Bewaffneter Krypto-Raub in San Francisco: 11 Mio. US-Dollar weg – und Wrench-Attacks auf Self-Custody-Nutzer nehmen weltweit rasant zu.
Ein vermeintlicher Lieferkurier, eine Waffe, ein gefesselter Hausbesitzer – und 11 Millionen US-Dollar in Krypto, die unter Zwang transferiert werden sollen: Der San-Francisco-Fall ist kein Ausreißer, sondern das jüngste Beispiel dafür, wie sogenannte Wrench-Attacks zur wichtigsten Sicherheitsfrage für Self-Custody-Nutzer werden
Brutaler Krypto-Raub über 11 Millionen mit Wrench-Attacken
In San Francisco hat ein Mann am Samstagmorgen als vermeintlicher Lieferfahrer geklingelt, eine Schusswaffe gezogen und den Bewohner einer Immobilie im Stadtteil Mission Dolores mit Klebeband gefesselt. Anschließend zwang er das Opfer, Zugangsdaten zu seinen Krypto-Wallets preiszugeben und übergab zusätzlich Laptop und Smartphone, wie aus einem Polizeibericht hervorgeht, den San Francisco Chronicle einsehen konnte.
Der mutmaßliche Täter erbeutete demnach umgerechnet 11 Mio. US-Dollar in Kryptowährungen. Der Überfall ereignete sich gegen 6:45 Uhr morgens in der Nähe der Kreuzung 18th Street / Dolores Street – mitten in einem gutbürgerlichen Wohnviertel. Angaben zu Verletzungen oder Festnahmen liegen bislang nicht vor.
Cybercrime-Berater David Sehyeon Baek sagte gegenüber Decrypt, Ermittler würden „parallel auf drei Ebenen“ arbeiten: Geräte, Blockchain-Spuren und das Umfeld des Opfers. In den ersten 24 bis 72 Stunden gehe es vor allem darum, gestohlene Endgeräte zu orten und noch vorhandene Assets auf Börsen zu sichern, bevor die Täter sie weiterverschieben.
Baeks ernüchternde Einschätzung: Verdächtige zu identifizieren ist meist leichter, als die entwendeten Coins zurückzuholen, gerade wenn Überweisungen unter Zwang sofort über Privacy-Services weitergeleitet werden.
Thief Posing as Delivery Driver Ties Up Homeowner, Steals $11M in Crypto
► https://t.co/1QI392fexX https://t.co/1QI392fexX— Decrypt (@DecryptMedia) November 24, 2025
Wrench-Attacken auf Rekordniveau
Der Fall ist kein Einzelfall, sondern Teil eines klaren Trends: Immer häufiger greifen Kriminelle nicht die Kryptografie an, sondern den Menschen dahinter: der private Schlüssel wird nicht gehackt, sondern unter Gewaltandrohung erpresst.
Der Bitcoin-Entwickler und Casa-Mitgründer Jameson Lopp führt seit Jahren eine öffentliche Datenbank physischer Krypto-Angriffe. Laut einer aktuellen Auswertung listet sein „Physical Bitcoin Attacks“-Verzeichnis inzwischen über 200 verifizierte Fälle in mehr als 30 Ländern. Alleine in diesem Jahr wurden über 60 Wrench-Attacks dokumentiert, das macht durchschnittlich mehr als eine pro Woche und rund doppelt so viele wie im Jahr 2024.
Die Spannbreite reicht von erzwungenen Wallet-Transfers bis hin zu Entführungen. Erst kürzlich berichteten Medien über den Mord an dem russischen Krypto-Promoter Roman Novak und seiner Frau in den Vereinigten Arabischen Emiraten, nachdem sie sich mit angeblichen Investoren getroffen hatten, die Zugang zu ihren Wallet verlangten.
Auch in Asien häufen sich immer mehr Fälle, bei denen Opfer unter Androhung von Gewalt zu Krypto-Transfers gezwungen werden – etwa Entführungen in Thailand, bei denen internationale Tätergruppen gezielt wohlhabende Krypto-Besitzer ins Visier nehmen.
Auch interessant: MSMT-Bericht offenbart: Nordkorea hat seit 2024 2,8 Mrd. USD durch Krypto-Hacks erbeutet
Physischer Angriff vs. Hackerangriff
Ein körperlicher Angriff kombinieren digitale und physische Dimension. Klassische On-Chain-Diebstähle – etwa durch Phishing oder Smart-Contract-Hacks – lassen sich teilweise über Börsen stoppen, wenn gestohlene Coins früh genug auf zentralisierte Plattformen laufen und dort eingefroren werden. Bei erzwungenen, „legitimen“ Transfers ist das deutlich schwieriger. Die Transaktion ist aus Sicht der Blockchain gültig und endgültig und die Täter können Gelder innerhalb kürzester Zeit über Mixing-Services, Cross-Chain-Bridges oder Privacy-Coins verschleiern.
Baek weist darauf hin, dass Ermittler zwar Geräte- und Netzwerkspuren auswerten und im Idealfall an Überwachungsvideos, Mobilfunkdaten oder Börsen-KYC anknüpfen können. Doch selbst wenn Täter identifiziert werden, sind die Coins häufig längst weiterverteilt oder über dezentrale Protokolle gewaschen.
next