1,5 Milliarden Dollar. Weg in einem Nachmittag. Das war Bybit, Februar 2025. Nordkoreas Lazarus-Gruppe knackte nicht die Kryptographie von Ethereum. Sie zielten auf die Menschen ab – injizierten bösartiges JavaScript in die Wallet-Schnittstelle, übernahmen ein AWS-Sitzungstoken, umgingen die Multi-Faktor-Authentifizierung und machten sich mit 401.347 ETH davon. Das FBI bestätigte die Zuordnung innerhalb von Wochen.
Das Bemerkenswerte daran: Es war mehr Geld als alle DeFi-Exploits in 2025 zusammen. Ein operativer Fehler bei einer Börse, und 1,5 Milliarden Dollar waren weg. Chainalysis zählte 3,4 Milliarden Dollar Blockchain-Diebstahl für 2025, ein Anstieg von 55% gegenüber 2,2 Milliarden Dollar im Jahr davor. Die Blockchain selbst funktionierte einwandfrei. Die Menschen, die Dinge darauf betrieben, waren es nicht.
Wie Blockchain Ihre Transaktionen sicher macht#
Eine Blockchain ist ein verteiltes Ledger – eine Datenbank, die auf Tausenden von Computern weltweit kopiert wird. Wenn Sie Bitcoin senden oder mit einem Smart Contract auf Ethereum interagieren, wird die Transaktion vom Netzwerk überprüft, bevor sie dauerhaft wird. Drei Dinge machen diesen Prozess schwer zu manipulieren.
Kryptographisches Hashing verbindet jeden Block mit dem vorherigen. Jeder Block enthält einen Hash – einen mathematischen Fingerabdruck – der Daten des vorherigen Blocks. Um eine Transaktion zu ändern, müssten Sie jeden Hash danach neu berechnen. Bei Bitcoin mit Millionen von Minern, die SHA-256-Berechnungen durchführen, benötigt dies mehr Rechenleistung als die meisten Länder haben.
Dezentralisierung verteilt das Ledger auf Tausende von Knoten. Eine traditionelle Bankendatenbank befindet sich auf Servern an einem Ort. Diese Server hacken und Sie besitzen die Daten. Ein Blockchain-Netzwerk hat keinen zentralen Ausfallpunkt. Das Ledger existiert überall gleichzeitig. Um es zu kompromittieren, müssten Sie die Mehrheit dieser Knoten gleichzeitig angreifen, über verschiedene Länder, Netzwerke und Betreiber hinweg.
Konsensmechanismen zwingen das Netzwerk, sich zu einigen, bevor etwas aufgezeichnet wird. Bitcoin-Miner verbrennen Elektrizität beim Lösen kryptographischer Rätsel, um das Recht zu verdienen, Transaktionen zu validieren. Ethereum-Validatoren setzen ihr eigenes ETH als Sicherheit ein – wenn sie eine betrügerische Transaktion genehmigen, verlieren sie ihren Einsatz. Bei beiden ist Betrug teuer. Bitcoin anzugreifen würde Milliarden in Hardware und Elektrizität kosten. Ethereum anzugreifen würde bedeuten, Milliarden in ETH zu kaufen und zu riskieren.
Diese drei Schichten zusammen sind der Grund, warum niemand jemals die Bitcoin- oder Ethereum-Blockchain selbst gehackt hat. Die Infrastruktur, die Menschen darauf aufbauen, ist eine andere Geschichte.
Verschiedene Blockchains haben unterschiedliche Sicherheitskompromisse#
Die Leute sagen „Blockchain", als wäre es eine einzelne Sache. Das ist falsch. Es gibt verschiedene Arten mit sehr unterschiedlichen Sicherheitsannahmen.
| Typ | Wer tritt bei | Wer validiert | Sicherheit hängt ab von | Verwendet von |
|---|---|---|---|---|
| Öffentlich | Jeder | Alle Knoten | Wirtschaftliche Angriffskosten | Bitcoin, Ethereum |
| Privat | Nur eingeladen | Ausgewählte Knoten | Zugriffskontrollen, Vertrauen | Hyperledger Fabric |
| Genehmigt | Genehmigte Mitglieder | Bestimmte Validatoren | Governance + Identität | Ripple, Corda |
| Hybrid | Sowohl öffentlich als auch privat | Variiert | Kombinierter Ansatz | Dragonchain |
Öffentliche Blockchains haben Tausende von Validatoren, die sich gegenseitig kontrollieren. Um Bitcoin anzugreifen, müssten Sie mehr ausgeben als die gesamte Bergbauindustrie zusammen. Das hat niemand getan. Der Nachteil ist, dass all diese verteilte Validierung langsam ist.
