30. April 2026, früher Morgen — TRM Labs veröffentlicht eine Zahl, die selbst Compliance-Spezialisten innehalten lässt: 76 Prozent. Drei von vier Dollar in der weltweiten Krypto-Hack-Statistik des Jahres 2026 fließen nach Nordkorea. Nicht durch Dutzende Angriffe, sondern durch zwei: Drift Protocol am 1. April, KelpDAO am 18. April. Zusammen 577 Millionen Dollar — geschickt in zwölf Minuten und einer einzigen, gefälschten Cross-Chain-Nachricht. Wer in DeFi-Protokollen aktiv war oder BTC-Auszahlungen aus THORChain-Pools erhalten hat, sollte jetzt die Konsequenzen für Ihre eigene Situation genau kennen.
Was sagt der TRM Labs Nordkorea 2026 Bericht zur 76-Prozent-Zahl?
Der TRM Labs Bericht vom 30. April 2026 erfasst sämtliche Krypto-Hack-Vorfälle von Januar bis Ende April 2026 und kommt zu einem historisch einmaligen Ergebnis: 76 Prozent aller in diesem Zeitraum durch Hacks entwendeten Kryptowerte entfallen auf die Demokratische Volksrepublik Korea (DPRK). Der nominale Schadensbetrag beläuft sich auf 577 Millionen US-Dollar — verteilt auf lediglich zwei separate Angriffe, die zusammen nur drei Prozent der gezählten Hack-Vorfälle ausmachen, aber fast vier Fünftel des gesamten Schadensvolumens. TRM Labs dokumentiert diese Entwicklung als den höchsten jemals gemessenen DPRK-Anteil in der Jahresstatistik.
Zum Verständnis des Kontexts: Die DPRK hat ihre Hack-Aktivitäten seit 2017 systematisch gesteigert. Der kumulative Gesamtschaden seit Beginn der Attribution durch TRM Labs und vergleichbare Analyseunternehmen beläuft sich auf über sechs Milliarden US-Dollar. Die Anteilsentwicklung am jährlichen Gesamt-Hack-Volumen zeichnet eine steile Kurve: 2020 und 2021 lag der DPRK-Anteil noch unter zehn Prozent, 2022 bei 22 Prozent, 2023 bei 37 Prozent, 2024 bei 39 Prozent, 2025 bereits bei 64 Prozent — und nun, auf Basis der ersten vier Monate 2026, bei 76 Prozent. TrollEye Security fasst diese Trendlinie in ihrer Analyse des TRM-Berichts zusammen und betont, dass die Konzentration auf wenige, technisch hochentwickelte Angriffe das wesentliche Merkmal der aktuellen DPRK-Strategie sei.
Für Sie als Anleger in DACH ist diese Zahl kein abstraktes Großrisiko im Fernen Osten. Sie hat konkrete Auswirkungen darauf, welche Exchanges rückwirkend Ihre Transaktionen einer Compliance-Prüfung unterziehen, welche DeFi-Protokolle gerade mit regulatorischem Druck konfrontiert sind und welche Anspruchsgrundlagen gegenüber Intermediären heute schon tragfähig sind. Grundlagen zu den forensischen Instrumenten, mit denen sich gestohlene Kryptowerte auf der Blockchain zurückverfolgen lassen, finden Sie auf unserer Seite zum Krypto-Tracing und zur Blockchain-Forensik.
📣 Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Der Drift-Protocol-Hack vom 1. April 2026: Sechs Monate Social Engineering, zwölf Minuten Ausführung
Der Drift-Protocol-Angriff vom 1. April 2026 zeigt das operative Niveau staatlich gesteuerter nordkoreanischer Hackergruppen in seiner vielleicht schärfsten Form. 285 Millionen US-Dollar wurden an einem einzigen Tag aus dem Solana-basierten DeFi-Protokoll abgezogen — nicht durch technische Zero-Day-Schwachstellen im Code, sondern durch eine mehrmonatige Social-Engineering-Kampagne, die physische In-Person-Meetings, gefälschte Identitäten und monatelange Vertrauensarbeit kombinierte. Nach Informationen aus dem TRM-Bericht dauerte die eigentliche Ausführungsphase gerade zwölf Minuten. Die Vorbereitung: sechs Monate.
