Es ist Mitte Februar 2026 in Lissabon. In einem Coworking-Space mit Blick auf den Tejo öffnet ein DeFi-Gründer die jüngste E-Mail einer Kontaktperson, die sich seit Oktober 2025 als Partner eines namhaften amerikanischen Venture-Capital-Fonds vorgestellt hat. Drei Monate liegen hinter dem Team: Pitch-Decks, NDAs, strukturierte Due-Diligence-Calls, ein Entwurf einer Term Sheet. Der nächste Schritt, teilt die Gegenseite mit, sei die Prüfung der technischen Infrastruktur über einen freigegebenen Repository-Link. Der Gründer klickt. Dreißig Minuten später ist die Treasury leer.
Step Finance Fake VC Betrug: Wie verlor das Protokoll 40 Millionen Dollar?
Step Finance, ein Portfolio-Aggregator und Analytics-Dashboard auf der Solana-Blockchain, verlor im ersten Quartal 2026 rund 40 Millionen US-Dollar durch eine staatlich gestützte Social-Engineering-Kampagne. Angreifer traten als legitime Venture-Capital-Investoren auf, bauten über Wochen Vertrauen auf und lieferten über einen präparierten Link Initial Access auf operative Schlüsselinfrastruktur. Der Hacken-Quarterly-Report vom 14. April 2026 ordnet den Vorfall als state-sponsored-linked ein.
Die zentrale These lautet: Der Step-Finance-Angriff ist kein isoliertes Solana-DeFi-Problem. Er markiert die Industrialisierung eines Vektors, den DPRK-nahe Gruppen wie UNC4736 (auch bekannt als Citrine Sleet, Gleaming Pisces, Golden Chollima, AppleJeus) seit mindestens 2018 verfeinern und der im April 2026 mit dem 285-Millionen-Dollar-Drift-Hack seinen vorläufigen Höhepunkt erreichte. Für geschädigte Teams und Investoren, die Kapital in solchen Protokollen hatten, stellen sich nun dreigliedrige Fragen: Wer haftet zivilrechtlich? Welche Beweismittel sichern den Anspruch? Und ab wann ist ein DACH-Bezug gegeben, der eine Rechtsverfolgung ermöglicht?
Welche Methode steckt hinter dem Step Finance Fake-VC-Angriff?
Das Angriffsmuster folgt einem strukturierten Playbook, das sich nach den vorliegenden Quellen mit dem Drift-Protocol-Angriff vom 1. April 2026 nahezu deckungsgleich überschneidet. Kein technischer Zero-Day, keine Smart-Contract-Lücke — der Angriffsvektor ist der Mensch hinter dem Protokoll.
Der erste Kontakt erfolgt typischerweise auf einer Krypto-Konferenz oder über LinkedIn. Die Persona der Angreifer ist vollständig ausgebaut: Berufsverlauf, öffentliche Profile, Referenzen zu Portfoliounternehmen. Die Sprache ist kalibriert — technisch präzise, mit angemessenem DeFi-Jargon, der Vertrauen signalisiert. Wochenlange Kommunikation via Telegram oder Discord. NDAs werden unterzeichnet, erste Due-Diligence-Materialien ausgetauscht. Das Ziel des Teams glaubt, kurz vor einem Series-A-Closing zu stehen.
Dieser Aufbau ist kein spontanes Vorgehen. Er folgt einer operativen Logik, die gezielt Schwachstellen in der Entscheidungsstruktur junger DeFi-Teams ausnutzt. In einem frühen Protokoll-Stadium ist das Gründungsteam klein und in mehreren Rollen gleichzeitig tätig: technische Entwicklung, Community-Management, Investorenkommunikation. Jede Rolle erfordert externe Kommunikation. Jede externe Kommunikation ist ein potenzieller Angriffsvektor. Die Fake-VC-Persona wählt genau diese Öffnung — und gibt ihr den Namen eines legitimen Prozesses: Investment Due Diligence. Das psychologische Gewicht dieser Rahmung senkt die Hürde erheblich, einen unbekannten Link zu öffnen oder eine unbekannte Anwendung zu installieren. Sie sind dann nicht mehr nur ein Nutzer — Sie sind ein Gründer, der kurz vor dem größten Meilenstein seiner Karriere steht.
