Mehr als 600 Millionen US-Dollar im April durch DeFi-Hacks gestohlen: Lazarus-Gruppe als Drahtzieher verdächtigt

Märkte
Aktualisiert: 27.04.2026 13:10

Im April 2026 erlebte der Bereich der dezentralen Finanzen (DeFi) die schwerste Sicherheitskrise der vergangenen Jahre. Laut Blockchain-Sicherheitsagenturen beliefen sich die Verluste durch Hackerangriffe in diesem Monat auf über 606 Millionen US-Dollar – ein neuer Monatsrekord. Mehrere bedeutende Protokolle wurden in kurzer Folge Opfer von Angriffen, und die mit Nordkorea in Verbindung stehende Hackergruppe Lazarus Group wurde von verschiedenen Ermittlungsstellen als Hauptorganisator hinter diesen Attacken identifiziert. Diese Vorfälle offenbarten nicht nur die Schwachstellen der DeFi-Infrastruktur, sondern veranlassten die Branche auch dazu, die Risikogrenzen von Cross-Chain-Interaktionen und dem Management privater Schlüssel neu zu bewerten.

Wie werden die tatsächlichen Verluste aus den großen Sicherheitsvorfällen im April ermittelt?

Bis zum 27. April 2026 wurden bei öffentlich gemeldeten DeFi-Hacks über 606 Millionen US-Dollar an Vermögenswerten entwendet. Die drei größten Fälle waren: KelpDAO mit einem Verlust von etwa 292 Millionen US-Dollar, Drift Protocol mit rund 285 Millionen US-Dollar und Purrlend, das etwa 1,5 Millionen US-Dollar verlor. Darüber hinaus meldeten Protokolle wie Scallop Verluste im Bereich von Hunderttausenden bis zu mehreren Millionen US-Dollar. Diese Zahlen basieren auf den nachträglichen Offenlegungen der Projektteams sowie auf Berichten von On-Chain-Monitoring-Plattformen zur Nachverfolgung von Geldern. Nicht enthalten sind kleinere, nicht gemeldete oder noch nicht bestätigte Angriffe. Die wöchentliche Analyse der Verluste im April zeigt, dass diese in den ersten drei Wochen stetig zunahmen und in der vierten Woche zurückgingen, da einige Projekte ihre Dienste aussetzten oder Verträge aktualisierten.

Welche Cross-Protokoll-Angriffstechniken wurden von den Hackern eingesetzt?

Technische Analysen der bekannt gewordenen Vorfälle zeigen, dass die Angreifer vor allem Schwachstellen im Berechtigungsmanagement von Verträgen sowie Fehler in der Logik von Cross-Chain-Bridges ausnutzten. Beim KelpDAO-Vorfall verschaffte sich der Angreifer Zugriff auf den privaten Schlüssel einer Verwaltungs-Wallet, umging die Multisig-Verifizierung und rief direkt die Auszahlungsfunktion des Vertrags auf, wodurch er gestakte Vermögenswerte in mehreren Tranchen übertrug. Der Angriff auf Drift Protocol war noch komplexer: Der Angreifer setzte einen bösartigen Vertrag auf einer anderen Blockchain auf und nutzte ein Cross-Chain-Messaging-Protokoll, um gefälschte Einzahlungsnachweise zu erzeugen. Dadurch konnte er auf der Ziel-Chain übermäßige Vermögenswerte leihen. Diese Vorgehensweise verdeutlicht, dass Angreifer längst nicht mehr nur Schwachstellen innerhalb einzelner Smart Contracts ausnutzen, sondern gezielt die Vertrauensannahmen zwischen mehreren Protokollen angreifen.

Warum gilt die Lazarus Group als Hauptverdächtiger?

Mehrere Blockchain-Sicherheitsfirmen haben durch die Analyse von On-Chain-Geldflüssen verschiedene große Angriffe im April mit der Lazarus Group in Verbindung gebracht. Diese Gruppe ist dafür bekannt, Kryptowährungen zur Geldwäsche illegaler Gewinne zu nutzen und weist typische On-Chain-Verhaltensmuster auf: schnelle Verschiebung gestohlener Gelder über dezentrale Cross-Chain-Bridges in verschiedene Netzwerke, Nutzung von Mixern (wie Tornado Cash-Forks oder Alternativen) zur batchweisen Geldwäsche sowie letztlich die Weiterleitung einiger Vermögenswerte an Adressen, die mit bestimmten Fiat-Onramps verbunden sind. Im April ähnelte die Bewegung der gestohlenen Gelder nach den Vorfällen bei KelpDAO und Drift stark den Mustern früherer Lazarus-Operationen, etwa bei den Angriffen auf Ronin Bridge und Harmony Bridge. Auch wenn bisher keine Organisation oder Einzelperson die Verantwortung öffentlich übernommen hat, machen die Verhaltensähnlichkeiten die Lazarus Group derzeit zum plausibelsten Verdächtigen.

