Was bedeutet der Lazarus Hack 2026 für deutsche Anleger, und welche Rechte haben Sie jetzt?
Die Lazarus-Gruppe der nordkoreanischen Aufklärungsbehörde hat seit Anfang 2026 über eine Milliarde US-Dollar aus dem Krypto-Ökosystem gestohlen — das schätzen Wiz Security Research und MEXC. Allein der Bybit-Angriff brachte 1,46 Mrd USD in Ethereum in fremde Hände. Hatten Sie Kapital auf Bybit, Drift Protocol oder der Kelp Restaking Bridge? Dann stehen Ihnen als betroffene deutsche Anlegerin oder Anleger konkrete Haftungsansprüche gegen Plattformen und Intermediäre zu.
Wer steckt hinter TraderTraitor, und wie funktioniert das Angriffs-Playbook der Lazarus-Gruppe?
TraderTraitor ist die operative Untergruppe der Lazarus-Gruppe. Das nordkoreanische Regime setzt diese Einheit seit mindestens 2022 für Krypto-Angriffe ein. Der Ursprung liegt im Reconnaissance General Bureau (RGB) der DPRK. Das FBI hat die Gruppe formell als staatlichen Bedrohungsakteur klassifiziert. In einer öffentlichen Warnung vom Februar 2026 bestätigte das FBI die Verantwortlichkeit für den Bybit-Hack.
Phase 1: Gefälschte Recruiter und vergiftete Coding-Tests
Das Angriffs-Playbook folgt einem konsistenten, mehrstufigen Muster, das Wiz Security Research in einer eingehenden technischen Analyse dokumentiert hat. In der ersten Phase erstellt die Gruppe detailliert gepflegte LinkedIn-Profile fiktiver Recruiter oder Ingenieure. Diese Profile konzentrieren sich auf kryptoaffine Startups und DeFi-Protokolle. Zielentwickler erhalten überzeugend formulierte Job-Angebote, die einen Coding-Test enthalten — typischerweise ein GitHub-Repository oder ein NPM-Paket, das auf den ersten Blick legitim wirkt. Wer dieses Paket installiert, lädt gleichzeitig eine Backdoor auf seinen Rechner herunter.
Phase 2: NPM-Supply-Chain und Malware-Implantate
In der zweiten Phase setzt TraderTraitor auf NPM-Supply-Chain-Angriffe. Die Gruppe veröffentlicht Pakete mit Namen wie blockchain-utils oder node-debug-helper unter scheinbar seriösen Profilen in der öffentlichen NPM-Registry. Sobald ein Entwickler das Paket in seinen Build-Prozess einbindet, lädt das System auf macOS-Geräten entweder den RustBucket-Dropper oder den KandyKorn-Stealer nach. KandyKorn exfiltriert private Schlüssel, Seed-Phrasen und Wallet-Konfigurationsdateien aus der lokalen Entwicklungsumgebung — ohne dass herkömmliche Virenscanner anschlagen. Auf Windows-Systemen kommen PowerShell-basierte Implantate zum Einsatz, die sich als Krypto-Dashboard-Tools tarnen.
Phase 3: Wäschepfad über THORChain und OTC-Desks
Hat TraderTraitor einmal Zugang zu den Signierschlüsseln eines Cold-Wallet-Signers, bewegt die Gruppe gestohlene Werte durch einen ausgefeilten Wäschepfad. Der erste Stopp ist THORChain — ein dezentrales Cross-Chain-Protokoll ohne KYC-Pflicht. Anschließend folgen der mittlerweile geschlossene Mixer eXch sowie Sinbad. Am Ende stehen OTC-Desks in Asien, die gegen Bargeld oder stabile Fiatwährungen tauschen. Diesen Pfad zeichnet der MEXC Lazarus Activity Tracker (April 2026) detailliert nach. Er bildet die Grundlage für Tracing-Maßnahmen durch On-Chain-Forensiker.
📣 Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Wie groß ist der Bybit-Hack wirklich, und was hat er mit Drift Protocol und Kelp zu tun?