Dann kommt die operative Phase. Die Angreifer bitten um Zugang zu technischen Ressourcen — ein GitHub-Repository, ein Evaluationsdokument, ein Beta-Test einer Wallet-App. Im Drift-Protokoll-Fall vom April 2026 enthielt ein geteiltes VS-Code-Projekt eine manipulierte tasks.json-Datei, die beim Öffnen im IDE automatisch Schadcode ausführte. Ein zweiter Contributor wurde über Apples TestFlight-Plattform zur Installation einer präparierten Wallet-App verleitet. Die Analyse von The Hacker News vom 5. April 2026 dokumentiert die sechsmonatige Vorbereitungsphase, die bereits im Herbst 2025 begann.
Bei Step Finance deutet der Hacken-Report auf eine strukturell analoge Methode hin: Ein State-Sponsored-Actor nutzte Fake-VC-Outreach, um Initial Access auf operative Schlüsselinfrastruktur zu erlangen. Der Hacken-Report auf CoinMarketCap vom 14. April 2026 klassifiziert den 40-Millionen-Verlust explizit als „fake venture capital outreach campaign linked to a state-sponsored threat actor“. Für Drift bestätigt dieselbe Quelle die Zuordnung zu UNC4736 mit mittlerer Konfidenz — Grundlage sind On-Chain-Geldflüsse zurück zu den Radiant-Capital-Angreifern aus Oktober 2024 sowie überlappende operationale Personas.
Der Vertrauensaufbau ist keine Improvisation. DPRK-nahe Gruppen investieren eigene Mittel: Im Drift-Fall deponierten die Angreifer über eine Million US-Dollar in einem Ecosystem-Vault, um eine legitime Gegenpartei zu simulieren. Telegram-Chats wurden nach dem Angriff gelöscht. Die Personen, die physisch bei Konferenzen erschienen, waren keine nordkoreanischen Staatsangehörigen — DPRK nutzt dokumentiert Drittintermediäre in China, Russland, dem Iran oder Irland für die Face-to-Face-Interaktion.
Was die Drift-Attribution für Step Finance relevant macht: Beide Angriffe fanden im selben Quartal statt. Beide nutzten den identischen operationalen Grundmuster — professionelle Persona, mehrstufiger Vertrauensaufbau, Malware-Lieferung über einen vermeintlich legitimen Kontext. Im Drift-Fall waren die Täter so kalibriert, dass selbst technisch versierte Protokoll-Mitarbeiter mit Sicherheitserfahrung getäuscht wurden. Sie hatten Monate Zeit, den Kontext so aufzubauen, dass der letzte Schritt — das Öffnen einer Datei oder das Installieren einer App — wie eine Routinehandlung wirkte. Für Sie als Leser bedeutet das: Die Qualität eines Angreifers misst sich nicht daran, wie ausgeklügelt sein Code ist. Sie misst sich daran, wie überzeugend seine Geschichte ist.
📣 Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Was zeigt der Q1-2026-Gesamtbericht über die Schäden durch Social Engineering?
Der MEXC-Report vom 14. April 2026, der auf dem Hacken-Quarterly-Research basiert, beziffert den Gesamtschaden im ersten Quartal 2026 auf 482 Millionen US-Dollar — verteilt auf 43 Einzelvorfälle. Phishing und Social Engineering vereinen mit 306 Millionen US-Dollar den weitaus größten Teil der Schadensumme auf sich. Zum Vergleich: Schwachstellen in Smart Contracts verursachten 86,2 Millionen, Access-Control-Fehler einschließlich kompromittierter Private Keys und Cloud-Infrastrukturen 71,9 Millionen Dollar.
