lehrbuchmäßiger Bankrun, die Art von Bankrun, für die Bankenregulierungsbehörden Einlagensicherungen und Kreditgeber-der-letzten-Hilfe-Einrichtungen speziell entwerfen, um sie in der traditionellen Finanzwelt zu verhindern. DeFi hat beides nicht. Die Tatsache, dass die Smart Contracts von Aave weiterhin funktionierten, dass Abhebungen weiterhin bearbeitet wurden und dass das System zusammenhielt, ist wirklich bemerkenswert und größtenteils ein Verdienst des Designs des Protokolls. Aber das Ergebnis war viel näher an einem kaskadierenden Liquidationsereignis, als die meisten Berichterstattungen anerkannten.
Strukturelle Implikationen und Lösungen
Die Implikation ist strukturell. Während DeFi gereift ist, hat es Komponierbarkeit aufgebaut, die Eigenschaft, dass jeder Token als Sicherheit für jedes andere Produkt dienen kann. Diese Komponierbarkeit ist es, die DeFi nützlich macht, und sie ist auch der Grund, warum ein einzelner kompromittierter Vermögenswert in der Lage ist, Verluste innerhalb von Stunden über mehrere Protokolle hinweg zu propagieren. Aaves Sicherheitsmodul war unzureichend, um die letztendlichen schlechten Schulden aus rsETH-gestützten Krediten zu absorbieren. Schätzungen deuten darauf hin, dass nach der Erschöpfung des Versicherungsfonds noch 100 bis 120 Millionen Dollar an Verlusten verblieben sind, und Aaves Governance diskutiert jetzt offen, wer für das übrig Gebliebene zahlt. Der Vorschlag, der in Betracht gezogen wird, würde die Verluste gleichmäßig unter den Kreditgebern aufteilen, die die betroffenen Positionen hielten. Dies ist, in einfachen Worten, ein Einleger-Bail-in-Ereignis für eines der größten Kreditprotokolle in DeFi.
Es ist eine Art Risiko, das in der Version von Krypto vor der Komponierbarkeit nicht bedeutend existierte. Es existiert jetzt, und Lazarus hat gerade demonstriert, wie man es auslöst. Ein Stück, das nur das Problem beschreiben würde, wäre deprimierend. Die schwierigere Frage ist, was sich tatsächlich ändern müsste, damit das Lazarus-Problem handhabbar wird. Drei Dinge, in der Reihenfolge, wie schwierig sie umzusetzen sind.
Empfohlene Maßnahmen
- Die Kultur der operationellen Sicherheit innerhalb von DeFi-Protokollen. Die Angriffsfläche, die Lazarus ausnutzt, ist nicht technisch. Sie ist menschlich. Das bedeutet, dass die Verteidigungen auch menschlich sein müssen: Schulung der Mitarbeiter, um Social Engineering zu erkennen, Härtung der Einstellungs- und Onboarding-Prozesse gegen Fake-Identitäts-Infiltration, Erfordernis einer Mehrkanalüberprüfung vor der Unterzeichnung wesentlicher Transaktionen und Behandlung von „das scheint zu gut, um wahr zu sein“ als das Sicherheitszeichen, das es tatsächlich ist. Einiges davon geschieht, aber es geschieht projektweise, ohne einen konsistenten Branchenstandard. Die Prüfungsinfrastruktur der DeFi-Industrie hat fünf Jahre gebraucht, um zu professionalisieren. Das Äquivalent der operationellen Sicherheit ist im ersten Jahr.
- Das architektonische Design von Governance- und Multisig-Systemen. Viele der Angriffe, mit denen Lazarus erfolgreich war, hängen von einem spezifischen Schwachmustermuster ab: einer Multisig mit relativ wenigen Unterzeichnern, einem Timelock, der entweder kurz oder nicht vorhanden ist, und keinen automatisierten Kontrollen, die ungewöhnliche Transaktionen vor ihrer Ausführung kennzeichnen würden. Die architektonische Lösung ist nicht exotisch. Längere Timelocks. Mehr Unterzeichner. Unabhängige Überwachung ausstehender Transaktionen. Hardware-gestützte Trennung zwischen Signaturschlüsseln und Entwicklermaschinen. Protokolle, die diese Maßnahmen implementiert haben, wurden in der Regel nicht entleert. Protokolle, die dies nicht getan haben, wurden entleert.
