kryptoschaden.de

Bybit Hack: Lazarus stiehlt $1,4 Mrd — Ihre Rechte und Handlungsoptionen

📣 Telegram-Kanal der Fachanwältin

Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.

Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.

▶ Jetzt @kryptobetrug_anwaeltin auf Telegram folgen

Bybit Hack: Lazarus stiehlt $1,4 Mrd.

Es ist der größte Krypto-Diebstahl der Geschichte. Am 21. Februar 2025 verlor Bybit, eine der weltweit größten Kryptobörsen, exakt 401.000 Ether im Gesamtwert von rund 1,4 Milliarden US-Dollar. Täter war die Lazarus Group, eine staatlich unterstützte nordkoreanische Hackergruppe. Wenn Sie zu den betroffenen Nutzern gehören, sollten Sie jetzt rasch handeln. Denn jede Stunde zählt — die gestohlenen Gelder bewegen sich in Echtzeit durch Mixer und Tauschbörsen, und jede Verzögerung verschlechtert Ihre Ausgangslage erheblich.

Wie der Bybit Hack Lazarus ablief: Manipulation im Verborgenen

Der Angriff war von erschreckender Präzision. Die Lazarus Group drang nicht direkt in Bybits Systeme ein. Vielmehr infiltrierten die Angreifer zunächst einen Drittanbieter, der Wallet-Software für Bybit bereitstellte. Dort manipulierten sie den Code gezielt. Das Ergebnis: Bei einem internen Transfer von 401.000 ETH wurde die Ziel-Wallet-Adresse unbemerkt ausgetauscht. Bybit-Mitarbeiter sahen auf ihren Bildschirmen die vertraute, korrekte Adresse. Tatsächlich landeten die Gelder jedoch bei den Angreifern.

Juristisch betrachtet ist das ein klassischer Fall von § 263a StGB — Computerbetrug. Eine unbefugte Beeinflussung eines Datenverarbeitungsprozesses führte dazu, dass sich die Täter rechtswidrig einen Vermögensvorteil verschafften. Darüber hinaus trägt der Vorgang Züge des § 263 StGB, denn Mitarbeiter wurden über den wahren Empfänger der Transaktion getäuscht. Infolgedessen nahmen sie eine vermögensschädigende Verfügung vor. Für Sie als Geschädigter ist diese Unterscheidung relevant, weil sie bestimmt, gegen wen Ansprüche gerichtet werden können.

Die Lazarus Group: Staatlich organisiertes Krypto-Verbrechen

Die Lazarus Group ist keine gewöhnliche Hackergruppe. Sie handelt nach Einschätzung westlicher Geheimdienste mit staatlichem Auftrag des nordkoreanischen Regimes. Allein in den vergangenen zwei Jahren erbeutete die Gruppe mehr als 3,4 Milliarden Dollar in Kryptowerten. Der Bybit-Angriff übertrifft alle bisherigen Einzeloperationen bei weitem. Zudem steht die Lazarus Group im Verdacht, auch für den Upbit-Hack im November 2025 verantwortlich zu sein. Dabei flossen weitere 30,6 Millionen Dollar ab.

Für deutsche Strafverfolgungsbehörden ist die staatliche Einbettung der Täter eine erhebliche Herausforderung. Dennoch entstehen Anknüpfungspunkte, sobald gestohlene Gelder über Tauschbörsen oder Fiat-Rampen mit EU-Niederlassung fließen. Zudem ermöglicht § 73 StGB in Verbindung mit § 111e StPO die Vermögensabschöpfung. Voraussetzung: Behörden identifizieren Gelder auf zugänglichen Konten oder Wallets. Das forensische Blockchain-Tracing ist deshalb der erste und wichtigste Schritt für Geschädigte.

Geldwäsche in Echtzeit: 941 Millionen Dollar verschwinden

Innerhalb weniger Stunden nach dem Hack begannen die Angreifer, die erbeuteten ETH zu fragmentieren. Danach tauschten sie die Gelder um und schleusten sie durch eine Kette von Plattformen. Laut BBC sind bereits rund 300 Millionen Dollar unwiederbringlich gewaschen. Insgesamt wurden bis zum Stand der Recherche rund 941 Millionen Dollar der gestohlenen Assets durch diesen Prozess geleitet. Eine zentrale Rolle spielte dabei eX Protocol, eine Tauschbörse aus Belize. Diese Plattform operiert mit ausgesprochen laxen Know-Your-Customer-Regeln.