Besonders aufschlussreich ist eine Beobachtung aus dem Bericht: Sechs geprüfte Protokolle — darunter Resolv Labs mit 18 Sicherheitsaudits und Venus Protocol, das fünf unabhängige Prüfungsrunden absolviert hatte — verzeichneten Verluste von insgesamt 37,7 Millionen Dollar. Die Prüfungstiefe schützte nicht, weil der Angriff nicht auf den Code zielte, sondern auf die Personen dahinter. Die Phemex-Zusammenfassung vom 14. April 2026 bestätigt 44 Vorfälle und unterstreicht Social Engineering als dominante Angriffskategorie des Quartals.
Der Step-Finance-Verlust von 40 Millionen Dollar ist damit der zweitgrößte Einzelvorfall des Quartals nach dem 282-Millionen-Dollar-Hardware-Wallet-Phishing-Betrug im Januar 2026. Zusammen machen diese beiden Fälle mehr als 66 Prozent des Gesamtschadens aus. Das zeigt: Es sind keine Massen-Phishing-Kampagnen auf kleine Anleger, die die größten Schäden verursachen — es sind präzise, monatelang vorbereitete Angriffe auf Protokoll-Teams und deren Kontrolle über Milliardenwerte.
Dass diese Angriffe zunehmend staatsnahe Akteure zur Finanzierung geopolitischer Ziele nutzen, ist für Sie als Betroffener rechtlich relevant. Die Zuordnung zu staatlichen Akteuren schließt zivilrechtliche Ansprüche gegen dritte Systemteilnehmer — Banken, On-Ramp-Dienstleister, Kryptobörsen — nicht aus, sondern macht sie unter Umständen tragfähiger, weil sie Sorgfaltspflichten nach dem Geldwäschegesetz aktiviert.
Die BaFin hat den Fake-VC-Outreach-Vektor, dem Step Finance zum Opfer fiel, inzwischen explizit in ihr Warnspektrum aufgenommen. Am 26. Januar 2026 warnte die Behörde vor Messenger-basiertem Anlagebetrug über WhatsApp und Telegram — darunter Pig-Butchering-Maschen, die auf systematischem Vertrauensaufbau über digitale Kanäle beruhen. Am 12. Februar 2026 ergänzten BaFin und die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA eine gemeinsame Warnung vor KI-gestütztem Finanzbetrug mit Kryptowerten. Der Fake-VC-Angriff auf Step Finance folgt exakt dieser Methodik: monatelanger Vertrauensaufbau über Messenger, KI-unterstützte Persona-Infrastruktur, finaler Malware-Trigger.
Wie läuft die rechtliche Einordnung nach deutschem Recht ab?
Der zentrale Ansatzpunkt für geschädigte Anleger oder Protokollbetreiber mit DACH-Bezug ist nicht das Strafrecht, sondern das Zivilrecht. Social Engineering dieser Komplexität erfüllt typischerweise den Betrugstatbestand gemäß § 263 StGB — die Täuschung über die Identität als VC-Firma, das Erregen eines Irrtums über die Legitimität des Kontakts, die dadurch veranlasste Vermögensverfügung. Für die zivilrechtliche Verfolgung von Vermögen, das den Tätern zuzuordnen ist, greifen § 73 StGB i.V.m. § 111e StPO für staatliche Einziehungsmaßnahmen; privatrechtlich eröffnet § 812 BGB Bereicherungsansprüche gegen jeden, der aus dem Schadensfluss ungerechtfertigt profitiert hat.
