Ein Jahr Bybit-Hack: Was die Lazarus-Spur über moderne Krypto-Forensik verrät

Am 21. Februar 2025 verschwanden in einer einzigen Transaktion 401.347 ETH (damals ca. 1,5 Mrd. USD) aus einer Bybit-Cold-Wallet. Der Diebstahl wurde innerhalb weniger Stunden der nordkoreanischen Lazarus-Gruppe zugeordnet — bestätigt durch das FBI, das US-Finanzministerium und unabhängige On-Chain-Ermittler. Ein Jahr später lohnt sich ein nüchterner Blick zurück: Was hat der Fall über den Stand der Krypto-Forensik verraten?

Der Angriff war nicht on-chain

Entgegen dem ersten Eindruck war der eigentliche Hack kein Smart-Contract-Exploit, sondern ein Social-Engineering-Angriff auf den Multi-Sig-Prozess von Bybit: Eine manipulierte UI zeigte den Unterzeichnern harmlose Transaktionsdaten an, während im Hintergrund eine ganz andere Wallet-Kontrolle übertragen wurde. Die Schwachstelle lag in der Mensch-Schnittstelle — nicht in der Blockchain.

Für die Forensik ist das eine wichtige Lehre: Nach dem Diebstahl sind On-Chain-Muster trotzdem entscheidend, weil Kriminelle sehr bald darauf mit Kettenhopping, Splitting und Mixer-Strategien beginnen — und da setzt unsere Arbeit ein.

Cross-Chain-Swaps als Flucht-Korridor

Innerhalb der ersten 72 Stunden wurden rund 80 % der gestohlenen ETH über dezentrale Cross-Chain-Protokolle weitergeleitet — vor allem über THORChain und Chainflip. Das Ziel: Umwandlung in Bitcoin, Monero und kleinere Chains, um die zentralen Choke-Points (KYC-Börsen, Stablecoin-Emittenten) zu umgehen.

Unsere Datenbank hat in diesem Zeitraum einen signifikanten Volumen-Peak bei THORChain-BTC-Swaps aufgezeichnet. Interessant: Die Täter nutzten nicht zufällig verschiedene Provider, sondern ein klar erkennbares Timing-Muster — Swaps in Paketen von 100–300 BTC, verteilt über ~12 Stunden, mit konstanten Pausen. Dieses Fingerprinting erlaubte es, auch mehrere Wochen später noch Nachzügler-Transaktionen derselben Gruppe zuzuordnen.

Was hat funktioniert, was nicht?

Funktioniert hat:

• Attribution in Echtzeit: Die ersten Cluster-Zuordnungen kamen innerhalb von 4 Stunden — möglich, weil die Täter schon aus früheren Vorfällen (Axie, Ronin, Atomic-Wallet-Hack) gut getaggt waren.
• Cross-Chain-Tracking: THORChain und Chainflip speichern zwar keine KYC-Daten, aber ihre on-chain sichtbaren Swap-Parameter (Memo-Felder, Liquiditäts-Pool-Positionen) sind deterministisch auswertbar.
• Kooperation zwischen CASPs: Im Rahmen der Travel-Rule haben europäische und US-Börsen innerhalb von 24 Stunden koordiniert geflaggt — ein Fortschritt gegenüber 2022.

Nicht funktioniert hat:

• Rückforderung der Mittel: Der Großteil der Coins bleibt bis heute in Wallets der Täter. Die üblichen Blacklist-Mechanismen (Tether-Freeze, Circle-Freeze) griffen nur bei kleinen Stablecoin-Beträgen.
• Sanktionsdurchsetzung: Nordkorea bedient sich zunehmend OTC-Broker außerhalb der Reichweite westlicher Sanktionen — eine strukturelle Grenze für reine On-Chain-Maßnahmen.

Was wir daraus für unsere Arbeit mitnehmen

1. Cross-Chain muss Standard sein. Wer 2026 noch Forensik ausschließlich auf einer einzelnen Chain betreibt, verliert innerhalb von Stunden die Spur. Im Coinator ist Cross-Chain-Swap-Erkennung seit 2025 integrierter Bestandteil — für THORChain, Chainflip und Bridgers.
2. Timing-Muster sind die neuen Fingerprints. Je professioneller die Täter, desto weniger adressbasiert wird die Attribution. Verhaltens-Heuristiken (Zeit-Cluster, Batch-Größen, Pausen-Muster) gewinnen an Gewicht.
3. Transparente Methodik wird zur Pflicht. Gerichte verlangen in Sanktions- und Einziehungs-Verfahren zunehmend die genaue Herleitung jeder Attribution. Black-Box-Tools scheitern hier — unsere offen dokumentierte Methodik liefert die nötige Grundlage.

Fazit

Der Bybit-Hack war ein Rückschlag für die Branche — aber auch ein Reifetest für die Krypto-Forensik. Die Werkzeuge sind heute deutlich besser als noch 2022. Was fehlt, ist die institutionelle Umsetzungstiefe auf Ermittler-Seite — und genau hier wollen wir mit dem Coinator weiter unterstützen: durch Schulungen, Beratung und gerichtsfest dokumentierte Analysen.

Hinweis: Dieser Beitrag basiert auf öffentlich zugänglichen On-Chain-Daten und den offiziellen Stellungnahmen von Bybit, dem FBI und europäischen Ermittlungsbehörden. Spezifische Wallet-Adressen werden aus Rücksicht auf laufende Verfahren nicht genannt.