Die DPRK-Gruppe, die für diesen Angriff verantwortlich gemacht wird, ist nach TRM Labs ausdrücklich nicht identisch mit TraderTraitor — der Gruppe, die für den KelpDAO-Angriff und für den Bybit-Hack 2025 bekannt ist. Es handelt sich um eine separate DPRK-Subgruppe, was die These unterstützt, dass Nordkorea über mehrere spezialisierte Cyber-Units verfügt, die unabhängig voneinander und mit unterschiedlichen Angriffsmethoden operieren. Beim Drift-Angriff nutzten die Täter Solana-spezifische technische Merkmale: sogenannte Durable Nonces, ein 2-von-5-Multisig-Setup sowie einen Fake-Token namens CVT, der gezielt in den Genehmigungsprozess eingeschleust wurde. Die anschließende Geldwäsche folgte einem charakteristischen Muster: USDC über die dezentrale Aggregationsplattform Jupiter → Ethereum-CCTP-Brücke → Ethereum, wo die Gelder in inaktiven Wallets geparkt wurden. Ausführliche Analyse zur Drift-Struktur bietet auch unser Schwesterartikel zum Drift-Protocol-Hack und der Class-Action gegen Circle/CCTP.
Die Einschätzungen von Elliptic zur DPRK-Attribution des Drift-Angriffs stützen die TRM-Labs-Analyse und verweisen auf forensische Merkmale, die mit früheren DPRK-Operationen übereinstimmen: identische Wallet-Strukturen, dieselben Geldwäsche-Hops, charakteristische Zeitfenster in der Transaktionssequenz. Chainalysis analysiert den Drift-Hack im Detail und betont insbesondere die Multisig-Kompromittierung als entscheidenden Angriffsvektor, der durch ein einziges kompromittiertes Insider-Gerät ausgelöst wurde. Für Anleger, die in Drift Protocol investiert waren oder Exposure durch angebundene Protokolle hatten, ist die strafrechtliche Einordnung eindeutig: Der Sachverhalt erfüllt den Tatbestand des Computerbetrugs nach § 263a StGB sowie des Betrugs nach § 263 StGB; Geldwäsche nach § 261 StGB liegt ebenso vor. Die Frage der zivilrechtlichen Durchsetzbarkeit dieser Ansprüche gegenüber Intermediären ist komplexer und wird weiter unten behandelt.
Der KelpDAO-Exploit vom 18. April 2026: TraderTraitor, LayerZero und die THORChain-Spur
Siebzehn Tage nach dem Drift-Angriff schlug die DPRK erneut zu — diesmal traf es KelpDAO, ein auf Liquid Restaking spezialisiertes DeFi-Protokoll. 292 Millionen US-Dollar wurden am 18. April 2026 über einen Exploit der LayerZero-Brückeninfrastruktur von KelpDAO abgezogen; die Schadensposition entspricht rund 116.500 rsETH. Verantwortlich ist laut TRM Labs die Gruppe TraderTraitor — dieselbe, die 2025 den Bybit-Hack mit einem Schadensbetrag von 1,46 Milliarden US-Dollar durchgeführt hatte. Galaxy Research analysiert den KelpDAO-LayerZero-Exploit und beschreibt die technische Schwachstelle als Single-DVN-Konfiguration — eine Sicherheitsarchitektur, bei der ein einziger Datenvalidierungsknoten ausreicht, um eine Cross-Chain-Nachricht als legitim zu autorisieren.
