In den letzten Wochen prägen diverse Hacks den Kryptomarkt. Immer wieder hatten die nordkoreanischen Hacker ihre Finger im Spiel. Nun wendet sich Ripple gegen die Angreifer.
Die nordkoreanische Lazarus Group gilt seit Jahren als eine der gefährlichsten staatlich unterstützten Hacker-Einheiten der Welt. Hinter dem Namen steht kein klassisches Cybercrime-Kollektiv, sondern ein Netzwerk von Akteuren, das westliche Behörden und Blockchain-Forensiker dem nordkoreanischen Staatsapparat zurechnen.
Das Ziel ist dabei nicht nur Sabotage oder Spionage. Gerade im Kryptomarkt geht es um harte Devisen: Digitale Assets lassen sich grenzüberschreitend bewegen, verschleiern und über Mixer, Brücken oder OTC-Strukturen waschen. Für ein international sanktioniertes Regime ist das ein strategisch wertvoller Finanzierungsweg.
Die Dimension ist erheblich. Chainalysis bezifferte die von Nordkorea gestohlenen Kryptowährungen im Jahr 2025 auf rund 2,02 Milliarden US-Dollar; seit Beginn der Erfassung summiere sich der Wert auf etwa 6,75 Milliarden US-Dollar. Auch 2026 setzt sich das Muster fort: Laut TRM Labs entfielen bis Ende April rund 76 Prozent aller Krypto-Hackverluste auf nur zwei nordkoreanisch zugeschriebene Angriffe – Drift Protocol und KelpDAO.
Besonders brisant: Beim KelpDAO-Exploit sollen Angreifer mit Verbindung zur Lazarus Group rund 292 Millionen US-Dollar in rsETH über eine LayerZero-Bridge entwendet haben. Nordkoreanische Gruppen greifen nicht mehr nur Code an, sondern Menschen, Prozesse und Vertrauen.
Kryptowährungen kaufen – alles Wissenswerte für 2026
Ripple teilt DPRK-Daten: Krypto-Branche soll gemeinsam reagieren
Nun setzt Ripple genau an dieser Schwachstelle an. Das Unternehmen teilt über Crypto ISAC exklusive Bedrohungsdaten zu nordkoreanischen Akteuren mit anderen Unternehmen der Kryptoindustrie. Der Tenor ist klar: Einzelne Firmen können solche Angriffe kaum allein erkennen, wenn die Angreifer über Monate Vertrauen aufbauen, als Bewerber, Dienstleister oder scheinbare Partner auftreten und erst später zuschlagen.
The strongest security posture in crypto is a shared one.
A threat actor who fails a background check at one company will apply to three more that same week. Without shared intelligence, every company starts from zero.
Ripple is now contributing exclusive DPRK threat… https://t.co/ZiXD25iOBx
— Ripple (@Ripple) May 4, 2026
Crypto ISAC beschreibt den Drift-Hack als Weckruf für die Branche. Der Angriff habe nicht mit einem Zero-Day oder einem klassischen Smart-Contract-Exploit begonnen, sondern mit langfristiger Manipulation von Personen, kompromittierten Geräten und dem Aushebeln traditioneller Indikatoren. Genau deshalb sollen geteilte Daten helfen, verdächtige Profile schneller zu erkennen. Laut Crypto ISAC liefert Ripple nicht nur Wallets oder Domains, sondern angereicherte Informationen wie LinkedIn-Profile, E-Mail-Adressen, Telefonnummern, Standorte und korrelierte Signale, die ein einzelnes Profil mit einer größeren Kampagne verbinden.
Big News! 📣 @Ripple is now contributing high-confidence DPRK threat data through Crypto ISAC helping security teams move from awareness to action.
The reality is North Korean threat actors aren’t just attacking crypto, they’re infiltrating it.
The latest wave of attacks is… pic.twitter.com/DwdMziEIC1
— Crypto ISAC (@Crypto_ISAC) May 4, 2026
Das ist sicherheitspolitisch relevant. Wenn ein verdächtiger Kandidat bei einem Unternehmen auffällt und wenige Tage später bei drei weiteren Krypto-Firmen anheuert, startet ohne gemeinsamen Datenpool jeder wieder bei null. Ripple will diese Lücke schließen. Damit verschiebt sich der Kampf gegen Lazarus & Co. von reaktiver Schadensbegrenzung zu kollektiver Prävention.
Der neue Angriffsvektor: Infiltration statt nur Exploit
Die jüngsten Fälle zeigen, warum dieser Schritt wichtig ist. Nordkoreanische Akteure attackieren die Kryptoindustrie zunehmend „von innen heraus“. Statt nur technische Schwachstellen zu suchen, bauen sie Identitäten auf, führen Bewerbungsgespräche, geben sich als Entwickler, Trader oder Geschäftspartner aus und versuchen, langfristig Zugang zu sensiblen Systemen zu erhalten. Es geht darum, zu verhindern, dass derselbe verdächtige „Kandidat“ unbemerkt mehrere Firmen attackiert.
Auch Ripple formuliert die Logik ähnlich: Die stärkste Sicherheitsposition in Krypto sei eine geteilte. Ein Angreifer, der bei einer Firma durchfällt, könne in derselben Woche bei mehreren anderen auftauchen. Genau deshalb brauche die Branche Echtzeitinformationen.
🚨 RIPPLE TO SHARE NORTH KOREA HACKER INTEL
Ripple is now sharing internal threat data to help crypto firms detect North Korean-linked actors.
The focus is on social engineering schemes, where hackers apply for crypto jobs to get inside, build trust and later launch attacks.… pic.twitter.com/trh7KBNQ3N
— Coin Bureau (@coinbureau) May 5, 2026
Für die Branche ist das ein wichtiger Signalwechsel. DeFi, Börsen, Wallet-Anbieter und Infrastrukturprojekte sind längst nicht mehr nur technische Ziele, sondern soziale Ziele. Wer Multisig-Zugänge, Admin-Rechte oder interne Repositories kompromittiert, muss oft keinen Smart Contract mehr knacken. Ripple und Crypto ISAC versuchen deshalb, die Verteidigung auf eine neue Ebene zu heben: nicht nur Firewalls, Audits und IOCs, sondern gemeinsame Profile, Muster und Warnsignale.
Der Kampf gegen nordkoreanische Hacker wird damit stärker zu einem Branchenproblem – und weniger zu einem isolierten Sicherheitsvorfall einzelner Projekte.
Krypto Geheimtipp für 2026 – hier mehr erfahren
next