Wie werden gestohlene Gelder über verschiedene Chains verschoben und gewaschen?

Nach einem erfolgreichen Angriff konzentrieren sich die Täter darauf, die Gelder schnell und unauffällig zu bewegen. In den beiden größten Vorfällen im April wurden die meisten Vermögenswerte innerhalb weniger Stunden von den ursprünglichen Chains (wie Ethereum und Solana) über Cross-Chain-Bridge-Protokolle auf verschiedene neue Layer-2-Netzwerke oder Blockchains mit erhöhten Datenschutzmerkmalen transferiert. Anschließend wurden die Mittel in Hunderte kleinere Transaktionen aufgeteilt und in mehrere dezentrale Mixing-Protokolle geleitet. Diese Mixer nutzen Zero-Knowledge-Proofs oder Multi-Party-Computing, um die Verbindung zwischen Eingangs- und Ausgangsadressen zu verschleiern, sodass herkömmliche On-Chain-Tracking-Tools die wahren Empfänger kaum identifizieren können. Einige Vermögenswerte wurden nach dem Mixing zusätzlich über synthetische Asset-Plattformen in andere Krypto-Assets umgewandelt, was das Einfrieren und die Rückgewinnung weiter erschwert.

Wie haben die Angriffe die DeFi-Gesamtwerte (TVL) beeinflusst?

Großangelegte Sicherheitsvorfälle wirken sich direkt auf das Marktvertrauen aus, was sich im Total Value Locked (TVL) der DeFi-Ökosysteme widerspiegelt. On-Chain-Daten zeigen, dass die wichtigsten betroffenen Protokolle innerhalb von 72 Stunden nach den Angriffen einen durchschnittlichen TVL-Rückgang von 35 % bis 60 % verzeichneten. So fiel der TVL von KelpDAO von etwa 850 Millionen US-Dollar vor dem Angriff auf unter 310 Millionen US-Dollar. Auch der breitere DeFi-Markt erlebte einen Dominoeffekt: Nutzer zogen ihre Vermögenswerte aus Projekten mit komplexen Cross-Chain-Interaktionen und offenen Vertragsberechtigungen ab und wechselten zu etablierten Kreditprotokollen oder zentralisierten Verwahrungslösungen. Am 27. April lag der TVL von Ethereum-DeFi etwa 12 % unter dem Wert zu Monatsbeginn, während einige Protokolle mit Risikoisolierungsmodulen leichte Nettozuflüsse verzeichneten.

Kann der Aave Recovery Fund einen Sicherheitsstandard für die Branche setzen?

Als Reaktion auf die zunehmenden Sicherheitsverluste kündigte das führende Kreditprotokoll Aave Mitte April die Einrichtung eines Recovery Funds an, der Nutzer teilweise entschädigen soll, die durch nicht-codebezogene Protokollschwachstellen (wie externe Abhängigkeiten oder Governance-Angriffe) geschädigt wurden. Der Fonds wird gemeinsam vom Aave-Treasury und Partnern aus dem Ökosystem finanziert; ein unabhängiges Risikokomitee prüft jede Entschädigungsanfrage. Zwar deckt der Fonds noch nicht alle Sicherheitsvorfälle im April ab, doch sein Ansatz hat eine Branchen-Debatte ausgelöst: Sollte DeFi einen „Sicherheitsreservefonds" analog zur Einlagensicherung bei Banken etablieren? Befürworter sehen darin eine Möglichkeit zur Stärkung des Nutzervertrauens, während Kritiker vor möglichen Fehlanreizen warnen, da Projekte ihre eigenen Sicherheitsstandards senken könnten, wenn sie auf externe Entschädigung hoffen.

Wie können einzelne Nutzer DeFi-Protokollrisiken erkennen und minimieren?