Die Vorbereitungsspur des KelpDAO-Hacks reicht weit zurück: Pre-Funding-Transaktionen konnten zu einer Bitcoin-Wallet aus dem Jahr 2018 zurückverfolgt werden, die dem chinesischen Broker Wu Huihui zugeordnet wird — einer Person, die 2023 in den USA wegen Geldwäsche für das Lazarus-Netzwerk angeklagt worden war. Zusätzlich zeigen sich Verbindungen zum BTCTurk-Hack. Diese Rückverfolgung ist forensisch bedeutsam: Sie belegt, dass TraderTraitor langfristig angelegte Infrastruktur verwendet, die über Drittstaaten-Broker aufgebaut wird, und dass die Pre-Funding-Phase selbst als Geldwäschehandlung nach § 261 StGB qualifiziert werden kann. Die technische Ausführung kombinierte zwei kompromittierte interne RPC-Nodes, die falsche Daten zurücklieferten, mit einem DDoS-Angriff auf externe Nodes — das Ergebnis war, dass die LayerZero-Verifikationsinfrastruktur nur noch manipulierte Signale empfing und die gefälschte Cross-Chain-Nachricht als valide bestätigte.
Von den abgezogenen Mitteln wurden rund 30.766 ETH im Gegenwert von circa 75 Millionen US-Dollar auf Arbitrum durch den Security Council eingefroren — ein seltener, aber bedeutsamer On-Chain-Interventionserfolg. Travers Smith analysiert DeFi-Exploits und On-Chain-Interventionen und zeigt, unter welchen Bedingungen Governance-Council-Mechanismen in der Lage sind, gestohlene Mittel einzufrieren — und warum diese Einfrierungen zivilrechtlich keine Rückgabepflicht auslösen, sondern primär als strafrechtliche Sicherungsmaßnahmen zu verstehen sind. Die verbleibenden circa 175 Millionen US-Dollar wurden in ETH gehalten und anschließend über THORChain in BTC konvertiert — und sind damit auf dem Weg in die Geldwäsche-Infrastruktur der DPRK. Weiterführende Informationen zu den DeFi-Konsequenzen und zum AAVE-Kontagionsrisiko durch den KelpDAO-Hack finden Sie auf unserer Seite zur AAVE-TVL-Krise und dem KelpDAO-Hack 2026.
THORChain: Der entscheidende Engpass in der DPRK-Geldwäschekette
THORChain ist ein dezentrales Cross-Chain-Liquiditätsprotokoll, das atomare Swaps zwischen verschiedenen Blockchain-Netzwerken — insbesondere zwischen Ethereum und Bitcoin — ohne zentralen Intermediär ermöglicht. Für die DPRK ist THORChain seit spätestens 2025 zum wichtigsten Geldwäschewerkzeug geworden. Der Grund liegt in einer Kombination struktureller Merkmale: kein KYC für Nutzer, keine Einfrierungsmöglichkeit für Protokoll-Governance-Stellen, keine Kooperationsverpflichtung gegenüber Strafverfolgungsbehörden, und vollständige Pseudonymität der Liquiditätspoolbetreiber.
Beim Bybit-Hack im Februar 2025 — mit 1,46 Milliarden US-Dollar der bis dahin größte Krypto-Hack in der Geschichte — wurde der überwiegende Teil der gestohlenen ETH zwischen dem 24. Februar und dem 2. März 2025 über THORChain in BTC konvertiert. Beim KelpDAO-Angriff wiederholte sich dieses Muster: rund 175 Millionen US-Dollar in ETH wurden nach der teilweisen Einfrierung durch den Security Council über THORChain in BTC umgetauscht. Das Umbra-Privacy-Tool wurde zusätzlich eingesetzt, um Verbindungen zwischen Zwischenwallet-Adressen zu verschleiern.
