Im April 2026 machten zwei Hacks im Wert von 577 Millionen Dollar<\/strong> 76 % aller Krypto-Diebst\u00e4hle<\/strong> in diesem Jahr aus. Beide Angriffe wurden von Nordkoreas Lazarus-Gruppe durchgef\u00fchrt und waren keine Smart-Contract-Exploits. Die Angreifer gaben sich \u00fcber einen Zeitraum von sechs Monaten als Handelsfirma aus, nahmen pers\u00f6nlich an Krypto-Konferenzen teil und bauten echte Beziehungen zu Ingenieuren des Drift-Protokolls auf, bevor sie die ben\u00f6tigten Signaturen extrahierten, um in nur zw\u00f6lf Minuten 285 Millionen Dollar<\/strong> abzuziehen. Der zweite Angriff entleerte 292 Millionen Dollar<\/strong> von einem einzigen verwundbaren Br\u00fccken-Knoten. Dies ist kein blo\u00dfes Krypto-Sicherheitsproblem mehr; es handelt sich um eine staatlich gef\u00f6rderte Geheimdienstoperation, die von einem Land betrieben wird, das die Erl\u00f6se zur Finanzierung seines Waffenprogramms nutzt. Die Branche beginnt erst jetzt, dies zuzugeben.<\/p>\n Um 16:06:09 UTC am 1. April 2026 entleerte ein Angreifer die Haupttresore des Drift-Protokolls, der gr\u00f6\u00dften dezentralen Perpetual-Futures-B\u00f6rse auf Solana, von etwa 285 Millionen Dollar<\/strong> an Benutzerverm\u00f6gen. Der erste Abzug bewegte 41,72 Millionen JLP-Token<\/strong>, der letzte 2.200 Wrapped ETH<\/strong>. Der gesamte Schatz wurde in nur zw\u00f6lf Minuten<\/strong> geleert, etwa so lange wie das Schreiben einer langen SMS. Die erste \u00f6ffentliche Erkl\u00e4rung des Teams, die innerhalb weniger Stunden auf X ver\u00f6ffentlicht wurde, bat die Community, zu best\u00e4tigen, dass die ungew\u00f6hnliche Aktivit\u00e4t, die sie beobachteten, kein Aprilscherz war. Das war es nicht. Es war der H\u00f6hepunkt von sechs Monaten methodischer Vorbereitung durch Operative, die f\u00fcr die nordkoreanische Regierung arbeiteten.<\/p>\n NEU:<\/strong> Drift Protocol k\u00fcndigte an, dass alle Wallets, die von dem Exploit am 1. April betroffen sind, Wiederherstellungstoken erhalten werden, die jeweils den verifizierten Verlust und den proportionalen Anspruch auf den Wiederherstellungspool repr\u00e4sentieren. Siebzehn Tage sp\u00e4ter, am 18. April, entleerten Angreifer 292 Millionen Dollar<\/strong> von KelpDAO, einem Restaking-Protokoll, indem sie eine Konfiguration mit einem einzelnen Verifier in seiner LayerZero-Br\u00fccke manipulierten. Die beiden Angriffe zusammen machten etwa 95 Prozent<\/strong> der 625 Millionen Dollar<\/strong> an Krypto-Diebstahl im April aus, was den April 2026 zum schlimmsten Monat f\u00fcr Krypto-Sicherheit in der aufgezeichneten Geschichte machte. Der Diebstahl bis zum April \u00fcberstieg 1 Milliarde Dollar<\/strong>. TRM Labs machte 76 Prozent<\/strong> des gesamten Betrags von 2026 auf zwei Angriffe verantwortlich. Beide waren das Werk desselben Bedrohungsakteurs.