Nordkoreanische Kryptowährungs-Sanktionen und gesperrte Wallet-Adressen: Wie der Staat Cyberangriffe nutzt, um Waffen zu finanzieren
Im Jahr 2025 wurde ein neuer Rekord gebrochen - nicht bei der Anzahl der Nutzer von Kryptowährungen, sondern bei den Diebstählen, die direkt auf Nordkorea zurückgeführt werden. Laut Analysen von Elliptic wurden in diesem Jahr allein Kryptowährungen im Wert von über 2,03 Milliarden Dollar gestohlen. Das ist mehr als das Dreifache des Vorjahres und fast doppelt so viel wie im bisherigen Rekordjahr 2022. Diese Gelder fließen nicht in den privaten Reichtum von Einzelpersonen - sie finanzieren Nordkoreas Atomwaffenprogramm. Jeder gestohlene Bitcoin, jede gezogene Ethereum-Transaktion, ist ein Schritt näher an einer nuklearen Bedrohung.
Wie Nordkorea Kryptowährungen stiehlt
Nordkorea hat seine Cyberoperationen von zufälligen Angriffen zu einem hoch organisierten, staatlich gesteuerten Geschäft gemacht. Die Hauptmethode: gezielte Angriffe auf Kryptobörsen und DeFi-Protokolle. Der größte Einzelvorfall im Jahr 2025 war der Diebstahl von 1,46 Milliarden Dollar von der Börse Bybit im Februar. Das war kein Einzelfall. In diesem Jahr wurden auch Plattformen wie LND.fi, WOO X und Seedify angegriffen. Insgesamt hat Elliptic mehr als 30 solcher Angriffe auf Nordkorea zurückgeführt - und das ist nur der Teil, der nachgewiesen werden konnte. Die tatsächliche Zahl könnte noch viel höher sein.Die Hackergruppen, die hinter diesen Angriffen stecken, arbeiten wie militärische Einheiten. Sie nutzen Schwachstellen in Smart Contracts, manipulieren Wallet-Verifizierungen und greifen auf veraltete Sicherheitsprotokolle von kleineren Plattformen zu. Einige Angriffe dauern nur Stunden, andere werden monatelang vorbereitet. Die Ziele sind klar: große Mengen an Bitcoin, Ethereum und stablecoins wie USDT, die sich leicht in andere Währungen umwandeln lassen.
Die Spur führt zu gesperrten Wallets
Blockchain-Analysten haben es geschafft, ganze Netzwerke von Wallet-Adressen zu identifizieren, die von nordkoreanischen Hackern genutzt werden. Diese Adressen bilden Cluster - wie ein Netzwerk von Konten, die miteinander verbunden sind. Sie erhalten gestohlene Kryptowährungen, leiten sie durch mehrere Zwischenadressen weiter und mischen sie mit legalen Transaktionen, um ihre Herkunft zu verschleiern.Die U.S. Department of the Treasury hat bereits mehrere dieser Wallet-Cluster offiziell sanktioniert. Doch hier liegt das Problem: Öffentlich zugängliche Listen mit konkreten Wallet-Adressen gibt es kaum. Warum? Weil jede veröffentlichte Adresse schnell von den Hackern aufgegeben wird. Sie wechseln zu neuen, unerkannten Adressen - oft innerhalb von Stunden nach einem Angriff. Was Analysten stattdessen tun, ist, Muster zu erkennen: Wie viele Transaktionen werden pro Tag durchgeführt? Welche Exchange wird genutzt? Welche Kryptowährung wird bevorzugt? Diese Muster sind wie Fingerabdrücke - sie verraten die Täter, auch wenn die Adresse selbst sich ändert.
Die Rolle von IT-Arbeitern in China und Russland
Nordkorea hat nicht nur Hacker, sondern auch Tausende von IT-Arbeitern, die in China, Russland und anderen Ländern leben. Diese Menschen arbeiten für staatlich kontrollierte Firmen wie Shenyang Geumpungri Network Technology Co., Ltd. oder Korea Sinjin Trading Corporation. Sie führen nicht nur Angriffe durch, sondern verkaufen auch IT-Dienstleistungen an ausländische Firmen - und verlangen Zahlungen in Kryptowährung. Diese Einnahmen fließen direkt in die Staatskasse.Die Multilateral Sanctions Monitoring Team (MSMT), ein Bündnis von 11 Ländern, hat in ihrem Bericht vom Oktober 2025 bestätigt: Diese IT-Arbeiter sind Teil eines „vollständigen“ Cyberprogramms, das in Komplexität mit den Operationen Chinas und Russlands vergleichbar ist. Sie stehlen nicht nur Geld, sondern auch Unternehmensdaten, verkaufen Ransomware und organisieren Betrugsschemata, bei denen sie sich als legitime Unternehmen ausgeben. Einige dieser Firmen wurden von der US-Regierung sanktioniert - doch die meisten Operativen arbeiten weiter, weil sie oft hinter falschen Identitäten und verschleierten Servern agieren.