JPMorgan betreibt eine private Blockchain, weil sie kontrollieren müssen, wer teilnimmt. Das ergibt für eine Bank Sinn. Eine Enterprise-Blockchain mit 20 Validatoren ist aber völlig anders als eine mit 20.000. Knacken Sie eine Handvoll Knoten und Sie besitzen das Netzwerk. Das ist der Preis für eine private Lösung.
Hybrid-Blockchains versuchen, von beiden zu profitieren. In der Praxis haben sie die Angriffsfläche von beiden.
Die größten Blockchain-Anschläge und was wirklich schief gelaufen ist#
Schauen Sie sich die Zahlen an und Sie werden etwas bemerken. Fast keine davon waren Anschläge auf das Blockchain-Protokoll selbst. Es waren Betriebsfehler. Jemand hat ein Passwort wiederverwendet. Jemand hat einen privaten Schlüssel auf einem Server hinterlassen. Jemand hat einen Smart Contract bereitgestellt, ohne ihn zu prüfen.
| Anschlag | Betrag | Jahr | Grundursache |
|---|---|---|---|
| Bybit | $1,5B | 2025 | Bösartiges JS in Wallet-UI, gehackte AWS-Token |
| DMM Bitcoin | $305M | 2024 | Privater Schlüssel der japanischen Börse kompromittiert |
| PlayDapp | $290M | 2024 | Schwachstelle im privaten Schlüssel, Gaming-Plattform |
| WazirX | $230M | 2024 | Multi-Sig-Wallet-Exploit über Custody-Interface |
| Cetus DEX | $223M | 2025 | Übersehene Überlauffprüfung im Exchange-Code |
| Balancer | $128M | 2025 | Rundungsrichtungsfehler |
| Orbit Chain | $80M | 2024 | Cross-Chain-Bridge geleert |
Wallet-Kompromittierungen und Diebstahl privater Schlüssel waren für 69% aller gestohlenen Vermögenswerte in der ersten Hälfte von 2025 verantwortlich. Kompromittierte Mitarbeiterkonten verursachten 2024 mehr als die Hälfte aller Vorfälle. Niemand hat Verschlüsselung geknackt. Menschen klickten auf den falschen Link, verwendeten Passwörter erneut oder hinterließen Schlüssel dort, wo sie nicht sein sollten. Vermeidbare Fehler, jeder hunderte Millionen wert.
Häufige Blockchain-Schwachstellen, die Sie kennen sollten#
Nach fünfzehn Jahren hat niemand das Kern-Blockchain-Ledger geknackt. Was immer wieder geknackt wird, ist alles drum herum.
Smart Contracts sind das größte Problem. Das sind Code-Stücke, die automatisch auf der Kette ausgeführt werden. Einmal bereitgestellt, können Sie sie nicht patchen wie ein reguläres Update. Ein Bug und jeder auf der Welt kann ihn ausnutzen. The DAO erfuhr das 2016, als ein Reentrancy-Bug 60 Millionen Dollar kostete. Neun Jahre später ist das Problem noch da. Von allen Diebstählen 2024 kamen 8,5% von Smart-Contract-Bugs. Eine Analyse der Top-100-DeFi-Hacks zeigte: fehlerhafte Eingabeüberprüfung war in gut einem Drittel der Fälle das Problem.