Während Verbesserungen auf Protokollebene Zeit benötigen, können Nutzer folgende Maßnahmen ergreifen, um das Risiko für ihre Vermögenswerte zu reduzieren:

  1. Bevorzugen Sie Protokolle, die mehrfach unabhängig auditiert wurden und deren Vertragscode Open Source ist. Prüfen Sie, ob die Auditoren seriöse Unternehmen sind.
  2. Seien Sie vorsichtig bei der Vergabe von Token-Berechtigungen und widerrufen Sie regelmäßig nicht genutzte Vertragsfreigaben über Blockchain-Explorer oder Berechtigungsmanagement-Tools.
  3. Lagern Sie größere Vermögenswerte in Multisig- oder Hardware-Wallets und trennen Sie diese von Hot Wallets für umfangreiche Transaktionen.
  4. Überwachen Sie Echtzeitwarnungen von Sicherheitsplattformen und widerrufen Sie relevante Vertragsberechtigungen sofort, sobald Sie von einem Angriff erfahren.
  5. Bei neuen Protokollen mit hohen Liquidity-Mining-Renditen sollten Sie davon ausgehen, dass die Sicherheit noch nicht vollständig geprüft wurde und Ihre Investition auf einen kleinen Teil Ihres Gesamtvermögens beschränken.

Fazit

Im April 2026 musste das DeFi-Ökosystem Verluste von über 606 Millionen US-Dollar durch eine Serie von Hacks hinnehmen, wobei große Protokolle wie KelpDAO und Drift Protocol betroffen waren. Die Analyse des On-Chain-Verhaltens deutet stark darauf hin, dass die Lazarus Group diese Vorfälle orchestrierte und dabei hochentwickelte Cross-Chain-Transfer- und Mixing-Techniken einsetzte. Diese Sicherheitskrise führte nicht nur zu einem deutlichen Rückgang des TVL bei den betroffenen Projekten, sondern veranlasste die Branche auch, Berechtigungsmanagement, Cross-Chain-Vertrauensmodelle und Nutzerentschädigungsmechanismen neu zu überdenken. Bis einheitliche Sicherheitsstandards etabliert sind, bleibt für normale Teilnehmer der proaktive Umgang mit Berechtigungen, die Trennung von Asset-Typen und die Aufmerksamkeit gegenüber Sicherheitswarnungen der effektivste Schutz.

FAQ

F: Wie kann ich schnell überprüfen, ob ein DeFi-Protokoll größere Sicherheitsvorfälle hatte?

A: Sie können die Sicherheitsgeschichte eines Protokolls auf Monitoring-Plattformen (wie SlowMist MistTrack, PeckShield Alert) oder On-Chain-Analyse-Seiten (z. B. das Rug Pull Tracking-Modul von DeFi Llama) einsehen. Außerdem empfiehlt es sich, die offiziellen Discord- oder Twitter-Kanäle des Projekts zu verfolgen – die meisten Teams veröffentlichen innerhalb einer Stunde nach einem Vorfall eine erste Stellungnahme.

F: Ist es möglich, von der Lazarus Group gestohlene Krypto-Vermögenswerte zurückzuerlangen?

A: Die Rückgewinnung ist äußerst schwierig. Die Gruppe wäscht die Gelder in der Regel über mehrere Cross-Chain-Bridges und Mixer, wobei einige Vermögenswerte letztlich in Fiat umgewandelt werden – oft in Ländern mit schwacher regulatorischer Zusammenarbeit. In der Vergangenheit konnten nur wenige Fälle (etwa wenn Ermittler Adressen vor Abschluss des Mixings einfrieren konnten) zu einer teilweisen Rückgewinnung führen.

F: Was sollte ich tun, wenn ein von mir genutztes Protokoll im April gehackt wurde?

A: Widerrufen Sie zunächst sofort alle Vertragsberechtigungen im Zusammenhang mit dem Protokoll. Speichern Sie anschließend Ihre On-Chain-Transaktionshashes, Freigabedokumente und Screenshots Ihrer Guthaben für die Interaktionen mit dem Protokoll. Überwachen Sie die offiziellen Entschädigungs- oder Governance-Vorschläge des Projekts – die meisten Teams nutzen Snapshots, um betroffene Nutzer zu bestätigen und Folgeabstimmungen einzuleiten. Zahlen Sie kein Geld an Dritte, die behaupten, Ihre Vermögenswerte für Sie zurückholen zu können.

The content herein does not constitute any offer, solicitation, or recommendation. You should always seek independent professional advice before making any investment decisions. Please note that Gate may restrict or prohibit the use of all or a portion of the Services from Restricted Locations. For more information, please read the User Agreement

Teilen

sign up guide logosign up guide logo
sign up guide content imgsign up guide content img
Sign Up
Log In