<\/p>\n NEU:<\/strong> KelpDAO bewegt $rsETH zu Chainlink CCIP und nennt die LayerZero-Infrastruktur als Quelle des DeFi-Exploits von \u00fcber 300 Millionen Dollar<\/strong> im April. Dieser Bedrohungsakteur ist die Lazarus-Gruppe, der \u00dcberbegriff, den westliche Geheimdienste f\u00fcr staatlich gef\u00f6rderte Hacking-Operationen verwenden, die vom General Bureau of Reconnaissance, Nordkoreas prim\u00e4rer Geheimdienstbeh\u00f6rde, geleitet werden. Seit 2017 hat Lazarus und seine Untereinheiten \u00fcber 6 Milliarden Dollar<\/strong> in Kryptow\u00e4hrung gestohlen. Laut Chainalysis wurden allein im Jahr 2025 2,06 Milliarden Dollar<\/strong> gestohlen, haupts\u00e4chlich angetrieben durch den katastrophalen Hack von Bybit im Februar dieses Jahres, dem gr\u00f6\u00dften Krypto-Diebstahl in der Geschichte. Das Tempo von 2026 l\u00e4sst die Gruppe auf Kurs sein, die Gesamtzahl von 2025 bequem zu \u00fcbertreffen.<\/p>\n Dies ist keine Krypto-Sicherheitsgeschichte im herk\u00f6mmlichen Sinne. Die Bedrohungen, denen DeFi-Protokolle heute gegen\u00fcberstehen, sind nicht die Bedrohungen, gegen die sie entworfen wurden, um sich zu verteidigen. Die Sorgen aus dem Jahr 2020 betrafen Bugs in Smart Contracts und Flashloan-Exploits, Schwachstellen im Code. Die Realit\u00e4t von 2026 sind nachhaltige, l\u00e4nder\u00fcbergreifende, monatelange Operationen, die von Geheimdienstprofis durchgef\u00fchrt werden, die keinen Code-Exploit ben\u00f6tigen, weil sie bereits die Schl\u00fcssel haben. Sie mussten nur jemanden \u00fcberzeugen, sie herauszugeben. Das war der Drift-Angriff. Und es zu verstehen, ist die wichtigste Sicherheitsbildung, die jeder Krypto-Inhaber, -Entwickler oder -Manager jetzt erhalten kann.<\/p>\n Der eigene Nachbericht des Drift-Protokolls, ver\u00f6ffentlicht Anfang April, liest sich mehr wie ein Geheimdienstbericht als eine Sicherheitsoffenlegung. Er beginnt im Oktober 2025. Auf einer gro\u00dfen Krypto-Konferenz trat eine Gruppe von Personen, die sich als Vertreter einer quantitativen Handelsfirma ausgaben, an Drift-Mitarbeiter heran. Sie hatten verifizierte berufliche Hintergr\u00fcnde, zeigten technische Sprachgewandtheit und stellten genau die Fragen, die eine echte institutionelle Handelsfirma \u00fcber die Integration mit einem Perpetual-Protokoll stellen w\u00fcrde. Drift-Mitarbeiter, die mit solchen Anfragen routinem\u00e4\u00dfig umgehen, behandelten sie wie jeden anderen potenziellen institutionellen Partner. Drift hat seitdem klargestellt, dass die Personen bei diesen pers\u00f6nlichen Treffen keine nordkoreanischen Staatsangeh\u00f6rigen waren. Lazarus-Operationen verwenden fast immer Dritte als Vermittler f\u00fcr den pers\u00f6nlichen Kontakt, w\u00e4hrend die tats\u00e4chlichen technischen Betreiber in Nordkorea oder China bleiben. Der Blockchain-Ermittler ZachXBT, der seit Jahren die Krypto-Operationen der DPRK verfolgt, hat festgestellt, dass diese geschichtete Identit\u00e4tsstruktur eines der bestimmenden Merkmale von Lazarus-Kampagnen ist.<\/p>\n Die Gruppe h\u00f6rte nach der ersten Konferenz nicht auf. \u00dcber sechs Monate hinweg traten dieselben Operativen oder Operative, die dieselben Identit\u00e4ten pr\u00e4sentierten, bei mehreren globalen Branchenveranstaltungen auf und vertieften die Beziehungen zu bestimmten Drift-Mitarbeitern. Eine Telegram-Gruppe wurde eingerichtet, um fortlaufende Diskussionen \u00fcber Handelsstrategien und Integrationsm\u00f6glichkeiten zu f\u00fchren. Von Dezember 2025 bis Januar 2026 \u201eonboardete\u201c die gef\u00e4lschte Handelsfirma einen \u00d6kosystem-Tresor mit Drift, indem sie Strategie-Details einreichte und \u00fcber 1 Million Dollar<\/strong> in das Protokoll als Partner einzahlte. Dies ist keine normale Betrugsoperation. Dies ist ein Geheimdienst, der eine HUMINT-Kampagne mit einem Budget f\u00fchrt.