Der Bybit-Angriff vom Februar 2026 ist der größte dokumentierte Krypto-Diebstahl der Geschichte: 1,46 Mrd USD in Ethereum-Token zog TraderTraitor aus dem Cold-Wallet-System der Börse ab. Das FBI bestätigte TraderTraitor als Urheber. Doch Bybit war nicht das Ende — sondern der Anfang einer Serie, die 2026 das gesamte DeFi-Ökosystem erschütterte.
Drift Protocol und Kelp: Wie TraderTraitor 2026 weitermachte
Laut Phemex Academy (DeFi Hacks 2026) nutzte TraderTraitor im April 2026 dieselbe Supply-Chain-Taktik. Ziel war Drift Protocol — ein dezentrales Perpetual-Futures-Protokoll auf Solana. Der Exploit trocknete mehrere Liquiditätspools aus, bevor Drift-Notfallschaltkreise ansprangen. Wenige Wochen später folgte die Kelp Restaking Bridge. Kelp ist ein Liquid-Restaking-Protokoll, das ETH-Derivate über mehrere Layer-2-Netzwerke verwaltet. Eine manipulierte Signer-Node lieferte die Schlüssel — KandyKorn hatte sie zuvor exfiltriert. Damit signierte TraderTraitor eine betrügerische Cross-Chain-Nachricht und zweigte ETH aus der Kelp-Brückenreserve ab.
Gesamtschaden: Über eine Milliarde US-Dollar allein in 2026
Binance Square (2026) beziffert den monatlichen Schaden durch nordkoreanische Staatsakteure in dieser Phase auf rund 606 Millionen US-Dollar. Den Gesamtschaden für 2026 weist die Analyse mit über einer Milliarde US-Dollar aus. Diese Zahlen sind keine Schätzungen unbekannter Quellen. Sie basieren auf Konsolidierungen aus On-Chain-Analysen von Chainalysis, Elliptic und TRM Labs, die internationale Ermittlungsbehörden verwenden.
Für deutsche Anleger ist diese Dimension besonders relevant, weil Drift Protocol und Kelp unter europäischen Retail-Investoren als vergleichsweise liquide Yield-Strategien galten. Wer 2025 oder 2026 ETH oder SOL in Kelp-Restaking-Positionen oder Drift-Liquiditätspools eingebracht hat, gehört potenziell zu den Direktgeschädigten. Erfahrungsgemäß liegen die Schadensbeträge deutscher Privatanleger in solchen Protokollen zwischen 5.000 und 150.000 Euro.
Welche Sanktionen gelten gegen Lazarus-Wallets, und was bedeutet das für Ihre Rechtslage?
Die US-Behörde OFAC hat von 2022 bis 2025 mehrere Dutzend Wallet-Adressen auf die Specially Designated Nationals List (SDN-List) gesetzt. Diese Adressen ordnet die Behörde TraderTraitor zu. Jede Transaktion, die wissentlich oder fahrlässig mit diesen Adressen in Berührung kommt, verstößt gegen US-Exportkontroll- und Sanktionsrecht — mit extraterritorialer Wirkung auf global agierende Börsen.
EU-Sanktionen und TFR II: Neue Pflichten für Plattformen
Im ersten Quartal 2026 hat die Europäische Union im Rahmen ihres 17. Nordkorea-Sanktionspakets eine umfassende Liste von Wallet-Adressen sowie Frontgesellschaften in die Verordnung (EU) 2016/357 und deren Erweiterungen aufgenommen. Was bedeutet das konkret für Sie? Plattformen, die Ihre Einzahlungen an sanktionierten Wallet-Adressen gespiegelt oder Auszahlungsanfragen nicht ordnungsgemäß geprüft haben, verstießen möglicherweise gegen EU-Sanktionsrecht.