Für Sie als Privatanleger oder institutionelles Opfer mit deutschem Bankkonto ist die Bankenhaftung gemäß § 675u BGB der unmittelbarste Ansatz, sofern eine Zahlung vom eigenen SEPA-Konto in Richtung einer kriminellen Infrastruktur autorisiert oder von einem Kreditinstitut ohne hinreichende GwG-Prüfung durchgeleitet wurde. Die Korrespondenzpflichten nach § 675v BGB regeln die Haftungsverteilung bei unautorisierten Zahlungen und grober Fahrlässigkeit des Zahlungsdienstleisters.
Wenn die Erlöse aus dem Betrug über eine deutsche IBAN auf einer Kryptobörse eingezahlt oder von dort ausgezahlt wurden, greift § 10 GwG für die Sorgfaltspflichtenprüfung. Kreditinstitute und nach § 1 KWG zugelassene Kryptoverwahrdienstleister sind verpflichtet, den wirtschaftlich Berechtigten zu identifizieren und Herkunft sowie Verbleib der Mittel zu dokumentieren. Unterlassen sie dies und ermöglichen damit den Abfluss, haften sie nach § 826 BGB auf Schadensersatz, wenn die vorsätzlich sittenwidrige Schädigung nachweisbar ist. MiCAR — die EU-Verordnung über Märkte für Kryptowerte — verschärft ab 2026 die Anforderungen an zugelassene Krypto-Asset-Serviceprovider (CASPs) und eröffnet BaFin-Beschwerden mit unmittelbarer Marktaufsichtswirkung.
Für die Kapitalverfolgung steht Ihnen das On-Chain-Tracing als forensische Grundlage zur Verfügung. Bei Angriffen dieser Komplexität — mit DPRK-nahen Gruppen als Tätern — werden Mittel typischerweise durch Mixer, Cross-Chain-Brücken und mehrere Layer von Intermediate Wallets geleitet. Dennoch ist Solana-Blockchain-Forensik in der Lage, Geldflüsse über Transaktionshashes bis zu einem Mixing-Einspeisepunkt zu verfolgen. Dieser Nachweis ist Voraussetzung für eine Einziehungsanordnung und für zivilrechtliche Drittauskunftsersuchen gegenüber Börsen.
Wenn Sie mehr über den Zusammenhang zwischen Deepfakes, KI-gestützten Social-Engineering-Kampagnen und vergleichbaren Betrugsvektoren erfahren möchten, finden Sie weiterführende Informationen im Artikel über KI-gestützte Krypto-Betrügereien, Deepfakes und Phishing 2026.
Was sollten Sie nach einem Fake-VC-Angriff sofort sichern?
Jede Stunde zählt. Das gilt nicht nur wegen der Transaktionsgeschwindigkeit auf Solana — finalisierte Transaktionen sind in der Regel innerhalb von Millisekunden irreversibel —, sondern vor allem wegen der Löschaktivitäten der Angreifer. Im Drift-Fall vom April 2026 wurden Telegram-Chats und Malware-Spuren unmittelbar nach dem Angriff entfernt. In einer typischen Angriffssequenz vergehen nach dem Initial Access wenige Minuten bis zur vollständigen Vermögensverlagerung. Die Angreifer handeln schnell und präzise — sie hatten monatelang Zeit, ihr Vorgehen zu planen. Sie hatten keine. Sichern Sie daher sofort folgende Materialien, bevor Sie irgendwelche Konten schließen oder Kommunikationskanäle löschen.
Sichern Sie erstens die gesamte Kommunikationshistorie: E-Mail-Header mit vollständigen SMTP-Routing-Informationen, Telegram-Verläufe einschließlich Datei-Metadaten gesendeter Anhänge, Discord-Server-Protokolle, LinkedIn-Nachrichten und Kontaktanfragen mit Zeitstempeln. Erstellen Sie Screenshots mit vollständig sichtbarem Browser-Header inklusive URL. Exportieren Sie Rohdaten wo möglich.