Wie Geld gewaschen wird
Nach einem Diebstahl beginnt die eigentliche Herausforderung: Das Geld auszugeben, ohne erwischt zu werden. Nordkorea nutzt eine komplexe Kette von Methoden:- Erstens: Die gestohlene Kryptowährung wird über mehrere Zwischenwallets verteilt - manchmal über 20 Schritte.
- Zweitens: Sie werden über Cross-Chain-Bridges zwischen Blockchain-Netzwerken transferiert - von Ethereum nach Solana, dann nach Polygon.
- Drittens: Ein Großteil wird in Privacy Coins wie Monero oder Zcash umgewandelt, die Transaktionen nahezu unsichtbar machen.
- Viertens: Über P2P-Marktplätze oder nicht-regulierte Krypto-Automaten wird das Geld in Fiat-Währungen wie US-Dollar, Euro oder chinesischer Yuan umgetauscht.
Diese Techniken machen es für Banken und Börsen extrem schwer, illegale Transaktionen zu erkennen. Selbst die fortschrittlichsten Screening-Tools müssen ständig aktualisiert werden - und selbst dann verpassen sie viele Transaktionen. Die US-Regierung hat deshalb in 2025 die Belohnung für Hinweise auf Nordkoreas Kryptowährungsaktivitäten von 5 auf 15 Millionen Dollar erhöht. Das zeigt: Es ist kein technisches Problem, sondern ein geopolitisches.
Was Börsen und Nutzer tun können
Größere Kryptobörsen wie Binance, Coinbase und Kraken haben in 2025 ihre Überwachungssysteme massiv verbessert. Sie nutzen Blockchain-Analyse-Tools, die in Echtzeit nach bekannten Muster und Cluster-Eigenschaften suchen. Wenn eine Transaktion von einer gesperrten Adresse kommt, wird sie blockiert. Aber das reicht nicht. Kleine Börsen, DeFi-Protokolle und Peer-to-Peer-Plattformen sind noch immer anfällig.Für normale Nutzer gilt: Wenn Sie Kryptowährungen von einer unbekannten Quelle erhalten - besonders von einer Wallet, die Sie nicht selbst erstellt haben - prüfen Sie sie mit einem Blockchain-Explorer. Suchen Sie nach Verbindungen zu bekannten, sanktionierten Adressen. Einige Tools wie Elliptic, Chainalysis und TRM Labs bieten öffentliche Watchlists, die zeigen, welche Adressen als verdächtig eingestuft wurden. Vertrauen Sie nicht auf den Namen einer Wallet - vertrauen Sie auf die Transaktionshistorie.
Warum die Sanktionen nicht funktionieren - und warum sie trotzdem wichtig sind
Es ist klar: Die Sanktionen haben Nordkorea nicht davon abgehalten, Kryptowährungen zu stehlen. Im Gegenteil - die Angriffe werden immer professioneller. Die Regierung in Pjöngjang hat gelernt, dass Kryptowährungen eine fast unüberwachbare Geldquelle sind. Sie brauchen keine Banken, keine SWIFT-Systeme, keine Diplomatie. Sie brauchen nur einen Laptop und eine Internetverbindung.Doch das bedeutet nicht, dass die Sanktionen nutzlos sind. Sie haben drei Wirkungen:
- Sie zwingen Börsen und Finanzinstitute, bessere Überwachungssysteme einzuführen - was den gesamten Markt sicherer macht.
- Sie isolieren Nordkorea weiter: Keine legale Firma will mehr mit einer sanktionierten Adresse zu tun haben - das schränkt die Ausgabemöglichkeiten ein.
- Sie schaffen internationale Kooperation: Die USA, Südkorea, Japan und acht weitere Länder arbeiten eng zusammen - und das ist ein historischer Schritt.
Die wahren Erfolge sind unsichtbar: Jede Transaktion, die blockiert wird, bevor sie Geld in Nordkoreas Waffenprogramm bringt. Jede Wallet, die identifiziert wird, bevor sie genutzt werden kann. Jeder Hacker, der erkannt wird, bevor er einen neuen Angriff startet. Diese Erfolge erscheinen nicht in den Nachrichten - aber sie verhindern, dass die nächste Bombe gebaut wird.