<\/p>\n Bis Februar und M\u00e4rz 2026 waren die Beziehungen so tief, dass die Mitarbeiter diesen Gegenparteien vertrauten, um Repositories und Anwendungen zu teilen. Laut Drift verwendeten die Angreifer zwei spezifische Malware-Vektoren. Einer beinhaltete das Teilen von Repositories, die Code enthielten, der, wenn er in VSCode oder Cursor (dem KI-unterst\u00fctzten Code-Editor) ge\u00f6ffnet wurde, eine stille Codeausf\u00fchrung durch eine damals nicht gepatchte Schwachstelle ausl\u00f6sen konnte. Der andere beinhaltete, dass ein Mitarbeiter ein Produkt herunterlud, das als Wallet-Produkt \u00fcber TestFlight, Apples Beta-Testplattform, verteilt wurde, was das Ger\u00e4t kompromittierte. Sobald die Angreifer Zugriff auf die richtigen Maschinen hatten, hatten sie Zugriff auf die richtigen Wallets. Und sobald sie die richtigen Wallets hatten, war der Rest der Operation Logistik.<\/p>\n Am 23. M\u00e4rz, mehr als eine Woche vor dem Diebstahl, richteten die Angreifer vier Wallets mit Solanas \u201edauerhaften Nonce\u201c-Funktion ein, die es erm\u00f6glicht, vorab signierte Transaktionen zu einem beliebigen zuk\u00fcnftigen Zeitpunkt auszuf\u00fchren. Zwei dieser Wallets geh\u00f6rten kompromittierten Mitgliedern des Sicherheitsrates von Drift, der Multisig-Signaturgruppe, die die sensibelsten Funktionen des Protokolls kontrollierte. Die anderen beiden standen unter direkter Kontrolle der Angreifer. Durch Social Engineering und die kompromittierten Ger\u00e4te erhielten die Angreifer die Multisig-Zustimmungen von zwei der f\u00fcnf Sicherheitsratsunterzeichner, die erforderlich waren, um die vorab signierten Transaktionen auszuf\u00fchren. Am 1. April, w\u00e4hrend das Drift-Team einen routinem\u00e4\u00dfigen Abzug aus dem Versicherungsfonds durchf\u00fchrte, f\u00fchrten die Angreifer zwei der vorab signierten Transaktionen vier Blockslots auseinander aus. Die Transaktionen erlangten die Admin-Kontrolle, f\u00fchrten einen synthetischen Verm\u00f6genswert namens CarbonVote Token (CVT) in den Spotmarkt ein, manipulierten seinen Preis durch Wash-Trading auf zwei dezentralen B\u00f6rsen, um den falschen Anschein eines legitimen Wertes zu erwecken, und erh\u00f6hten das USDC-Abhebungslimit des Protokolls auf 500 Billionen<\/strong>. CVT wurde dann als Sicherheit gegen den gesamten Schatz hinterlegt. Zw\u00f6lf Minuten sp\u00e4ter waren 285 Millionen Dollar<\/strong> verschwunden.<\/p>\n Die Angreifer tauschten die gestohlenen Verm\u00f6genswerte \u00fcber Jupiter, Solanas gr\u00f6\u00dften DEX-Aggregator, in USDC um und bridgten etwa 129.000 ETH<\/strong> im Wert von 270 Millionen Dollar<\/strong> zu Ethereum \u00fcber Circles CCTP-Protokoll. Sie hielten die gestohlenen USDC mehrere Stunden, bevor sie die Br\u00fccke abschlossen. Circle fror die Gelder w\u00e4hrend dieses Zeitraums nicht ein. Der Sicherheitsforscher Specter stellte zu diesem Zeitpunkt fest, dass die Angreifer absichtlich vermieden hatten, in Tether umzuwandeln, was auf Vertrauen hindeutete, dass Circle, insbesondere, nicht intervenieren w\u00fcrde. Sie hatten recht.