Seit dem 30. Dezember 2024 gilt die Transfer-of-Funds-Regulation II (TFR II, auch „Travel Rule II“) in der gesamten EU vollständig. Die GwG-Novelle vom 10. Februar 2026 dehnte den Anwendungsbereich auf alle Krypto-Asset-Service-Provider (CASPs) aus: Jede Transaktion über 1.000 Euro begleiten Sender-CASP und Empfänger-CASP mit Identifikationsdaten des wirtschaftlichen Eigentümers. Gleichzeitig schreibt MiCAR Art. 68 robuste Sicherheits- und Resilienz-Systeme vor. Art. 73 MiCAR verpflichtet zur Überwachung auf Marktmanipulation und ungewöhnliche Transaktionsmuster. Haben Plattformen diese Pflichten verletzt und Ihre Vermögenswerte dadurch nicht rechtzeitig eingefroren, entstehen hieraus zivilrechtliche Haftungsansprüche nach § 280 BGB.
GwG-Sorgfaltspflichten und Schadensersatz nach § 823 BGB
Ebenso bedeutsam sind die geldwäscherechtlichen Sorgfaltspflichten nach dem GwG sowie die aufsichtsrechtlichen Sorgfaltspflichten nach § 44 KWG für Banken und Krypto-Wertpapierdienstleister. Reagiert eine deutsche Plattform auf eingehende Gelder aus bekannten Lazarus-Adressen nicht mit einer sofortigen Hold-Maßnahme und Verdachtsmeldung, verletzt sie ihre GwG-Sorgfaltspflichten. Das eröffnet Schadensersatzansprüche nach § 823 Abs. 2 BGB.
Geldwäsche über THORChain und eXch: Lassen sich gestohlene Coins noch tracen?
Der Wäschepfad von TraderTraitor ist technisch elaboriert, hinterlässt jedoch unvermeidlich On-Chain-Spuren. Das Verständnis dieses Pfads ist die Voraussetzung, um professionelles Blockchain-Tracing einzusetzen und Vermögen für einen gerichtlichen Arrest zu lokalisieren.
Wie TraderTraitor Krypto-Assets wäscht — Schritt für Schritt
Unmittelbar nach einem Exploit konvertiert TraderTraitor gestohlene Token in Ethereum — typischerweise über dezentrale Exchanges wie Uniswap oder Curve, die keine KYC-Hürden aufweisen. Anschließend wandern die Funds zu THORChain: Dieses protokollübergreifende Liquidity-Network erlaubt Cross-Chain-Swaps zwischen Bitcoin, Ethereum, Solana und anderen Assets ohne zentrale Gegenpartei. THORChain ist nicht sanktioniert, aber seine Transaktionshistorie ist öffentlich einsehbar und für Forensiker auswertbar. Im nächsten Schritt nutzte TraderTraitor bis zur Schließung im Jahr 2025 eXch — einen Mixer-Service, der durch verschachtelte CoinJoin-Transaktionen die Herkunft von Coins verschleiert. Sinbad, ein weiterer Mixing-Service, hat eXch teilweise als Werkzeug abgelöst. Am Ende des Pfads stehen OTC-Desks in Asien — Schattenbörsen, die für Bündel frischer Fiat-Währung kaufen, ohne FATF-konforme AML-Dokumentation zu verlangen.
Tracing trotz Mixing: Was On-Chain-Forensiker heute leisten
Trotz dieser Verschleierung führen spezialisierte Krypto-Tracing-Firmen und Forensik-Anwälte heute Cluster-Analysen durch. Diese ordnen gestohlene Coins mit hinreichender Wahrscheinlichkeit bekannten Empfänger-Adressen zu. Dieser forensische Report bildet die Basis für einen Antrag auf Vermögensarrest nach § 111e StPO i.V.m. § 73 StGB. Deutsche Gerichte können diesen Arrest auch ohne vorherige Verurteilung erlassen, um einen künftigen Einziehungsanspruch zu sichern. Hegen Sie den Verdacht, dass Ihre Mittel durch einen solchen Pfad weiterbewegt wurden? Dann ist professionelles Krypto-Tracing durch einen Blockchain-Forensik-Anwalt der erste sinnvolle Schritt.
Welche zivilrechtlichen Ansprüche haben deutsche Drift- und Kelp-Anleger gegen Plattformen?