Dieses Vorgehen entspricht dem Layering im Sinne von § 261 StGB — dem Einschleusen, Umschichten und Verschleiern kriminell erlangter Gelder. Wer als Plattform daran mitwirkt, macht sich strafbar. Das gilt auch dann, wenn die Betreiber die Herkunft der Gelder nur billigend in Kauf nehmen. Darüber hinaus drohen Mixer-Diensten ohne ausreichende KYC-Maßnahmen Konsequenzen nach § 32 KWG. Denn sie erbringen ohne die erforderliche Erlaubnis Finanzdienstleistungen. Schließlich diskutiert die EU-Kommission diese Regulierungslücken im Rahmen der MiCAR-Regulierung — eine vollständige Antwort auf staatlich koordinierte Großangriffe bietet sie allerdings bislang nicht.

Was der Hack über die Sicherheit zentralisierter Börsen aussagt

Der Bybit-Hack stellt eine unbequeme Frage: Wie sicher sind zentralisierte Kryptobörsen wirklich? Denn Bybit gehört zu den etabliertesten Plattformen der Branche. Dennoch genügte ein Angriff auf einen einzigen Drittanbieter, um 1,4 Milliarden Dollar zu entwenden. Das zeigt, dass selbst große Akteure verwundbar sind, wenn ihre Lieferkette nicht mit derselben Sorgfalt gesichert wird wie ihre eigene Infrastruktur. Insofern ist dieser Hack ein Warnsignal für die gesamte Branche.

Für Sie als Nutzer bedeutet das: Die Wahl einer Plattform sollte nicht allein nach Handelsvolumen oder Gebührenstruktur erfolgen. Vielmehr sollten Sie prüfen, ob die Börse unter MiCAR reguliert ist, ob sie eine Haftpflicht für Sicherheitsvorfälle ausweist und ob sie über nachgewiesene Sicherheitsprüfungen durch unabhängige Dritte verfügt. Außerdem gilt: Je größer der Betrag, den Sie auf einer Plattform halten, desto größer ist Ihr Risiko bei einem Vorfall dieser Art. Daher empfiehlt es sich, größere Krypto-Bestände in selbst verwalteten Wallets zu halten und lediglich für aktive Handelsphasen auf zentralisierte Plattformen zu übertragen. Letztlich ist das eine grundlegende Sicherheitsmaßnahme, die keine technischen Vorkenntnisse voraussetzt, aber erheblichen Schutz bietet.

Bybits Reaktion: Entschädigung und das Lazarus-Bounty-Programm

CEO Ben Zhou reagierte schnell und öffentlichkeitswirksam. Er kündigte an, alle betroffenen Nutzer vollständig zu entschädigen. Dieses Versprechen löste er durch den Kauf von ETH über OTC-Märkte im Wert von 574 Millionen Dollar ein. Außerdem rief er auf lazarusbounty.com das sogenannte Lazarus Bounty ins Leben. Wer gestohlene Assets forensisch lokalisiert, erhält 5 % des Wertes. Wer zur tatsächlichen Einfrierung beiträgt, erhält 10 %. Das maximale Kopfgeld beläuft sich auf bis zu 140 Millionen Dollar. Bis zum Stand der Recherche wurden 4,2 Millionen Dollar an Bounty-Hunter ausgezahlt — darunter Mantle Network.

Diese Initiative zeigt, dass koordiniertes Handeln und professionelles Blockchain-Tracing tatsächlich Wirkung entfalten können. Gleichzeitig verdeutlicht sie: Bybit ist selbst auf externe Expertise angewiesen, um die Spur der gestohlenen Gelder zu verfolgen. Für Geschädigte bedeutet das, dass professionelle forensische Unterstützung kein Luxus ist. Ähnliche Rückgewinnungsmechanismen haben sich auch bei anderen Großfällen bewährt — etwa bei der OneCoin-Entschädigung durch das US-Justizministerium.