- Die Infrastruktur-Ebene. THORChains Weigerung, Transaktionen zu überprüfen, ist eine architektonische Wahl, und eine mit einer echten prinzipiellen Verteidigung dahinter. Aber diese Wahl ist bis 2026 zu einem tragenden Pfeiler der Geldwäsche-Pipeline geworden, die von dem weltweit produktivsten staatlich geförderten Krypto-Dieb genutzt wird. Irgendwann wird die Frage, wie man mit der Neutralität auf Infrastruktur-Ebene im Vergleich zur systemischen Komplizenschaft umgeht, konfrontiert werden müssen, und sie wird nicht vollständig innerhalb von Krypto gelöst werden. Sie wird Sanktionserzwingung, Börsenkonformität und internationale Koordination erfordern. Einiges davon geschieht bereits. Das Beacon-Netzwerk von TRM Labs, das Mitgliedsbörsen und -protokolle alarmiert, wenn bekannte schlechte Adressen Gelder erhalten, hat sich 2025 und 2026 erheblich ausgeweitet. Das Tempo dieser institutionellen Reaktionen hinkt jedoch dem Tempo der Angriffe hinterher, die sie zu fangen versuchen.
Fazit
Das Schwierigste an der Lazarus-Geschichte ist, dass sie die Krypto-Industrie zwingt, sich einer Wahrheit zu stellen, die nicht sauber in ihr Selbstverständnis passt. In der Mehrheit ihrer Geschichte hat sich Krypto als ein Kampf zwischen Innovatoren und veralteten Regulierungsbehörden, zwischen genehmigungsfreien Systemen und Torwächtern, zwischen Code und menschlicher Diskretion dargestellt. In dieser Darstellung kamen die Bedrohungen für die Branche von externem Druck: Regierungen, die versuchten, sie einzuschränken, Banken, die versuchten, mit ihr zu konkurrieren, Journalisten, die sie abschrieben. Die Realität von Lazarus ist anders. Die Bedrohung ist kein externer Druck. Die Bedrohung ist ein feindlicher staatlich geförderter Gegner, der die Ausbeutung der spezifischen strukturellen Merkmale von Krypto, das Fehlen von Vermittlerüberprüfungen, die Verbreitung von Multisig-Governance, die Geschwindigkeit der Cross-Chain-Abwicklung und die Schwierigkeit, gewaschene Gelder zurückzuerhalten, gegen die Branche selbst industrialisiert hat.
Dieser Gegner interessiert sich nicht für die ideologischen Verpflichtungen, die Krypto sich selbst auferlegt. Er interessiert sich dafür, Wert zu extrahieren, und die Designentscheidungen, die Krypto nützlich machen, sind dieselben Designentscheidungen, die es effizient machen, von ihm zu stehlen. Die Branche hat Jahre damit verbracht, darüber zu debattieren, ob sie mehr oder weniger wie das traditionelle Finanzsystem sein sollte. Das Lazarus-Problem legt nahe, dass die interessantere Frage sein könnte, wie man eine verteidigbare Version des Systems aufbaut, das Krypto tatsächlich geworden ist: komposierbar, schnell, cross-chain und jetzt, nachweislich, ein Ziel.
Die Zahlen aus April 2026 werden nicht die schlimmsten sein, die die Branche sieht. Das ist kein Pessimismus. Es ist die Trendlinie. Die gleichen Lazarus-Operationen, die sechs Monate Vorbereitung für Drift durchführten, haben mit ziemlicher Sicherheit parallel andere Operationen gegen andere Protokolle durchgeführt. Einige davon werden erfolgreich sein. Die Frage ist, ob die Branche bis zum nächsten Diebstahl von 300 Millionen Dollar die Arbeit geleistet hat, um die Operation teurer zu machen als die Auszahlung, oder ob der April 2026 eine Vorschau darauf ist, was passiert, wenn staatlich geförderte Gegner ein Zielumfeld finden, das dauerhaft falsch bewertet ist. Für jetzt ist die Antwort unklar. Was klar ist, ist, dass das Gespräch über „DeFi hat ein Sicherheitsproblem“ hinaus zu etwas Spezifischerem und viel Schwierigerem übergegangen ist. Ein Geheimdienstdienst eines Nationalstaates hat eine asymmetrische Angriffsfläche identifiziert und nutzt sie seit einem halben Jahrzehnt mit wachsender Raffinesse aus. Die Verteidigungen der Branche haben sich noch nicht an die Realität angepasst, dass dies das ist, was sie bekämpfen muss. Diese Lücke ist die Geschichte. Das nächste Jahr der Krypto-Sicherheit wird sich darum drehen, ob die Branche sie schließt oder ob die Lücke die Branche stattdessen schließt.