Für deutsche Privatanleger, die Kapital über lizenzierte oder de facto erlaubnispflichtige Plattformen in Drift Protocol oder die Kelp Restaking Bridge eingebracht haben, ergibt sich ein mehrschichtiger Anspruchsrahmen. Dieser umfasst sowohl vertragsrechtliche als auch deliktsrechtliche Grundlagen.
§ 675u und § 280 BGB: Vertragliche Haftung der Plattform
Der zentrale vertragliche Anknüpfungspunkt ist § 675u BGB, der die Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge regelt. Soweit eine in Deutschland lizenzierte Plattform Ihre Einlagen in ein kompromittiertes Protokoll weiterleitete, ohne Sie über das Sicherheitsrisiko zu informieren, kann dieser Haftungskanal einschlägig sein. Daneben tritt § 675v BGB, der die Mitverschuldenshaftung des Nutzers begrenzt, sofern Sie als Anleger keine grob fahrlässige Sicherheitsverletzung begangen haben.
Der breiter anwendbare Haftungstatbestand ist § 280 BGB: Plattformen, die MiCAR Art. 68 oder Art. 73 verletzt haben, haben eine Nebenpflicht aus dem Nutzungsvertrag gebrochen. Dieser Verstoß begründet Schadensersatz in Höhe des tatsächlichen Schadens — also des Verlusts Ihrer Krypto-Einlagen zum Zeitpunkt des Exploits. Erfüllt die Plattform Rückzahlungsforderungen nicht fristgerecht, können Sie zudem Zinsen nach § 286 BGB (Verzug) geltend machen.
§ 823, § 826, § 134, § 812 BGB: Deliktsrechtliche Wege
Deliktsrechtlich eröffnet § 823 Abs. 2 BGB i.V.m. dem Verstoß gegen die GwG-Sorgfaltspflichten einen eigenständigen Haftungsweg, der unabhängig vom Vertragsverhältnis greift. Handelte eine Plattform mit Vorsatz oder grober Fahrlässigkeit — etwa weil sie bekannte Lazarus-Wallets nicht sperrte oder Verdachtsmeldungen nicht erstattete —, kommt ergänzend § 826 BGB (vorsätzliche sittenwidrige Schädigung) in Betracht. Schließlich sind Verträge, die faktisch mit sanktionierten Adressen zustande gekommen sind, nach § 134 BGB nichtig. Die Folge: Sie können Bereicherungsansprüche nach § 812 BGB geltend machen.
Haben Angreifer auf Ihrem Gerät durch die KandyKorn-Malware in eine Signer-Rolle eingebrochen und dabei personenbezogene Daten exfiltriert, besteht darüber hinaus ein Schadensersatzanspruch nach Art. 82 DSGVO gegen den Verantwortlichen, der die Datensicherheit nicht nach dem Stand der Technik gewährleistet hat.
Welche Haftung trifft deutsche Banken bei SEPA-Überweisungen an kompromittierte Plattformen?
Eine Frage, die in der Praxis häufig übersehen wird, betrifft die Rolle deutscher Hausbanken. Wer sein Kapital per SEPA-Überweisung zunächst an eine Krypto-Börse und von dort in Drift oder Kelp transferiert hat, kann unter Umständen auch gegen die überweisende Bank vorgehen. Das gilt dann, wenn die Bank Transaktionen an bereits sanktionierte Wallet-Adressen — oder an Intermediäre mit nachweislichem Kontakt zu solchen Adressen — nicht unterbunden hat.
Wann haftet Ihre Hausbank für ausgebliebenes Sanktionsscreening?
Hausbanken sind nach dem Kreditwesengesetz und dem Geldwäschegesetz zur Risikoanalyse und zum Sanktionsscreening verpflichtet. Soweit eine Bank im Rahmen des § 44 KWG vorgelagerte Hinweise auf kompromittierte Empfängerinstitutionen hätte erkennen können, entstehen Schutzpflichtverletzungen nach § 280 BGB. Detaillierte Handlungsoptionen im Bereich der Bankhaftung hat unsere Kanzlei in dem gesonderten Beitrag zur Bankhaftung bei Kryptobetrug zusammengefasst.