Für DACH-Anleger ergibt sich aus der THORChain-Spur eine direkte Compliance-Relevanz: Wenn Sie auf einer zentralen Exchange (CEX) in den vergangenen Wochen Bitcoin-Einzahlungen aus THORChain-Pools erhalten haben, besteht nach den TRM-Labs-Empfehlungen eine erhöhte Wahrscheinlichkeit, dass diese Mittel in der Geldwäschekette der DPRK verarbeitet wurden. Exchanges wie Coinbase, Binance, Kraken und OKX sind als Mitglieder des TRM Beacon Networks verpflichtet, solche Inflows retroaktiv zu screenen. Das bedeutet für Sie: Ihre Transaktionen aus April 2026 werden von diesen Exchanges rückwirkend geprüft — und wenn eine Verbindung zur DPRK-Infrastruktur festgestellt wird, sind die betroffenen Konten Gegenstand von Compliance-Maßnahmen, einschließlich temporärer Kontosperrungen. Dieser Sachverhalt berührt die Bankhaftungsfrage unmittelbar: Eine Exchange, die THORChain-Inflows ohne das von TRM empfohlene Multi-Hop-Bridge-Screening akzeptiert hat, handelt möglicherweise pflichtwidrig nach § 280 BGB in Verbindung mit ihren aufsichtsrechtlichen Compliance-Verpflichtungen aus MiCAR und dem GwG. Mehr zu Bankhaftung bei Kryptobetrug lesen Sie auf unserer Seite zur Bankhaftung bei Kryptobetrug.
TRM Beacon Network und Compliance-Empfehlungen: Was das für Ihren Fall bedeutet
TRM Labs hat im Rahmen seines Berichts spezifische Handlungsempfehlungen für Compliance-Teams und Exchanges veröffentlicht. Das Beacon Network ist dabei das zentrale Koordinierungsinstrument: Über 30 Mitglieder — darunter Coinbase, Binance, Kraken, OKX und Crypto.com — erhalten in Echtzeit Warnmeldungen, sobald DPRK-zugeordnete Wallets oder Transaktionen auf ihrer Plattform identifiziert werden. Dieses Netzwerk ist die operative Infrastruktur hinter den retroaktiven Screening-Maßnahmen, die TRM für alle CEXes empfiehlt.
Neben dem Beacon Network umfassen die Empfehlungen konkret: Erstens Multi-Hop Bridge Screening — die vollständige Analyse von Transaktionsketten über mehrere Bridge-Hops hinweg, nicht nur der direkten Einzahlung. Zweitens Retroactive Screening für alle April-2026-USDT- und BTC-Einzahlungen mit anschließender monatlicher Aktualisierung der Attributionsdaten. Drittens ein explizites Solana Governance Exposure Flag für Inflows, die über Drift-Dispersal-Brücken wie Jupiter oder Wormhole eingegangen sind. Diese Empfehlungen sind für Anleger keine abstrakten Compliance-Hinweise: Sie beschreiben den Maßstab, an dem ein nationales Gericht im DACH-Raum messen würde, ob eine Exchange ihren Sorgfaltspflichten nach § 280 BGB und den Anti-Geldwäsche-Anforderungen aus GwG und MiCAR nachgekommen ist.
Wenn Sie als Anleger von einer dieser Prüfungen betroffen sind — sei es durch eine Kontosperrung, eine Rückforderung oder eine Informationsanfrage einer Exchange — sollten Sie Ihre Rechtsposition kennen, bevor Sie gegenüber der Exchange irgendeine Erklärung abgeben. Die DSGVO Art. 82 greift bei Schadensersatzansprüchen durch fehlerhafte Verarbeitung Ihrer KYC-Daten im Rahmen dieser Screening-Maßnahmen; § 44 KWG setzt Sanktionsgrenzen für unrechtmäßige Datenweitergabe. Zu den Strukturen der aktuellen KI-gestützten Betrugsmethoden, die häufig zusammen mit staatlichen Hack-Erlösen verwendet werden, bieten wir eine eigenständige Analyse auf unserer Seite zu KI-Kryptobetrug, Deepfake und Phishing 2026.
Rechtliche Einordnung: Welche Anspruchsgrundlagen für DACH-Geschädigte bestehen
Die strafrechtliche Einordnung der DPRK-Hacks ist eindeutig. Drift und KelpDAO erfüllen den Tatbestand des Computerbetrugs nach § 263a StGB, des Betrugs nach § 263 StGB sowie der Geldwäsche nach § 261 StGB. Der unmittelbare Täter — die DPRK — ist für zivil- und strafrechtliche Vollstreckungsmaßnahmen aus Deutschland praktisch nicht erreichbar. Das verändert jedoch nicht die Frage, ob Intermediäre in der Geldwäschekette haftbar sind.
