Entwicklung der Angriffsmuster in der Kryptoindustrie anhand von 20 Sicherheitsvorfällen

BroadChain BroadChain erfuhr, dass am 21. April um 19:00 Uhr im April 2026 Kelp DAO aufgrund eines Angreifers, der unbesicherte Token bei Aave ausnutzte, einen Verlust von 292 Millionen US-Dollar erlitt. Dies ist nur ein Beispiel in einer Reihe jüngster Sicherheitsvorfälle. Von Drift Protocol mit 285 Millionen US-Dollar über Step Finance mit etwa 30 Millionen US-Dollar bis hin zu Resolv Labs mit etwa 23 Millionen US-Dollar steht die Branche vor anhaltenden Sicherheitsherausforderungen. Durch die Analyse von 20 repräsentativen historischen Fällen lassen sich mehrere Schlüsseltrends beobachten: Technische Schwachstellen machen zwar die Mehrheit aus, verursachen jedoch relativ begrenzte Einzelverluste, während Berechtigungs- und Social-Engineering-Angriffe zwar seltener sind, aber den Großteil der Gesamtverluste ausmachen. Die Skala von Berechtigungsangriffen nimmt weiter zu, wobei die vier größten Verlustfälle alle mit nordkoreanischen Hackerorganisationen in Verbindung stehen. Gleichzeitig verlagert sich das Schlachtfeld technischer Schwachstellen, wobei Sicherheitsprobleme bei Cross-Chain-Bridges besonders hervorstechen. Unter den Top 10 Projekten mit den höchsten Verlusten erlitt Bybit im Februar 2025 durch Frontend-Hijacking und Multi-Signature-Betrug der nordkoreanischen Hackerorganisation Lazarus Group einen Verlust von 1,5 Milliarden US-Dollar; Ronin Network verlor im März 2022 durch einen Social-Engineering-Angriff 624 Millionen US-Dollar; Poly Network verlor im August 2021 aufgrund einer Berechtigungsschwachstelle in Cross-Chain-Verträgen 611 Millionen US-Dollar; Wormhole verlor im Februar 2022 aufgrund einer Signaturvalidierungsschwachstelle 326 Millionen US-Dollar; Drift Protocol verlor im April 2026 durch gezielte Infiltration und Pre-Signing-Betrug 285 Millionen US-Dollar; WazirX verlor im Juli 2024 durch schrittweise Kompromittierung eines Multi-Signature-Wallets 235 Millionen US-Dollar; Cetus verlor im Mai 2025 aufgrund eines Arithmetik-Überlauffehlers 223 Millionen US-Dollar; Gala Games verlor im Mai 2024 durch den Verlust privater Schlüssel hochprivilegierter Konten 216 Millionen US-Dollar; Mixin Network verlor im September 2023 durch den Verlust privater Schlüssel einer Cloud-Datenbank 200 Millionen US-Dollar; Euler Finance verlor im März 2023 durch einen Flashloan-Angriff aufgrund interner Berechnungslogikinkonsistenzen 197 Millionen US-Dollar. In jüngeren Fällen verlor Hyperbridge im April 2026 aufgrund eines Fehlers in der Proof-Verifizierungslogik etwa 2,5 Millionen US-Dollar, und Venus Protocol verlor im März 2026 etwa 3,7 bis 5 Millionen US-Dollar. Diese Vorfälle zeigen, dass sich Angriffsmuster von reinen Smart-Contract-Schwachstellen hin zu komplexeren kombinierten Angriffen auf Schwachstellen in der Mensch-Maschine-Interaktion und der Berechtigungsverwaltung verlagern.