Sichern Sie zweitens alle finanziellen Materialien: Wallet-Adressen, die Sie den Angreifern mitgeteilt haben oder die in Dokumenten auftauchten. Transaktionshashes aller ausgehenden Zahlungen im relevanten Zeitraum. Blockchain-Explorer-Screenshots mit Zeitstempel und Block-Nummer. IBAN- und Bankverbindungsnachweise, falls FIAT-Zahlungen in Zusammenhang mit der Vorbereitung standen.
Sichern Sie drittens die technische Angriffsspur: Den Repository-Link oder die Datei, über die der Initial Access erfolgte. Alle heruntergeladenen Dateien — ohne sie zu öffnen. Browser-History und Download-Logs. System-Prozesslisten zum Zeitpunkt des Incidents, soweit noch abrufbar. Log-Daten aus Cloud-Infrastruktur (AWS, Google Cloud, Azure) über IAM-Zugriffsänderungen im relevanten Zeitfenster.
Sichern Sie viertens die Identitätsdokumente der Fake-VC-Persona: Visitenkarten oder digitale Äquivalente. PDF-Dokumente mit Metadaten (Erstellungsdatum, Autor-Felder, verwendete Software). Website-Screenshots der gefälschten VC-Firma mit vollständiger URL und Zeitstempel. KYC-Daten, die die Gegenseite im Rahmen des Onboarding-Prozesses vorgelegt hat.
Diese Beweissicherung ist Voraussetzung für eine Drittauskunftsklage gegen eine Kryptobörse, die Erlöse verwahrte, und für eine BaFin-Beschwerde gegen einen deutschen CASP, der an der Geldflussroute beteiligt war.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Wann ist eine rechtliche Prüfung sinnvoll — und wann scheidet sie aus?
Eine Prüfung ergibt Sinn, wenn mindestens eine der folgenden Bedingungen erfüllt ist: Sie haben eigene FIAT-Mittel über eine deutsche, österreichische oder Schweizer Bank in den Angriff eingebracht, etwa als Investition in das Protokoll oder als Kapitalanlage in einen zugehörigen Fonds. Eine Kryptobörse mit BaFin-Zulassung oder europäischer MiCAR-Registrierung war an der On-Ramp oder Off-Ramp der Schadenssumme beteiligt. Die angreifende Persona nutzte eine deutsche oder europäische Bankverbindung für vermeintlich legitime Transaktionen im Rahmen des VC-Onboardings. Sie sind als Protokoll-Mitarbeiter oder Investor in einem EU-Mitgliedstaat ansässig und hatten operative Kontrolle über betroffene Wallets.
Eine Prüfung scheidet aus, wenn weder Anleger noch Plattform einen wirtschaftlichen Anknüpfungspunkt im DACH-Raum aufweisen und keine On-Ramp-Bank involviert war. Wenn alle Transaktionen ausschließlich auf nicht-europäischen Kryptobörsen ohne EU-Regulierung stattfanden und kein Bezug zu deutschem Zahlungsverkehrsrecht besteht, fehlt eine belastbare Rechtsgrundlage für ein deutsches Mandat. Gleiches gilt für Schäden unter einem Schwellenwert, bei dem die Kosten einer vollständigen On-Chain-Forensik und zivilrechtlichen Rechtsverfolgung den erzielbaren Anspruch übersteigen.
Wenn Sie unsicher sind, ob Ihr Fall einen DACH-Bezug aufweist, genügt eine kurze Sachverhaltsschilderung mit Datum, Schadensbetrag und beteiligten Zahlungswegen. Eine erste rechtliche Einschätzung erhalten Sie innerhalb von 24 Stunden — ohne Rückschlüsse auf die Erfolgsaussichten. Die Bankenhaftung bei Kryptobetrug ist ein gesondertes und stark von den Einzelumständen abhängiges Feld, das einer individuellen Prüfung bedarf.
Welche konkreten Schritte folgen nach der Erstprüfung?