Besonders heikel ist die Situation, wenn die Hausbank nach einem intern gesetzten AML-Hold auf Basis ihrer GwG-Sorgfaltspflichten Ihre Rückbuchungsanfrage ablehnte, ohne Ihnen eine plausible rechtliche Grundlage zu nennen. In diesem Fall liegt möglicherweise eine weitere Pflichtverletzung vor, die Sie selbstständig geltend machen können. Auch in solchen Konstellationen empfiehlt sich die Einschaltung einer auf Bankhaftung und Kryptowerte spezialisierten Kanzlei.
Wie unterscheidet sich der TraderTraitor-Angriff von klassischem KI-gestütztem Krypto-Betrug?
Wer die aktuellen Betrugsmaschen im Krypto-Raum verfolgt, kennt die Welle an KI-generierten Deepfake-Angeboten, Phishing-Kampagnen und gefälschten Handelsplattformen, die 2025 und 2026 europäische Anleger heimsuchte. TraderTraitor unterscheidet sich davon in einem entscheidenden Punkt: Hier handelt es sich nicht um opportunistischen Betrug von Einzelpersonen oder kriminellen Banden. Stattdessen steht eine staatlich gesteuerte Operation dahinter, die mit nachrichtendienstlicher Infrastruktur, professionellen Entwicklerteams und politischer Deckung durch die DPRK ausgestattet ist.
Staatliche Täterschaft: Nachteil und rechtlicher Vorteil zugleich
Das hat für Sie als Geschädigte oder Geschädigter sowohl Vorteile als auch Nachteile. Der Nachteil liegt auf der Hand: Eine direkte Rückforderung von nordkoreanischen Staatsoperatoren ist de facto unmöglich. Der rechtliche Vorteil besteht darin, dass FBI, OFAC und Interpol die Täterschaft bereits weit fortgeschritten nachgewiesen haben. Europäische Plattformen, die trotz dieser Informationslage keine Sicherheitsmaßnahmen ergriffen haben, tragen deshalb ein deutlich erhöhtes Haftungsrisiko. Wie KI-gestützte Angriffsmethoden und Social-Engineering-Taktiken zusammenspielen, erläutert der Pillar-Artikel zu KI-Krypto-Betrug, Deepfakes und Phishing 2026.
Darüber hinaus verdient die internationale Dimension besondere Beachtung. Im Jahr 2025 zerschlug eine Europol-Operation eine kriminelle Infrastruktur mit über 700 Millionen Euro Schaden. Sie nutzte dabei dieselben forensischen Methoden, die heute für TraderTraitor-Fälle relevant sind. Eine Zusammenfassung der damaligen Maßnahmen finden Sie in unserem Beitrag zur Europol-Zerschlagung krimineller Krypto-Netzwerke.
Welche konkreten Schritte sollten Sie als Geschädigter jetzt unternehmen?
Die erste und wichtigste Maßnahme ist die Sicherung aller Beweise, bevor Zeitstempel veralten oder Plattformen ihre Daten löschen. Laden Sie vollständige Transaktionshistorien als CSV-Export herunter. Sichern Sie alle E-Mail-Korrespondenz mit der Plattform. Fotografieren Sie die Kontostände und die letzten Ein- und Auszahlungsschritte. Bewahren Sie außerdem alle LinkedIn-Nachrichten oder sonstigen Kommunikationsnachweise auf, falls Sie Opfer einer Social-Engineering-Kampagne wurden.
Blockchain-Tracing: Der Schlüssel für den Vermögensarrest
Im zweiten Schritt leiten Sie professionelles Blockchain-Tracing ein. Ein forensisch gestützter Trace-Report belegt, wohin Ihre Token nach dem Exploit geflossen sind. Er zeigt, ob die Empfänger-Wallets auf OFAC- oder EU-Sanktionslisten stehen und ob eine Zuordnung zu bekannten TraderTraitor-Clustern möglich ist. Ohne diesen Report lässt sich ein Antrag auf Vermögensarrest nach § 111e StPO i.V.m. § 73 StGB nicht glaubhaft begründen. Unsere Kanzlei arbeitet mit akkreditierten Blockchain-Forensik-Dienstleistern zusammen. Details dazu finden Sie im Beitrag zu Krypto-Tracing und Blockchain-Forensik.