| Schwachstelle | Was passiert | Ausmaß des Schadens |
|---|---|---|
| 51%-Anschlag | Eine Entität übernimmt die Mehrheitskontrolle der Netzwerk-Validierung | Ethereum Classic wurde 2020 mehrfach getroffen |
| Sybil-Anschlag | Gefälschte Knoten überschwemmen das Netzwerk, um den Konsens zu stören | Häufig bei kleineren Blockchains mit wenigen Validatoren |
| Phishing | Benutzer werden dazu verleitet, bösartige Transaktionen zu signieren oder Schlüssel preiszugeben | $410M verloren in H1 2025 über 132 Vorfälle |
| Flash-Loan-Exploit | Geliehene Mittel manipulieren Token-Preise innerhalb einer einzelnen Transaktion | Euler Finance — $197M, der größte bekannte Fall |
| Bridge-Hack | Cross-Chain-Bridge-Schwachstellen ermöglichen das Prägen von ungestützten Token | Verluste sanken von $338M (2023) auf $114M (2024) |
| Rug Pull | Entwickler promoten einen Token und leeren dann alle Liquidität | 1,9% der Gesamtverluste im Jahr 2024 |
Eine Statistik aus der Halborn-Analyse fällt immer wieder auf. Von den Protokollen, die bei großen DeFi-Vorfällen gehackt wurden, hatten nur 19% Multi-Signature-Wallets. 2,4% nutzten Cold Storage. Eine mittelgroße Bank würde von Regulierungsbehörden geschlossen werden, wenn sie so arbeitet. In Krypto haben die meisten Projekte ohne eines davon gestartet und gehofft, dass nichts passiert.
Best Practices für Blockchain-Sicherheit, die Hacks tatsächlich verhindern#
Was unterscheidet also die Projekte, die überleben, von denen, die auf der Liste der „größten Hacks" auftauchen? Ein paar praktische Dinge.
Smart-Contract-Audits sind der erste Schritt. Du zahlst eine unabhängige Sicherheitsfirma, um deinen Code vor dem Launch zu prüfen. Sie suchen nach Reentrancy-Bugs, Overflow-Fehlern, Zugriffskontroll-Lücken – die Fehler, die zu Schlagzeilen über 200 Millionen Dollar führen. Ja, das kostet Geld.
| Projekttyp | Audit-Kosten |
|---|---|
| Basis-Token oder NFT | $5.000 - $15.000 |
| Staking- oder Governance-Protokoll | $15.000 - $40.000 |
| Vollständiges DeFi-Protokoll (DEX, Kreditvergabe) | $40.000 - $100.000 |
| Enterprise-Multi-Chain-System | $100.000 - $200.000+ |
CertiK, Hacken, OpenZeppelin, Trail of Bits – diese Firmen führen diese Audits durch. Geprüfte Verträge wurden trotzdem noch ausgenutzt. Aber nicht geprüfte Verträge scheitern viel häufiger.
Multi-Sig-Wallets sollten Standard für alles sein, das echtes Geld hält. Zwei oder drei Schlüssel, die zum Signieren erforderlich sind, bedeuten, dass ein kompromittierter Schlüssel dein Geld nicht stiehlt. Bybit nutzte Multi-Sig und wurde trotzdem gehackt, weil die Angreifer die Signing-Schnittstelle, nicht die Schlüssel, angriffen. Multi-Sig ist also eine Schutzschicht, nicht die komplette Lösung.
Cold Storage ist die beste Option für Gelder, die du gerade nicht nutzt. Eine Wallet, die nie mit dem Internet verbunden war, kann nicht über das Internet gehackt werden. Jede Börse, die 2024 und 2025 unbeschadet überstand, hielt die meisten Kundengelder offline.
Echtzeit-Monitoring ist wo es interessant wird. Venus Protocol erkannte verdächtige Smart-Contract-Aufrufe 18 Stunden vor einem geplanten Angriff. Sie stoppten alles. Retteten jeden Dollar. Der Angreifer verlor nur Gebühren. Chainalysis Hexagate, Forta Network, OpenZeppelin Defender – diese Tools überwachen Blockchain-Aktivitäten rund um die Uhr und fangen Muster auf, die Menschen übersehen.
Dann gibt es die Basics, die immer noch zählen: Hardware Security Module für private Schlüssel, rollenbasierter Zugriff (niemand allein autorisiert eine große Überweisung), regelmäßiger Austausch von Anmeldedaten, ein schriftlicher Incident-Response-Plan für den Fall der Fälle.