Nach der Sachverhaltsaufnahme folgt zunächst die forensische Tracing-Phase. Auf Basis der von Ihnen gesicherten Transaktionshashes und Wallet-Adressen wird die On-Chain-Geldflussroute rekonstruiert. Ziel ist die Identifikation von Endpunkten, an denen Mittel auf regulierten Börsen eingingen oder durch Mixer geleitet wurden. Dieser Schritt ist Grundlage für jede weitere Rechtsmaßnahme. Die Methodik des Krypto-Tracings und der Blockchain-Forensik erlaubt es, auch nach Mixer-Einsatz in einer erheblichen Zahl von Fällen eine probabilistische Zuordnung zu erreichen, die vor Gericht verwertbar ist.
Parallel dazu wird geprüft, ob eine BaFin-Beschwerde gegen beteiligte deutsche CASPs sinnvoll ist. Nach MiCAR und § 44 KWG hat die BaFin weitreichende Auskunfts- und Prüfungsrechte gegenüber zugelassenen Kryptoverwahrern. Eine förmliche Beschwerde aktiviert diese Befugnisse und kann dazu führen, dass eine Behörde Auskünfte erteilt, die Ihnen als Privatperson verweigert würden.
Wenn eine Bank an der Zahlungsroute beteiligt war, folgt ein schriftliches Auskunftsersuchen nach § 675u BGB mit formeller Aufhebung des Bankgeheimnisses gegenüber dem Institut, soweit es Auskunfts- und Herausgabepflichten nach § 823 Abs. 2 BGB i.V.m. § 10 GwG unterliegt. Gibt die Bank keine Auskunft oder verweigert sie die Kooperation, ist ein Drittauskunftsersuchen im Wege der einstweiligen Verfügung möglich.
Eine zivilrechtliche Klage gegen Börsenbetreiber oder Bankdienstleister nach § 280 BGB (Pflichtverletzung) oder nach § 826 BGB (vorsätzliche sittenwidrige Schädigung) schließt den Prozess ab, sofern die Tracing-Ergebnisse und BaFin-Auskünfte ausreichende Anknüpfungspunkte liefern. In Fällen mit DPRK-Attribution empfiehlt sich zudem ein Abgleich mit dem Europol-Netzwerk gegen Kryptobetrug, da dort koordinierte Einziehungsverfahren möglich sind.
Der Verfahrensgang ist in keinem dieser Fälle geradlinig. Staatsnahe Angreifer sind auf Verschleierung spezialisiert. Aber jede Spur, die Sie jetzt sichern, verbessert Ihre Ausgangslage — und jede Stunde, die Sie warten, verringert die Wahrscheinlichkeit, dass Mittel noch eingefroren werden können, bevor sie durch weitere Mixer-Schichten verschwinden.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern
Häufige Fragen
Was ist der Step Finance Fake-VC-Betrug und wer steckt dahinter?
Step Finance, ein Portfolio-Analytics-Protokoll auf der Solana-Blockchain, verlor im ersten Quartal 2026 rund 40 Millionen US-Dollar durch eine gezielte Social-Engineering-Kampagne. Angreifer gaben sich als Vertreter eines legitimen Venture-Capital-Fonds aus, bauten über mehrere Monate professionelles Vertrauen auf und lieferten schließlich einen Malware-Link im Zuge einer vermeintlichen Due-Diligence-Prüfung. Der Hacken-Quarterly-Report vom April 2026 ordnet den Angriff einem staatlich gestützten Akteur zu. Die Methodik weist enge Parallelen zum Drift-Protocol-Hack vom 1. April 2026 auf, der der DPRK-nahen Gruppe UNC4736 — auch bekannt als Citrine Sleet und Gleaming Pisces — zugeordnet wird.
Kann ich als Anleger zivilrechtlich gegen Banken oder Kryptobörsen vorgehen, die an der Zahlungsroute beteiligt waren?