<\/p>\n Die Versuchung, den Drift-Nachbericht zu lesen, besteht darin, ihn als au\u00dfergew\u00f6hnlichen Einzelfall zu behandeln. Eine sechsmonatige Operation. Mehrere kompromittierte Ger\u00e4te. Vorab signierte Transaktionen. Wash-traded gef\u00e4lschte Sicherheiten. Es liest sich wie ein Hollywood-Drehbuch. Aber wenn man einen Schritt zur\u00fccktritt, sind die architektonischen Fingerabdr\u00fccke jedes gro\u00dfen Lazarus-DeFi-Angriffs der letzten drei Jahre identisch. Ein kompromittierter menschlicher Unterzeichner. Eine geschw\u00e4chte Multisig-Konfiguration. Ein verz\u00f6gerter oder fehlender Timelock. Eine b\u00f6sartige Nutzlast, die sich als routinem\u00e4\u00dfige Operation tarnt. Der Bybit-Hack im Februar 2025, der Diebstahl von 1,5 Milliarden Dollar<\/strong>, der jetzt vom FBI einem Lazarus-Subcluster namens TraderTraitor zugeschrieben wird, verwendete denselben Ansatz. Die Unterzeichner von Bybit glaubten, sie genehmigten routinem\u00e4\u00dfige Cold-Wallet-Operationen \u00fcber die Multisig-Infrastruktur von Safe. Das taten sie nicht. Die Safe-Infrastruktur war durch einen Entwicklerangriff kompromittiert worden, und die Transaktion, die sie unterzeichneten, \u00fcbertrug die Kontrolle \u00fcber den Wallet-Vertrag selbst. Gehen Sie weiter zur\u00fcck, und das Muster bleibt bestehen. Der Hack der Ronin Bridge im Jahr 2022, bei dem 625 Millionen Dollar<\/strong> von Axie Infinitys Br\u00fccke verloren gingen, begann mit gef\u00e4lschten LinkedIn-Jobangeboten, die einen Entwickler anvisierten. Eine b\u00f6sartige \u201eInterview-Herausforderung\u201c lud Malware herunter. Die Malware kompromittierte Validator-Knoten. Die Angreifer erhielten die f\u00fcnf Validator-Signaturen, die sie ben\u00f6tigten, und entleerten die Br\u00fccke. Der DMM Bitcoin-Hack von 2024, ein Verlust von 300 Millionen Dollar<\/strong>, begann auf die gleiche Weise: ein gef\u00e4lschter Recruiter, der einen Ingenieur bei Ginco, dem Wallet-Anbieter, den DMM ben\u00f6tigte, kontaktierte. Der CoinsPaid-Angriff von 2023, dasselbe Spielbuch erneut.<\/p>\n Das gleiche Spielbuch funktioniert weiterhin, weil die Angriffsfl\u00e4che, das menschliche Vertrauen, nicht so geh\u00e4rtet wurde wie Smart Contracts. Diese Wiederholung ist das Wichtigste, was man \u00fcber das Lazarus-Problem verstehen muss. Die Pr\u00fcfung von Smart Contracts ist zu einer routinem\u00e4\u00dfigen Disziplin in DeFi geworden. Jedes ernsthafte Protokoll wird gepr\u00fcft, oft von mehreren Firmen. Bug-Bounty-Programme sind weit verbreitet. Nichts davon f\u00e4ngt eine sechsmonatige Social-Engineering-Operation ab, die auf die menschlichen Unterzeichner abzielt. Die Asymmetrie zwischen der Reife der Codesicherheit und der Reife der operationellen Sicherheit ist die L\u00fccke, die Lazarus in den letzten f\u00fcnf Jahren industrialisiert hat.