Rechtliche Handlungsoptionen für deutsche Geschädigte

Wenn Sie direkt auf Bybit Gelder verloren haben, stehen Ihnen mehrere Rechtswege offen. Zunächst kommt eine Strafanzeige nach § 263a StGB wegen Computerbetrugs in Betracht. Da die Gelder anschließend systematisch gewaschen wurden, sollten Sie zudem Anzeige wegen Geldwäsche nach § 261 StGB erstatten. Beide Normen erfassen nicht nur die unmittelbaren Täter. Darüber hinaus gelten sie auch für Personen und Plattformen, die wissentlich zur Tat beigetragen haben.

Auf zivilrechtlicher Ebene bietet § 823 Abs. 2 BGB eine belastbare Grundlage für Schadensersatzansprüche. Diese greifen gegen alle, die ein Schutzgesetz — etwa § 263a oder § 261 StGB — verletzt haben. Sofern in Ihrem Fall Fiat-Rampen oder Zahlungsdienstleister involviert sind, greift zusätzlich § 675u BGB. Diese Norm regelt die Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge. Mehr zu diesem Ansatz finden Sie in unserem Beitrag zur Bankhaftung bei Kryptobetrug.

Außerdem sollten Sie prüfen, ob beteiligte Zwischenplattformen ohne KWG-Erlaubnis nach § 32 KWG tätig waren. Ist das der Fall, sind sämtliche mit ihnen geschlossenen Verträge nach § 134 BGB nichtig. Folglich haben Sie Anspruch auf Rückabwicklung. Die Vermögensabschöpfung nach § 73 StGB in Verbindung mit § 111e StPO ermöglicht es den Behörden ferner, identifizierte Gelder zu sichern und später an Geschädigte zurückzuführen. Darüber hinaus lohnt es sich zu prüfen, ob Schadensersatzansprüche nach § 280 BGB wegen Pflichtverletzung in Betracht kommen — etwa wenn eine Plattform Auszahlungen infolge des Hacks verzögerte.

Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.

Beweissicherung: Was Sie sofort tun sollten

Beweise haben in Krypto-Fällen eine sehr kurze Halbwertszeit. Sobald Gelder durch Mixer und Tauschbörsen geschleust werden, werden die forensischen Spuren schwächer. Deshalb ist rasches Handeln geboten. Sichern Sie zunächst alle Transaktions-IDs, Wallet-Adressen und Kontoauszüge. Bewahren Sie außerdem Screenshots aus der Bybit-App und jede Korrespondenz mit dem Kundensupport auf. Notieren Sie genaue Zeitstempel aller relevanten Vorgänge.

Erstatten Sie danach Strafanzeige — entweder bei der örtlichen Polizeidienststelle oder direkt bei der Zentralstelle Cybercrime. Parallel dazu empfiehlt sich die Beauftragung eines auf Blockchain-Forensik spezialisierten Dienstleisters. Das professionelle Krypto-Tracing erzeugt gerichtsverwertbare Gutachten. Somit stärken Sie Ihre Schadensersatzklage erheblich. Vergleichbare Methoden setzen inzwischen auch europäische Strafverfolgungsbehörden ein, wie unser Bericht zur Europol-Operation gegen Krypto-Betrüger zeigt.

MiCAR und die Regulierungslücken, die Angriffe ermöglichen

Der Bybit-Hack offenbart systemische Schwächen weit über den Einzelfall hinaus. Die EU-weite Regulierung durch MiCAR soll mehr Transparenz bringen. Allerdings schließt sie keine Lücke, die staatlich koordinierte Angriffe wie den der Lazarus Group verhindern würde. MiCAR verpflichtet Börsen zwar zu robusten Sicherheitsmechanismen und einer Mindestkapitalisierung. Eine ausdrückliche Haftungsregelung für Angriffe über kompromittierte Drittanbieter enthält die Verordnung bislang jedoch nicht.

Genau hier entsteht für Geschädigte eine juristische Argumentationslinie. Wenn eine Börse über MiCAR-regulierte Märkte operiert, ihre Lieferkette aber nicht ausreichend absichert, kann darin eine Verletzung organisatorischer Sorgfaltspflichten liegen. Diese Argumentation ist noch nicht höchstrichterlich entschieden. Sie gewinnt allerdings in der juristischen Literatur zunehmend Gewicht. Ebenso zeigen Fälle wie Pig-Butchering-Netzwerke, dass professionell organisierte Kriminalität und staatlich geförderte Hackergruppen fließend ineinandergreifen.

