Mit dem Angriff auf das DeFi-Protokoll Radiant Capital im Januar 2024 sicherte sich die nordkoreanische Hackergruppe Lazarus Kryptowährungen im Wert von rund 50 Millionen US-Dollar.
Dabei beließen es die staatlich gesteuerten Cyberkriminellen allerdings nicht. Laut der chinesischen Analyseplattform EmberCN verwandelten sie einen Teil ihrer Beute durch gezieltes Trading in deutlich höhere Summen.
In mehreren Etappen verkauften sie demnach 9.631 ETH für rund 43,9 Millionen DAI und nutzten anschließende Kursrückgänge, um ETH zu niedrigeren Preisen zurückzukaufen. Auf diese Weise erhöhte sich der Wert ihres Portfolios auf über 94 Millionen US-Dollar.
Der Umfang und die Professionalität der Aktivitäten deuten darauf hin, dass hinter den Angriffen neben klassischen Hackern auch erfahrene Finanzakteure stehen. Die Gewinne sollen dem nordkoreanischen Regime dienen, insbesondere dem umstrittenen Atomprogramm.
Der Fall Lykke: Angriff mit drastischen Folgen
Nicht minder dramatisch verlief ein weiterer mutmaßlich von Lazarus orchestrierter Angriff. Im Juni 2024 wurde die in Großbritannien registrierte und in der Schweiz operierende Krypto-Plattform Lykke Ziel eines großangelegten Hacks.
Dabei gingen Bitcoin , Ethereum und weitere digitale Vermögenswerte im Wert von umgerechnet etwa 22,8 Millionen US-Dollar verloren. Das UK-Treasury machte später in einem Bericht die Lazarus-Gruppe als verantwortliche Akteure aus. Die Annahme basierte auf Analysen der israelischen Cyber-Sicherheitsfirma Whitestream, die Geldflüsse zu bekannten Krypto-Mixern nachweisen konnte.
Lykke war vor dem Angriff vor allem für provisionsfreies Trading bekannt und bei Retail-Investoren beliebt. Der Cyberangriff traf das Unternehmen dann aber ins Mark. Die Plattform stellte im Dezember 2024 ihren Betrieb ein, im März 2025 ordnete ein britisches Gericht schließlich die vollständige Liquidation an.
Über 70 Kunden hatten zuvor rechtliche Schritte eingeleitet, um ihre verlorenen Mittel zurückzuerlangen. Firmengründer Richard Olsen, Nachfahre der Schweizer Bankiersfamilie Baer, wurde im Zuge der Affäre für zahlungsunfähig erklärt.
Staatlich geförderte Cyberkriminalität auf dem Vormarsch
Die parallelen Entwicklungen rund um Radiant Capital und Lykke zeigen die systematische Strategie hinter den Aktivitäten der Lazarus-Gruppe . Die Hacks sind keine isolierten Einzelfälle, sondern Teil einer größeren Bewegung, die auf gezielten digitalen Raub abzielt, um internationale Sanktionen zu umgehen und staatliche Rüstungsprogramme zu finanzieren.
Laut Angaben von Strafverfolgungsbehörden und Blockchain-Analysten haben die nordkoreanischen Hacker allein in den vergangenen Jahren Schäden in Milliardenhöhe angerichtet. Darunter waren auch spektakuläre Angriffe wie der 625-Millionen-Raub beim Ronin Network oder der 530-Millionen-Diebstahl bei Coincheck.
Dabei trifft es oft kleinere und mittlere Plattformen, die mangels Ressourcen ihre Sicherheitsmaßnahmen nicht schnell genug anpassen können. Während große Börsen wie Binance oder Coinbase über eigene Sicherheitsteams verfügen, können kleinere Anbieter einem Angriff wie jenem auf Lykke kaum etwas entgegensetzen. Die Folge: Der wirtschaftliche Totalschaden für Plattform und Nutzer.
Geopolitischer Schattenkrieg gegen die ganze Welt
Trotz der zahlreichen Indizien, die auf Lazarus und damit auf die Demokratische Volksrepublik Korea hindeuten, ist der Fall Lykke nicht unumstritten. Einige Analysten halten die Beweislage für nicht abschließend geklärt und fordern weitere Ermittlungen.
Dennoch sehen viele in der wiederholten Nennung Nordkoreas ein klares Muster. Der Staat nutzt Cyberkriminalität systematisch als alternative Einnahmequelle, mit dramatischen Folgen für Unternehmen und Anleger weltweit.
Gleichzeitig stehen Behörden vor der Herausforderung, solchen Angriffen effektiv zu begegnen. Der Lykke-Hack hat die Anfälligkeit der Krypto-Branche offengelegt und eine Diskussion über strengere Regulierungen und mehr internationale Zusammenarbeit in Gang gesetzt. Ob dies ausreicht, um staatlich unterstützte Hackergruppen wie Lazarus künftig in die Schranken zu weisen, bleibt offen.
Zuletzt aktualisiert am 22. August 2025