Ja, sofern ein wirtschaftlicher Anknüpfungspunkt im DACH-Raum besteht. Wenn Sie eigene Mittel über eine deutsche Bank in das Protokoll eingebracht haben oder eine BaFin-lizenzierte Kryptobörse an der Zahlungsroute beteiligt war, eröffnen § 675u BGB und § 826 BGB zivilrechtliche Haftungsansprüche. Voraussetzung ist in der Regel ein vollständiges On-Chain-Tracing, das die Geldflussroute bis zu einem regulierten Endpunkt nachweist. Eine BaFin-Beschwerde gegen den beteiligten CASP kann die Auskunftslage erheblich verbessern.
Welche Beweise sind für eine rechtliche Prüfung am wichtigsten?
Am wertvollsten sind vollständige E-Mail-Header der Kommunikation mit der Fake-VC-Persona, Telegram- oder Discord-Exportdateien inklusive gesendeter Anhänge und Metadaten, alle Transaktionshashes und Wallet-Adressen aus dem betroffenen Zeitraum sowie Dokumente, die die Gegenseite im Rahmen des vermeintlichen Investitionsprozesses übermittelt hat. PDF-Dokumente mit original Metadaten — Erstellungsdatum, Autorenfeld, verwendete Software — sind besonders aussagekräftig für die Identifikation gefälschter Identitäten.
Gilt die DPRK-Attribution und wie wirkt sie sich auf meine Ansprüche aus?
Die DPRK-Attribution des Drift-Angriffs durch Mandiant und CrowdStrike basiert auf On-Chain-Geldflüssen zu bekannten Radiant-Capital-Adressen und überlappenden operationalen Personas. Für Step Finance liegt eine analoge Klassifikation als state-sponsored-linked im Hacken-Report vor. Für Ihre zivilrechtlichen Ansprüche gegen Dritte — also Banken oder Börsen — ist die staatliche Attribution nicht entscheidend. Sie verbessert aber die Argumentation bei BaFin-Beschwerden, weil sie den Schweregrad der Fahrlässigkeit bei der GwG-Prüfung durch beteiligte Institute unterstreicht.
Wie lange habe ich Zeit, um Ansprüche geltend zu machen?
Die reguläre zivilrechtliche Verjährungsfrist beträgt nach § 195 BGB drei Jahre ab Kenntnis des Schadens und der Person des Schädigers. Bei Ansprüchen gegen Banken aus § 675u BGB gilt eine separate Frist, die mit der Belastungsbuchung beginnt. Wichtiger als die formelle Verjährung ist jedoch die operative Dringlichkeit: Krypto-Geldflüsse durch Mixer und Börsen werden nach wenigen Wochen durch weitere Transaktionen überlagert. Je früher das Tracing einsetzt, desto größer ist die Chance, Mittel an einem regulierten Endpunkt einfrieren zu lassen.
Der Angriff auf Step Finance steht nicht für sich. Er ist Teil einer dokumentierten, staatlich gesteuerten Finanzierungsstrategie: DPRK-nahe Gruppen wie UNC4736 haben seit mindestens 2018 über eine Milliarde US-Dollar aus dem Kryptosektor abgezogen — nach Schätzungen des US-Außenministeriums zur teilweisen Finanzierung nordkoreanischer Rüstungsprogramme einschließlich neuer Zerstörer, nuklear betriebener U-Boote und Aufklärungssatelliten. Das bedeutet für Sie als Betroffener: Die Täter werden nicht verschwinden. Technologie, Persona-Infrastruktur und Finanzierungsbedarf entwickeln sich weiter. In den kommenden Quartalen ist mit einer weiteren Professionalisierung der Fake-VC- und Fake-Partnership-Vektoren zu rechnen, insbesondere da KI-gestützte Deepfake-Technologie die Überprüfung von Video-Identitäten zunehmend erschwert. Der Maßstab für angemessene Sorgfaltspflichten in DeFi-Teams und bei ihren Investoren steigt damit rapide — und mit ihm die Haftungsrisiken für alle, die diese Sorgfalt nicht nachweisen können.