DeFi wird sicherer, CeFi nicht#
Die DeFi-vs-CeFi-Zahlen für 2024 überraschen mich.
| 2024 Verluste | Vorfälle | Jahresvergleich | |
|---|---|---|---|
| DeFi | $769M | 221 | Rückgang um 44,8% |
| CeFi | $726M | 11 | Anstieg um 77,5% |
CeFi hatte elf Vorfälle. Elf. Und verlor fast so viel wie DeFi, nur verteilt auf 221 Vorfälle. Ein Nachmittag bei einer zentralisierten Börse schadet mehr als Monate von DeFi-Exploits zusammen.
DeFi räumt tatsächlich auf. Bridge-Verluste sind gesunken. Mehr Projekte prüfen, bevor sie starten. Bug-Bounty-Programme zahlen White-Hat-Hacker dafür, Probleme zuerst zu finden – und das funktioniert.
CeFi wird schlechter. Börsen halten riesige Krypto-Mengen von Kunden auf einer Handvoll Mitarbeiter-Konten. Eine Phishing-E-Mail, und schon liest man von Verlusten in neunstelligen Zahlen. Bybit musste nach ihrem Datenleck im Februar 2025 $1,5 Milliarden Kundengelder in drei Tagen ersetzen. Sie schafften es knapp. Nicht jede Börse würde das können.
Der Blockchain-Sicherheitsmarkt wächst schnell#
Fortune Business Insights bewertete den Blockchain-Sicherheitsmarkt 2025 auf etwa 5 Milliarden Dollar und erwartet 8,4 Milliarden Dollar bis 2026. Coherent Market Insights prognostiziert 128 Milliarden Dollar bis 2032, mit 57% jährlichem Wachstum.
Es gibt zwei Faktoren, die das vorantreiben. Erstens wächst das Geld in der Blockchain jedes Jahr, was bedeutet, dass mehr geschützt werden muss. Zweitens verlangen Regulatoren jetzt echte Sicherheit. Das MiCA-Rahmenwerk der EU schreibt spezifische Sicherheitsstandards für Kryptounternehmen in Europa vor. Die US-CFTC akzeptiert tokenisierte Wertpapiere durch ihr Digital Assets Pilot Program, aber nur von Unternehmen mit ernsthafte Sicherheitskontrollen. Institutionelles Geld braucht institutionelle Sicherheit. Das war früher ein Marketing-Punkt. Jetzt ist es Gesetz.
Die Technologie macht Fortschritte. Anthropic fand in einer Red-Team-Übung 4,6 Millionen Dollar an Smart-Contract-Bugs mit KI-Analyse – Sicherheitslücken, deren Entdeckung menschliche Auditor:innen Wochen gekostet hätte. Zero-Knowledge-Proofs ermöglichen private Blockchain-Transaktionen ohne die Möglichkeit zu verlieren, sie zu überprüfen. Multi-Party-Computation ersetzt traditionelle Multi-Sig-Setups in der Enterprise-Schlüsselverwaltung.
Was das für dich bedeutet#
Wenn du Krypto hältst, brauchst du die Grundlagen: Hardware-Wallet, Seed-Phrase auf Papier und sicher gelagert, Zwei-Faktor-Authentifizierung mit einer App (nicht SMS), und Misstrauen gegenüber jedem Link, der von deiner Exchange stammen soll. Die meisten Menschen, die Krypto verlieren, verlieren es durch Phishing oder schlechte Schlüsselverwaltung, nicht durch Exploits auf Protokollebene.
Wenn du in der Blockchain entwickelst, brauchst du: Audit vor dem Launch, Multi-Sig auf deiner Staatskasse, Echtzeit-Monitoring deiner Contracts und einen Incident-Response-Plan – im Idealfall, bevor es 3 Uhr morgens wird. Die zugrunde liegende verteilte Ledger-Technologie funktioniert. Fünfzehn Jahre Bitcoin haben das bewiesen. Aber Smart Contracts, Bridges, Wallets und die betriebliche Sicherheit sind nur so gut wie die Menschen, die sie betreiben. Und 3,4 Milliarden Dollar pro Jahr sagen, dass wir sie nicht gut genug betreiben.
