Die Beutezüge nordkoreanischer Hacker zeigen ein durchdachtes Muster. Im Februar 2025 entwendete die als “TraderTraitor” (auch Jade Sleet oder UNC4899) bekannte Advanced Persistent Threat (APT) 1,5 Milliarden Dollar an Ethereum von der Kryptobörse ByBit. Am 1. April folgte ein Anschlag der Citrine Sleet APT (AppleJeus, Labyrinth Chollima) auf die DeFi-Plattform “Drift”, die über einen mehrwöchigen Social-Engineering-Prozess etwa 300 Millionen Dollar kostete. Am 18. April schlug TraderTraitor erneut zu – diesmal gegen die “Kelp”-Infrastruktur, ebenfalls mit einer Beute von knapp 300 Millionen Dollar.
Die Besonderheit dieser Anschläge liegt nicht in ihrer Häufigkeit, sondern in ihrer Effektivität. Nordkorea führt nicht 76% aller Kryptowährungs-Cyberattacken durch, konzentriert sich aber auf gezielt ausgewählte, hochertragsträchtige Ziele. Dies funktioniert, weil DeFi-Protokolle strukturelle Schwachstellen aufweisen: Sie verwalten Vermögenswerte im Wert von Milliarden mit Sicherheitsarchitekturen, die eher für Start-ups dimensioniert sind.
Die Integration künstlicher Intelligenz verstärkt das Problem erheblich. Nach Angaben von Ari Redbord, Vizepräsident bei TRM Labs, haben sich KI-unterstützte Betrügungen im vergangenen Jahr um 500% erhöht. Sprachbarrieren, die früher Angreifer bremsten, spielen keine Rolle mehr. Überzeugend wirkende Personas lassen sich im großen Maßstab erstellen, und Large Language Models unterstützen beim Schreiben von Angriffscode.
Bradley Smith von BeyondTrust warnt vor einer kritischen Entwicklung: “Smart Contracts und Governance-Strukturen sind bereits unzureichend gegen menschlich schnelle Angreifer. KI komprimiert diese Zeitspanne weiter.” Während traditionelle Finanzinstitute ihre Übertragungen blockieren können, sind Kryptosysteme oft bewusst so gestaltet, dass Transaktionen nicht rückgängig gemacht werden können.
Seit 2017/2018 ist Nordkorea für etwa ein Drittel aller jährlichen Kryptowährungs-Diebstähle verantwortlich. 2020 sank diese Quote, erholte sich aber 2023 auf alte Niveaus. Mittlerweile ist die Bedrohung beispiellos: 2025 gingen zwei Drittel aller gestohlenen Kryptos nach Pjöngjang, 2026 ist es deutlich mehr.
Diese Gelder dienen letztlich einem nuklearen Rüstungsprogramm. Während der FBI und internationale Behörden reagieren, bleibt die strukturelle Vulnerabilität der DeFi-Ökosysteme bestehen – ein Problem, das sowohl technische als auch regulatorische Lösungen erfordert.