<\/p>\n Die Evolution von 2026 f\u00fcgt zwei neue Facetten hinzu. Eine ist die Verwendung von KI-unterst\u00fctzten Codierungswerkzeugen als Angriffsvektor. VSCode und Cursor haben es Entwicklern dramatisch erleichtert, Code aus externen Quellen zu \u00f6ffnen und auszuf\u00fchren. Diese Bequemlichkeit hat auch die Angriffsfl\u00e4che erweitert. Der Drift-Angriff nutzte eine spezifische Schwachstelle aus, bei der das \u00d6ffnen eines Repositories in einer Entwicklungsumgebung eine stille Codeausf\u00fchrung ausl\u00f6sen konnte. Dies war kein Fehler, der einzigartig f\u00fcr Drift war. Es war eine Klasse von Schwachstellen, die unter jedem Entwickler in der Branche sitzt, der diese Tools verwendet, was die meisten von ihnen sind.<\/p>\n Die zweite Facette ist die KI selbst. Cybersicherheitsforscher, die in diesem Fr\u00fchjahr vor US-Haussubkomiteen aussagten, haben festgestellt, dass DPRK-Operative jetzt KI-Tools verwenden, um \u00fcberzeugendere gef\u00e4lschte Personas zu erstellen, plausiblere Kommunikationen zu entwerfen und die Fr\u00fchphase der Aufkl\u00e4rung von Zielen zu beschleunigen. Die gleichen Produktivit\u00e4tswerkzeuge, die legitime Unternehmen transformieren, transformieren auch die Angreifer.<\/p>\n Es ist wichtig, pr\u00e4zise zu sein, wo die gestohlenen Gelder enden, denn hier wird das Unbehagen der Krypto-Industrie mit der Geschichte am deutlichsten. Das UN-Expertengremium zu Nordkorea hat gesch\u00e4tzt, dass die Gelder aus Krypto-Diebst\u00e4hlen einen wesentlichen Teil des DPRK-Budgets f\u00fcr die Entwicklung von Raketen und Atomwaffen finanzieren. Diese Sch\u00e4tzung spiegelt sich jetzt in formalen Bewertungen des US-Finanzministeriums und der s\u00fcdkoreanischen Geheimdienste wider. Der kumulierte Krypto-Diebstahl Nordkoreas, der seit 2017 \u00fcber 6 Milliarden Dollar<\/strong> betr\u00e4gt, macht die Aktivit\u00e4t zu einer der gr\u00f6\u00dften Quellen f\u00fcr Devisen des Regimes, neben Kohleexporten nach China und dem Einsatz von IT-Arbeitern im Ausland.<\/p>\n Die Mechanik, um von \u201egestohlenem ETH\u201c zu \u201eWaffenbeschaffung\u201c zu gelangen, ist gut dokumentiert. Nach dem urspr\u00fcnglichen Diebstahl werden die Gelder typischerweise in Bitcoin oder Stablecoins umgetauscht und dann \u00fcber Cross-Chain-Br\u00fccken geleitet, um die Spur zu verwischen. THORChain, das Cross-Chain-Swap-Protokoll, ist zu einem bevorzugten Weg geworden, genau weil seine Betreiber \u00f6ffentlich abgelehnt haben, Transaktionen einzufrieren oder zu \u00fcberpr\u00fcfen und jede solche Intervention als gegen die Dezentralisierungsprinzipien des Protokolls zu betrachten. THORChain verarbeitete das gr\u00f6\u00dfte Volumen an Geldw\u00e4sche sowohl aus den Bybit- als auch aus den KelpDAO-Heists. Von dort aus bewegen sich die Gelder durch russische Krypto-B\u00f6rsen und chinesische OTC-Schalter, bevor sie in Fiat umgewandelt und in Beschaffungsnetzwerke geleitet werden, die Komponenten und Materialien kaufen, die durch internationale Vereinbarungen sanktioniert sind.<\/p>\n NEU:<\/strong> Der KelpDAO-Hacker bewegt alle 75.701 ETH<\/strong> im Wert von 175 Millionen Dollar<\/strong> in BTC \u00fcber THORChain und zus\u00e4tzliche Routen. Die Rolle der Krypto-Industrie in dieser Pipeline ist unangenehm, aber unvermeidlich. Jeder Protokoll-Exploit von Lazarus ist in der Tat eine Kapital\u00fcbertragung von Krypto-Nutzern zur Waffenentwicklung eines Staates, der mit nuklearen Angriffen gegen seine Nachbarn gedroht hat. Jede ungesch\u00fctzte Multisig ist ein Beitrag zu dieser Pipeline. Jeder Entwickler, der ohne \u00dcberpr\u00fcfung auf eine \u201ePortfolio-Unternehmensinterview\u201c-Kalendereinladung klickt, wird in einem realen Sinne zu einem Posten im DPRK-Raketenbudget. Dies ist ein harter Satz f\u00fcr eine Branche, die auf genehmigungsfreiem Zugang und Dezentralisierung basiert.<\/p>\n Der Instinkt in Krypto, der bis zu seinen Urspr\u00fcngen zur\u00fcckreicht, war es, Code als den Ort des Vertrauens zu behandeln und Vermittler\u00fcberpr\u00fcfungen, Adressblocklisten und zentrale Interventionen zu misstrauen. Dieser Instinkt hat der Branche in vielen Kontexten gut gedient. Hier dient er ihr schlecht. THORChains Weigerung, Transaktionen zu \u00fcberpr\u00fcfen, steht im Einklang mit seinen erkl\u00e4rten Prinzipien, und genau deshalb nutzt Nordkorea THORChain. Beides ist wahr.<\/p>\n Der KelpDAO-Angriff am 18. April ist strukturell in einem wichtigen Punkt von Drift verschieden: Er produzierte etwas, wor\u00fcber die Krypto-Industrie seit Jahren spricht, aber nie tats\u00e4chlich im gro\u00dfen Ma\u00dfstab erlebt hat. Einen DeFi-Bankrun. Innerhalb von Stunden nach dem Abzug der KelpDAO-Br\u00fccke wurde der gestohlene rsETH (KelpDAOs Restaking-Receipt-Token) als Sicherheit auf Aave und anderen Kreditplattformen hinterlegt, w\u00e4hrend die zugrunde liegenden KelpDAO-Vertr\u00e4ge pausiert wurden und der wahre Wert des Tokens zusammenbrach. Aave-Nutzer, die ETH gegen rsETH-Sicherheiten geliehen hatten, fanden pl\u00f6tzlich ihre Kredite durch wertlose Verm\u00f6genswerte gedeckt. Innerhalb von 48 Stunden verlie\u00dfen mehr als 8,4 Milliarden Dollar<\/strong> an Einlagen Aave. Der gesamte DeFi-TVL im \u00d6kosystem fiel im selben Zeitraum um \u00fcber 13 Milliarden Dollar<\/strong>, da die Nutzer zuerst abzogen und sp\u00e4ter Fragen stellten.<\/p>\n Dies war keine Panik. Es war ein klassischer, lehrbuchm\u00e4\u00dfiger Bankrun, die Art von Bankrun, f\u00fcr die Bankenregulierungsbeh\u00f6rden Einlagensicherungen und Kreditgeber-der-letzten-Hilfe-Einrichtungen speziell entwerfen, um sie in der traditionellen Finanzwelt zu verhindern. DeFi hat beides nicht. Die Tatsache, dass die Smart Contracts von Aave weiterhin funktionierten, dass Abhebungen weiterhin bearbeitet wurden und dass das System zusammenhielt, ist wirklich bemerkenswert und gr\u00f6\u00dftenteils ein Verdienst des Designs des Protokolls. Aber das Ergebnis war viel n\u00e4her an einem kaskadierenden Liquidationsereignis, als die meisten Berichterstattungen anerkannten.<\/p>\n Die Implikation ist strukturell. W\u00e4hrend DeFi gereift ist, hat es Komponierbarkeit aufgebaut, die Eigenschaft, dass jeder Token als Sicherheit f\u00fcr jedes andere Produkt dienen kann. Diese Komponierbarkeit ist es, die DeFi n\u00fctzlich macht, und sie ist auch der Grund, warum ein einzelner kompromittierter Verm\u00f6genswert in der Lage ist, Verluste innerhalb von Stunden \u00fcber mehrere Protokolle hinweg zu propagieren. Aaves Sicherheitsmodul war unzureichend, um die letztendlichen schlechten Schulden aus rsETH-gest\u00fctzten Krediten zu absorbieren. Sch\u00e4tzungen deuten darauf hin, dass nach der Ersch\u00f6pfung des Versicherungsfonds noch 100 bis 120 Millionen Dollar<\/strong> an Verlusten verblieben sind, und Aaves Governance diskutiert jetzt offen, wer f\u00fcr das \u00fcbrig Gebliebene zahlt. Der Vorschlag, der in Betracht gezogen wird, w\u00fcrde die Verluste gleichm\u00e4\u00dfig unter den Kreditgebern aufteilen, die die betroffenen Positionen hielten. Dies ist, in einfachen Worten, ein Einleger-Bail-in-Ereignis f\u00fcr eines der gr\u00f6\u00dften Kreditprotokolle in DeFi.<\/p>\n Es ist eine Art Risiko, das in der Version von Krypto vor der Komponierbarkeit nicht bedeutend existierte. Es existiert jetzt, und Lazarus hat gerade demonstriert, wie man es ausl\u00f6st. Ein St\u00fcck, das nur das Problem beschreiben w\u00fcrde, w\u00e4re deprimierend. Die schwierigere Frage ist, was sich tats\u00e4chlich \u00e4ndern m\u00fcsste, damit das Lazarus-Problem handhabbar wird. Drei Dinge, in der Reihenfolge, wie schwierig sie umzusetzen sind.<\/p>\n Das Schwierigste an der Lazarus-Geschichte ist, dass sie die Krypto-Industrie zwingt, sich einer Wahrheit zu stellen, die nicht sauber in ihr Selbstverst\u00e4ndnis passt. In der Mehrheit ihrer Geschichte hat sich Krypto als ein Kampf zwischen Innovatoren und veralteten Regulierungsbeh\u00f6rden, zwischen genehmigungsfreien Systemen und Torw\u00e4chtern, zwischen Code und menschlicher Diskretion dargestellt. In dieser Darstellung kamen die Bedrohungen f\u00fcr die Branche von externem Druck: Regierungen, die versuchten, sie einzuschr\u00e4nken, Banken, die versuchten, mit ihr zu konkurrieren, Journalisten, die sie abschrieben. Die Realit\u00e4t von Lazarus ist anders. Die Bedrohung ist kein externer Druck. Die Bedrohung ist ein feindlicher staatlich gef\u00f6rderter Gegner, der die Ausbeutung der spezifischen strukturellen Merkmale von Krypto, das Fehlen von Vermittler\u00fcberpr\u00fcfungen, die Verbreitung von Multisig-Governance, die Geschwindigkeit der Cross-Chain-Abwicklung und die Schwierigkeit, gewaschene Gelder zur\u00fcckzuerhalten, gegen die Branche selbst industrialisiert hat.<\/p>\n Dieser Gegner interessiert sich nicht f\u00fcr die ideologischen Verpflichtungen, die Krypto sich selbst auferlegt. Er interessiert sich daf\u00fcr, Wert zu extrahieren, und die Designentscheidungen, die Krypto n\u00fctzlich machen, sind dieselben Designentscheidungen, die es effizient machen, von ihm zu stehlen. Die Branche hat Jahre damit verbracht, dar\u00fcber zu debattieren, ob sie mehr oder weniger wie das traditionelle Finanzsystem sein sollte. Das Lazarus-Problem legt nahe, dass die interessantere Frage sein k\u00f6nnte, wie man eine verteidigbare Version des Systems aufbaut, das Krypto tats\u00e4chlich geworden ist: komposierbar, schnell, cross-chain und jetzt, nachweislich, ein Ziel.<\/p>\n Die Zahlen aus April 2026 werden nicht die schlimmsten sein, die die Branche sieht. Das ist kein Pessimismus. Es ist die Trendlinie. Die gleichen Lazarus-Operationen, die sechs Monate Vorbereitung f\u00fcr Drift durchf\u00fchrten, haben mit ziemlicher Sicherheit parallel andere Operationen gegen andere Protokolle durchgef\u00fchrt. Einige davon werden erfolgreich sein. Die Frage ist, ob die Branche bis zum n\u00e4chsten Diebstahl von 300 Millionen Dollar<\/strong> die Arbeit geleistet hat, um die Operation teurer zu machen als die Auszahlung, oder ob der April 2026 eine Vorschau darauf ist, was passiert, wenn