BaFin-Lizenz der Plattform prüfen und Verjährung beachten
Drittens prüfen Sie, ob Ihre Plattform über eine BaFin-Lizenz verfügt oder nach § 32 KWG erlaubnispflichtige Dienstleistungen ohne Genehmigung erbrachte. Im letzteren Fall greift § 54 KWG (Strafbarkeit), und gleichzeitig eröffnen sich Ansprüche nach § 134 BGB wegen Nichtigkeit des Vertrags. Bei erlaubnislos operierenden Plattformen informieren Sie die BaFin über die Meldeplattform, was den Weg für behördliche Ermittlungen nach § 44 KWG öffnet.
Schließlich laufen im Bereich Computerbetrug nach § 263a StGB und Geldwäsche nach § 261 StGB die Verjährungsfristen. Für zivilrechtliche Ansprüche gilt in der Regel die dreijährige Regelverjährung des BGB ab Kenntnis des Schadens. Je länger Sie abwarten, desto geringer werden die Erfolgsaussichten bei der Rückgewinnung von Vermögen.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Warum ist die Kombination aus MiCAR, TFR II und KWG-Pflichten ein Wendepunkt für Geschädigte?
Vor dem Inkrafttreten von MiCAR und TFR II befand sich die Rechtslage für Krypto-Anleger in einer rechtlichen Grauzone. Viele Plattformen operierten ohne eindeutige Lizenzpflicht, und AML-Pflichten waren fragmentiert. Mit dem vollständig anwendbaren MiCAR-Regime und der Travel Rule II hat sich das fundamental geändert — und das ist für Sie als Geschädigter entscheidend.
MiCAR und TFR II: Klare Haftungsgrundlagen für 2026
MiCAR Art. 68 und Art. 73 sind unmittelbar anwendbare EU-Verordnungen, die keine nationale Umsetzung erfordern. Plattformen, die nach MiCAR als CASPs (Crypto-Asset Service Providers) tätig sind, unterliegen diesen Pflichten ohne jeden Ausnahmetatbestand. TFR II verpflichtet zur lückenlosen Weitergabe von Begünstigtendaten — auch bei Transaktionen an ungehostete Wallets, wenn diese den Schwellenwert überschreiten. Verstöße gegen diese Pflichten können Sie direkt als Pflichtverletzungen nach § 280 BGB geltend machen, ohne dass ein spezielles Aufsichtsverfahren der BaFin oder der EBA vorangeht.
Dies schafft eine neue Klasse von Haftungsansprüchen für Anleger, die bislang allein auf strafrechtliche Ermittlungen oder die Hoffnung auf freiwillige Entschädigungen durch Plattformen angewiesen waren. Das Ergebnis: Die rechtliche Ausgangslage für deutsche Drift- und Kelp-Geschädigte ist im Jahr 2026 deutlich besser als noch zwei Jahre zuvor. Allerdings setzt die erfolgreiche Durchsetzung dieser Ansprüche eine spezialisierte anwaltliche Begleitung voraus, die sowohl das Aufsichtsrecht als auch die Blockchain-Forensik beherrscht. Das LG Bamberg hat in einem richtungsweisenden Verfahren zur Bitcoin-Bande und Fake-Trading gezeigt, wie deutsche Gerichte mit technisch komplexen Krypto-Sachverhalten umgehen. Das Ergebnis war eindeutig: Spezialisierte Rechtsverfolgung erzielt konkrete Resultate.
FAQ: Häufige Fragen von Drift- und Kelp-Anlegern nach dem Lazarus Hack 2026
Kann ich meine gestohlenen Krypto-Funds tatsächlich zurückbekommen?