Was kommt als Nächstes?
Nordkorea wird in 2026 weiterhin Kryptowährungen stehlen - aber die Angriffe werden sich verändern. Experten erwarten, dass die Hauptziele jetzt DeFi-Protokolle, Cross-Chain-Bridges und nicht-regulierte Layer-2-Netzwerke sein werden. Die Angriffe werden weniger auf große Börsen abzielen und mehr auf kleine, unüberwachte Protokolle, die oft nicht einmal eine KYC-Prüfung haben.Die Gegenmaßnahmen werden sich ebenfalls weiterentwickeln. Künftige Blockchain-Tools werden nicht nur Transaktionen analysieren, sondern auch die IP-Herkunft, die Geräte-ID und die Timing-Muster von Transaktionen auswerten. Künstliche Intelligenz wird Muster erkennen, die Menschen nie sehen würden. Und mit jedem neuen Angriff wird die Spur ein wenig deutlicher - weil die Hacker immer wieder dieselben Fehler machen.
Die Schlacht zwischen Nordkorea und der globalen Finanzwelt ist noch lange nicht vorbei. Aber sie ist keine Science-Fiction mehr. Sie ist Realität - und sie wird in den nächsten Jahren darüber entscheiden, ob Kryptowährungen eine Welt ohne Grenzen schaffen - oder eine Welt, in der Kriminelle und Diktatoren ihre Macht ausnutzen können.
Wie viele Kryptowährungen hat Nordkorea bis heute gestohlen?
Nach aktuellen Analysen von Elliptic und dem Multilateral Sanctions Monitoring Team (MSMT) hat Nordkorea seit Beginn der Aufzeichnungen über 6 Milliarden Dollar an Kryptowährungen gestohlen. Allein im Jahr 2025 wurden mehr als 2,03 Milliarden Dollar erbeutet - ein neuer Rekord. Ein Großteil dieser Gelder wurde zur Finanzierung von Atomwaffen und ballistischen Raketen verwendet.
Welche Wallet-Adressen sind von Sanktionen betroffen?
Die US-Regierung hat mehrere Wallet-Cluster und Unternehmen sanktioniert, die mit Nordkoreas Kryptodiebstählen verbunden sind - darunter Adressen, die mit der Firma Shenyang Geumpungri Network Technology Co., Ltd. und Korea Sinjin Trading Corporation in Verbindung stehen. Konkrete Adressen werden jedoch selten öffentlich gemacht, da die Hacker schnell neue Adressen nutzen. Analysten verfolgen stattdessen Muster: Transaktionsfrequenz, verwendete Kryptowährungen und Verbindungen zu bekannten Exchange-Adressen.
Warum nutzen Nordkoreaner Kryptowährungen statt traditioneller Banken?
Traditionelle Banken sind unter internationalen Sanktionen und schwer zugänglich. Kryptowährungen hingegen funktionieren ohne Banken, ohne Regierungen und ohne Überwachung. Sie ermöglichen es Nordkorea, Geld weltweit zu transferieren, ohne dass eine Bank oder ein Staat die Transaktion prüfen kann. Außerdem lässt sich Krypto leicht in Bargeld umwandeln - über P2P-Marktplätze oder Krypto-Automaten in Ländern wie China oder Russland.
Können normale Nutzer Kryptowährungen von Nordkorea erhalten?
Ja - aber nur, wenn sie unbeabsichtigt Transaktionen von gesperrten Adressen erhalten, zum Beispiel über eine Exchange oder einen Tausch. Die meisten Nutzer bekommen kein Geld direkt von Nordkorea. Aber wenn eine Transaktion von einer bekannten, sanktionierten Wallet kommt, kann die Exchange das Geld einfrieren oder zurückhalten. Es ist nicht illegal, solche Transaktionen zu erhalten - aber es kann zu Problemen führen, wenn die Herkunft nicht geklärt werden kann.
Was tun, wenn ich eine verdächtige Transaktion erhalte?
Wenn Sie eine Kryptotransaktion von einer unbekannten Quelle erhalten, prüfen Sie die Adresse mit einem Blockchain-Explorer wie Etherscan, Blockchain.com oder Blockchair. Suchen Sie nach Verbindungen zu bekannten, sanktionierten Adressen. Nutzen Sie Tools von Elliptic oder TRM Labs, die öffentlich verfügbare Watchlists anbieten. Wenn Sie unsicher sind, kontaktieren Sie Ihre Börse oder Wallet-Anbieter - sie können prüfen, ob die Adresse als riskant eingestuft ist. Niemals Geld von einer solchen Adresse ausgeben, ohne die Herkunft zu klären.