KI, Deepfakes und der größere Kontext der Eskalation

Der Bybit-Hack ist kein Einzelereignis. Er ist Teil einer strukturellen Eskalation. Die Lazarus Group und ähnliche Akteure setzen zunehmend auf Social Engineering — verstärkt durch Künstliche Intelligenz. Deepfake-Videos von Führungskräften und automatisierte Phishing-Kampagnen machen es selbst erfahrenen Nutzern schwer, Angriffe zu erkennen. Unser Artikel zu KI-gestütztem Krypto-Betrug und Deepfake-Phishing beschreibt diese Entwicklung im Detail.

Für Sie als potenziell Geschädigter bedeutet das: Die technische Raffinesse der Täter ist kein Argument gegen die Erfolgschancen einer Rechtsverfolgung. Vielmehr zeigt sie, dass spezialisierte Strafverfolgungsbehörden und Kanzleien mit forensischem Know-how solche Fälle heute systematisch aufarbeiten können. Voraussetzung ist jedoch, dass die Beweissicherung rechtzeitig erfolgt. Infolgedessen gilt: Wer wartet, verliert. Jede Verzögerung gibt den Tätern Zeit, weitere Spuren zu verwischen.

Warum Bybits Entschädigung nicht für alle gilt

Bybit hat alle direkten Nutzer vollständig entschädigt. Das Unternehmen kaufte dafür ETH im Wert von 574 Millionen Dollar über OTC-Märkte. Allerdings greift diese Entschädigung nur für direkte Bybit-Kunden mit betroffenem Plattform-Guthaben. Wer dagegen durch den nachfolgenden Markteinbruch Verluste erlitt, fällt nicht darunter. Ebenso wenig gilt sie für Nutzer, deren Gelder über eine andere Plattform gewaschen wurden. Wer schließlich durch blockierte Auszahlungen anderer Börsen mittelbar geschädigt wurde, hat keinen automatischen Anspruch auf Bybits Kulanzprogramm.

Solche mittelbaren Schäden sind rechtlich schwieriger geltend zu machen — aber nicht ausgeschlossen. Insbesondere wenn Ihnen nachweisbar entging, Gelder rechtzeitig abzuziehen, weil eine Plattform Auszahlungen verzögerte, kommen Schadensersatzansprüche nach § 280 BGB in Betracht. Zudem sollten Sie prüfen, ob Ihre Versicherung Krypto-Verluste durch Hackerangriffe abdeckt. Viele Policen schließen solche Fälle pauschal aus. Allerdings halten diese Klauseln häufig einer AGB-Kontrolle nicht stand — deshalb lohnt sich anwaltliche Prüfung.

Ein weiterer Aspekt betrifft die steuerliche Behandlung des Verlusts. Krypto-Verluste durch Hackerangriffe sind in Deutschland steuerlich nicht automatisch abzugsfähig. Dennoch prüfen Steuerberater und spezialisierte Kanzleien zunehmend, ob ein Totalverlustabzug möglich ist — insbesondere wenn die Transaktion eindeutig dokumentiert ist. Somit kann die sorgfältige Beweissicherung nicht nur juristisch, sondern auch steuerlich von Vorteil sein. Außerdem empfiehlt es sich, die gestohlenen Assets zum Tatzeitpunkt zu bewerten und in der Steuererklärung zu vermerken, auch wenn ein Abzug zunächst abgelehnt wird. Denn Musterklagen anderer Betroffener können später rückwirkend Ihre Position stärken.

Internationale Kooperation und die Grenzen der Strafverfolgung

Die Zuordnung des Angriffs zur Lazarus Group ist von mehreren westlichen Geheimdiensten bestätigt. Dennoch steht eine Verurteilung vor fundamentalen Hindernissen. Nordkorea liefert keine Staatsbürger aus und kooperiert nicht mit Interpol. Deshalb konzentriert sich die praktische Strafverfolgung auf die Kette der Mittäter in Drittländern — auf Tauschbörsen, Mixer-Betreiber und Geldwäscher, die in Reichweite westlicher Gerichtsbarkeit agieren.

Hier entfaltet das forensische Tracing seinen größten Nutzen. Indem es die Bewegungen der gestohlenen Gelder dokumentiert, schafft es Anknüpfungspunkte für Beschlagnahmemaßnahmen nach § 111b StPO. Darüber hinaus ermöglicht es Einziehungsanordnungen nach § 73 StGB. Behörden in den USA, der EU und Großbritannien haben gezeigt, dass es möglich ist, auch von staatlichen Akteuren gestohlene Krypto-Gelder teilweise zurückzugewinnen. Voraussetzung ist allerdings, dass die Spurensicherung früh genug beginnt. Daher ist das professionelle Krypto-Tracing auch hier der entscheidende erste Schritt.

Konkret läuft ein solches Verfahren in mehreren Stufen ab. Zunächst rekonstruieren Blockchain-Forensiker die exakten Transaktionspfade der gestohlenen ETH auf der öffentlichen Ethereum-Blockchain. Danach identifizieren sie, über welche Zwischenwallets und Tauschbörsen die Gelder geflossen sind. Insofern entsteht ein lückenloser Nachweis, der sowohl für strafprozessuale als auch für zivilrechtliche Zwecke genutzt werden kann. Schließlich leiten Anwälte auf dieser Basis Beschlagnahmeanträge bei den zuständigen Staatsanwaltschaften ein — national wie international. Je früher Sie diesen Prozess anstoßen, desto größer ist die Chance, dass Gelder noch nicht vollständig in nicht zugängliche Wallets überführt wurden. Letztlich entscheidet die Geschwindigkeit Ihres Handelns darüber, ob eine Rückgewinnung realistisch bleibt.

„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“

— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern

Häufige Fragen zum Bybit Hack Lazarus

Was ist beim Bybit Hack Lazarus genau passiert?

Am 21. Februar 2025 manipulierte die nordkoreanische Lazarus Group die Wallet-Software eines Bybit-Partners. Dabei wurde die Zieladresse bei einem Transfer von 401.000 ETH unbemerkt ausgetauscht. Bybit überwies 1,4 Milliarden Dollar an die Angreifer, obwohl die Mitarbeiter glaubten, intern zu überweisen. Juristisch erfüllt das den Tatbestand des § 263a StGB — Computerbetrug durch unbefugte Beeinflussung eines Datenverarbeitungsprozesses.

Kann ich als Bybit-Nutzer Schadensersatz geltend machen?

Das hängt von Ihrem konkreten Schaden ab. Ansprüche nach § 823 Abs. 2 BGB sind grundsätzlich möglich. Sofern Fiat-Rampen involviert waren, kommt zusätzlich § 675u BGB in Betracht. Außerdem sollten Sie strafrechtliche Schritte nach § 263a StGB und § 261 StGB prüfen lassen. Eine auf Krypto-Recht spezialisierte Kanzlei kann Ihre Handlungsoptionen individuell einschätzen.

Was ist die Lazarus Bounty und wie funktioniert sie?

Bybit-CEO Ben Zhou rief das Programm auf lazarusbounty.com ins Leben. Wer gestohlene Assets lokalisiert, erhält 5 % des Wertes. Wer zur tatsächlichen Einfrierung beiträgt, erhält 10 %. Bis zum Stand der Recherche wurden 4,2 Millionen Dollar ausgezahlt — darunter an Mantle Network. Das maximale Kopfgeld beläuft sich auf bis zu 140 Millionen Dollar.

Wie viel der gestohlenen Gelder wurde bereits gewaschen?

Laut BBC sind bereits rund 300 Millionen Dollar unwiederbringlich gewaschen. Insgesamt wurden bis zum Stand der Recherche rund 941 Millionen Dollar durch Mixer und Tauschbörsen mit laxen KYC-Regeln geleitet. Das ist ein Layering-Verfahren im Sinne von § 261 StGB. Besonders eX Protocol aus Belize spielte dabei eine zentrale Rolle.

Was sollten Betroffene jetzt konkret tun?

Sichern Sie sofort alle Beweise: Transaktions-IDs, Screenshots, Wallet-Adressen und jede Korrespondenz. Erstatten Sie danach Strafanzeige bei der Polizei oder der Zentralstelle für Cybercrime. Beauftragen Sie außerdem ein spezialisiertes Team mit einem forensischen Blockchain-Tracing. Somit sichern Sie die Verbleibspur der gestohlenen Assets, solange noch Anknüpfungspunkte bestehen.

Sofortkontakt