Eine vollständige Rückgewinnung gestohlener Krypto-Assets direkt von den nordkoreanischen Tätern ist realistisch betrachtet ausgeschlossen. Die erfolgversprechenden Wege führen über die Haftung von Plattformen und Intermediären: Börsen, Protokoll-Betreiber oder Banken, die ihre Sorgfaltspflichten nach MiCAR, KWG oder BGB verletzt haben, können Sie auf Schadensersatz in Anspruch nehmen. Parallel dazu kann professionelles Blockchain-Tracing gestohlene Coins identifizieren, die noch in zugänglichen On-Chain-Wallets lagern und über einen Vermögensarrest nach § 111e StPO i.V.m. § 73 StGB gesichert werden können. Erfolgsaussichten hängen stark vom Einzelfall ab — entscheidend sind Zeitpunkt des Angriffs, Plattformlizenz und Qualität der On-Chain-Spuren.
Welche Beweise brauche ich, um rechtliche Schritte einzuleiten?
Grundlegend sind die vollständige Transaktionshistorie Ihrer betroffenen Wallets und Plattform-Konten (als CSV-Export) sowie der Nachweis der Kapitaleinzahlung (Bankbeleg oder SEPA-Beleg). Sichern Sie außerdem alle Korrespondenz mit der Plattform rund um den Schadensfall. Sofern vorhanden, gehört auch jede Kommunikation aus einer Social-Engineering-Kampagne dazu — etwa LinkedIn-Nachrichten oder E-Mails mit Coding-Test-Links. Ein durch ein akkreditiertes Forensik-Institut erstellter Blockchain-Trace-Report, der die Bewegung Ihrer Tokens nach dem Exploit dokumentiert, ist für Anträge auf Vermögensarrest und für gerichtliche Verfahren zwingend erforderlich.
Haftet Bybit, Drift oder Kelp für den entstandenen Schaden?
Das hängt von der Rechtsform der Plattform, ihrer Lizenzierung und dem anwendbaren Recht ab. Drift Protocol und Kelp sind dezentrale Protokolle, bei denen die Betreiber-Identität und die Haftungsadressierung juristisch komplex sind. Bybit als zentralisierte Börse ist hingegen eine klar identifizierbare juristische Person. Deutsche Anleger mit einem Bybit-Konto haben in vielen Fällen direkte vertragliche Ansprüche nach §§ 675u, 280 BGB. Bei dezentralen Protokollen richtet sich die Haftung stärker gegen Intermediäre, die den Zugang zu diesen Protokollen vermittelt haben — also gegen Plattformen mit BaFin-Lizenz, die Drift- oder Kelp-Positionen in ihr Angebot aufgenommen haben.
Greift meine Krypto-Versicherung oder Depot-Absicherung bei einem Staatshacker-Angriff?
Die meisten Standard-Krypto-Versicherungsprodukte schließen staatlich gesponserte Angriffe (Nation-State Attacks) explizit aus ihrem Versicherungsumfang aus. Sollten Sie eine spezialisierte DeFi-Protocol-Versicherung über Protokolle wie Nexus Mutual oder InsurAce abgeschlossen haben, prüfen Sie, ob der konkrete Exploit in den Versicherungsschutz fällt oder ob ein Ausschlussgrund greift. Legen Sie die Police in jedem Fall umgehend der Kanzlei vor, damit die Kanzlei die Anmeldung des Versicherungsanspruchs fristgerecht begleitet. Eine separate Krypto-Hausratsversicherung deckt in aller Regel keine Protokoll-Exploits ab.
Wann verjähren meine Ansprüche gegen die Plattform?
Die zivilrechtliche Regelverjährung nach BGB beträgt drei Jahre ab dem Schluss des Jahres, in dem Sie Kenntnis vom Schaden und vom haftenden Schuldner erlangt haben. Für Ansprüche aus dem Bybit-Angriff (Februar 2026) läuft die Frist frühestens ab dem 31. Dezember 2026. Bei den April-2026-Vorfällen (Drift, Kelp) beginnt die Verjährung ebenfalls ab dem 31. Dezember 2026. Warten Sie jedoch nicht bis zum Ende dieser Frist: On-Chain-Beweise lassen sich mit der Zeit schwieriger verknüpfen, und Plattformen können Beweisdaten löschen. Eine zeitnahe rechtliche Einschätzung durch eine spezialisierte Kanzlei ist daher geboten.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern