Krypto-Diebstahl ist verbreitet, weil er einfach ist: Das System verzichtet konstruktionsbedingt auf institutionelle Sicherungen und überlässt es den einzelnen Teilnehmern, ihre Vermögenswerte selbst zu schützen – eine Aufgabe, der die meisten kaum gewachsen sind. Allein 2025 verloren US-Bürger nach Erkenntnissen des FBI in bekannten und gemeldeten Fällen mehr als 11 Milliarden Dollar durch kryptobezogenen Betrug, etwa durch Kriminelle in Südostasien.

Der größte Profiteur ist laut TRM Labs jedoch Nordkorea. Den Daten zufolge waren nordkoreanische Hacker in sechs der vergangenen neun Jahre für mindestens etwa ein Drittel aller finanziellen Verluste im Kryptobereich verantwortlich. In diesem Jahr arbeiten sie demnach so ertragreich wie nie zuvor.

Hintergrund ist eine Einsicht des Regimes von Kim Jong-un: Während die USA Nordkoreas Zugang zu den globalen Finanzmärkten beschränken können, wandeln zunehmend unerfahrene Händler Dollar, Euro und Pesos in unregulierte und unsichere Krypto-Netzwerke um. Anders als eine Bank, die eine Überweisung nach Nordkorea stoppen kann, sind Krypto-Projekte oft so aufgebaut, dass niemand einen Transfer aufhalten kann.

Nach TRM-Daten brach Nordkoreas Anteil 2020 stark ein, erreichte 2023 aber wieder das Niveau vor der Pandemie. Den jüngsten Anstieg führt TRM fast vollständig auf drei Vorfälle zurück: Im Februar 2025 stahl eine vom FBI als „TraderTraitor“ (auch Jade Sleet, UNC4899) verfolgte Gruppe Ethereum im Wert von 1,5 Milliarden Dollar von der Krypto-Börse ByBit. Anfang April dieses Jahres erbeutete Citrine Sleet (auch AppleJeus, Labyrinth Chollima, UNC4736) nach monatelangem Social Engineering knapp 300 Millionen Dollar von der Handelsplattform „Drift“. Keine drei Wochen später, am 18. April, griff TraderTraitor die Infrastruktur der DeFi-Plattform „Kelp“ an – ebenfalls für fast 300 Millionen Dollar.

„Nordkorea hat in 18 Tagen 575 Millionen Dollar gestohlen, weil die angegriffene Infrastruktur einzelne Vertrauenspunkte hatte, keine Herkunftsprüfung für Vermögenswerte zwischen Systemen und Governance-Strukturen, die nicht im Tempo des Angriffs reagieren konnten“, erklärt Bradley Smith, Senior Vice President und stellvertretender CISO bei BeyondTrust. DeFi-Protokolle verwalteten Werte in der Größenordnung von Nationalstaaten mit der Sicherheitsarchitektur eines Start-ups.

Auf die Frage, was sich geändert habe, verweist TRM nicht auf eine höhere Angriffsfrequenz, sondern auf KI. „Nordkoreanische Akteure waren schon immer fähige Social Engineers, aber KI beseitigt die Beschränkungen, die ihre Präzision bislang begrenzt haben – Sprachbarrieren, den Zeitaufwand für glaubwürdige Personas, die Schwierigkeit, Angriffe in großem Maßstab zu personalisieren“, sagt Ari Redbord, Vice President und globaler Leiter für Politik bei TRM Labs. Insgesamt habe man im vergangenen Jahr einen Anstieg KI-gestützter Betrugsfälle um 500 Prozent beobachtet.

Smith warnt, dass smarte Verträge und Governance-Strukturen schon gegen Angreifer in menschlichem Tempo nicht ausreichten; KI verkürze diesen Zeitrahmen weiter. Kritische Schwachstellen gelangten teils binnen Stunden vom Machbarkeitsnachweis zur Massenausnutzung. Krypto-Ökosysteme müssten daher eine automatisierte Vertrauensprüfung in Echtzeit direkt in die Transaktionsebene einbauen, da Governance-Abstimmungen und Multisig-Freigaben, die Stunden oder Tage dauern, einem KI-gestützten Angreifer nicht standhielten.