staatlich gef\u00f6rderte Gegner ein Zielumfeld finden, das dauerhaft falsch bewertet ist. F\u00fcr jetzt ist die Antwort unklar. Was klar ist, ist, dass das Gespr\u00e4ch \u00fcber \u201eDeFi hat ein Sicherheitsproblem\u201c hinaus zu etwas Spezifischerem und viel Schwierigerem \u00fcbergegangen ist. Ein Geheimdienstdienst eines Nationalstaates hat eine asymmetrische Angriffsfl\u00e4che identifiziert und nutzt sie seit einem halben Jahrzehnt mit wachsender Raffinesse aus. Die Verteidigungen der Branche haben sich noch nicht an die Realit\u00e4t angepasst, dass dies das ist, was sie bek\u00e4mpfen muss. Diese L\u00fccke ist die Geschichte. Das n\u00e4chste Jahr der Krypto-Sicherheit wird sich darum drehen, ob die Branche sie schlie\u00dft oder ob die L\u00fccke die Branche stattdessen schlie\u00dft.<\/p>\n","protected":false},"excerpt":{"rendered":" Krypto-Diebst\u00e4hle im April 2026 Im April 2026 machten zwei Hacks im Wert von 577 Millionen Dollar 76 % aller Krypto-Diebst\u00e4hle in diesem Jahr aus. Beide Angriffe wurden von Nordkoreas Lazarus-Gruppe durchgef\u00fchrt und waren keine Smart-Contract-Exploits. Die Angreifer gaben sich \u00fcber einen Zeitraum von sechs Monaten als Handelsfirma aus, nahmen pers\u00f6nlich an Krypto-Konferenzen teil und bauten echte Beziehungen zu Ingenieuren des Drift-Protokolls auf, bevor sie die ben\u00f6tigten Signaturen extrahierten, um in nur zw\u00f6lf Minuten 285 Millionen Dollar abzuziehen. Der zweite Angriff entleerte 292 Millionen Dollar von einem einzigen verwundbaren Br\u00fccken-Knoten. Dies ist kein blo\u00dfes Krypto-Sicherheitsproblem mehr; es handelt sich um eine<\/p>\n","protected":false},"author":3,"featured_media":15726,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[62,169,9996,65,9970,10077,1516,71,72,115],"class_list":["post-15727","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-bybit","tag-chainlink","tag-drift-protocol","tag-hack","tag-jlp","tag-kelpdao","tag-layerzero","tag-lazarus","tag-north-korea","tag-solana"],"yoast_description":"Im April 2026 f\u00fchrte Nordkoreas Lazarus-Gruppe zwei gro\u00dfe Krypto-Angriffe durch, bei denen 577 Millionen Dollar gestohlen wurden und schwerwiegende Sicherheitsanf\u00e4lligkeiten in DeFi aufgedeckt wurden.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/15727","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=15727"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/15727\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/15726"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=15727"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=15727"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=15727"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Der Drift-Angriff<\/h2>\n
Die Lazarus-Gruppe<\/h2>\n
Die Bedrohung durch Social Engineering<\/h2>\n
Die Vorgehensweise der Angreifer<\/h2>\n
Technische Angriffe und ihre Folgen<\/h2>\n
Die Geldw\u00e4sche und ihre Implikationen<\/h2>\n
Die menschliche Angriffsfl\u00e4che<\/h2>\n
Neue Facetten der Bedrohung<\/h2>\n
Finanzierung von Waffenprogrammen<\/h2>\n
Die Herausforderungen der Krypto-Industrie<\/h2>\n
Strukturelle Implikationen und L\u00f6sungen<\/h2>\n
Empfohlene Ma\u00dfnahmen<\/h2>\n
\n
Fazit<\/h2>\n