Die Vermögensabschöpfung nach § 73 StGB in Verbindung mit § 111e StPO ermöglicht bei Intermediären in der EU — Exchanges, Bridge-Betreibern, Liquiditätsanbietern — Vermögensarreste und Einziehungen, sofern sich Teilerlöse in der EU befinden. Diese Norm wird von deutschen Staatsanwaltschaften zunehmend bei Krypto-Delikten eingesetzt, wie das Bank Policy Institute in seiner Analyse zu Krypto-Hacks und DeFi-Runs ausführt. Die Strafanzeige ist dabei nicht nur strafrechtlich relevant — sie ist die Grundlage für die Nutzung von § 111e StPO als zivilrechtliches Sicherungsinstrument.
Zivilrechtlich ergibt sich für Anleger, die durch Drift oder KelpDAO geschädigt wurden, folgende Normenpyramide: § 823 Abs. 2 BGB in Verbindung mit § 263 StGB gegen Intermediäre, die durch Verletzung von Schutzgesetzen am Schaden mitgewirkt haben; § 826 BGB für vorsätzliche sittenwidrige Schädigungen, etwa wenn eine Exchange trotz Kenntnis von DPRK-Inflows ohne Screening weitergearbeitet hat; § 812 BGB als Grundlage für Bereicherungsansprüche, wenn Gelder unberechtigterweise bei einem Intermediär verblieben. Für Ansprüche wegen Vertragspflichtverletzung gilt § 280 BGB in Verbindung mit den vertraglichen Compliance-Pflichten — insbesondere dann, wenn eine CEX THORChain-Inflows ohne das von TRM empfohlene Bridge-Screening akzeptiert hat. Anleger mit direktem DeFi-Exposure in Drift oder KelpDAO können zudem prüfen, ob eine Class-Action-Beteiligung — wie sie gegenüber Circle/CCTP läuft — geografisch für DACH-Anleger offensteht. Zu europäischen Strafverfolgungsmaßnahmen im Kontext organisierter Krypto-Delikte informieren wir auf unserer Seite zur Europol-Aktion gegen Kryptobetrug.
MiCAR, GwG und die aufsichtsrechtliche Dimension für CEXes in der EU
Mit dem vollständigen Inkrafttreten der Markets in Crypto-Assets Regulation (MiCAR) sind Crypto-Asset-Service-Provider (CASPs) in der EU verpflichtet, ihre Anti-Geldwäsche-Verpflichtungen nach dem Maßstab des GwG und der Transfer-of-Funds-Regulation II (TFR II) zu erfüllen. Das bedeutet konkret: Jede CEX mit EU-Zulassung nach § 32 KWG oder entsprechender MiCAR-Lizenz ist verpflichtet, eingehende Transaktionen aus bekannten High-Risk-Quellen zu identifizieren, zu dokumentieren und ggf. einzufrieren. Eine Exchange, die nachweislich THORChain-Inflows ohne das vom Marktstandard vorgeschriebene Multi-Hop-Screening akzeptiert hat, setzt sich dem Vorwurf aus, ihre GwG-Pflichten verletzt zu haben — was aufsichtsrechtliche Sanktionen nach § 44 KWG und zugleich zivilrechtliche Schadenersatzansprüche nach § 280 BGB begründen kann.
Für Anleger, die von Kontosperrungen betroffen sind, die im Zuge von retroaktiven Screening-Maßnahmen nach dem TRM-Bericht verhängt wurden, ist zu unterscheiden: Wenn Ihre Einzahlung aus einer THORChain-Transaktion stammt, die erst durch nachträgliche Attribution als DPRK-verbunden identifiziert wurde, hängt Ihre Rechtsposition davon ab, ob Sie gutgläubiger Empfänger waren. § 134 BGB in Verbindung mit GwG-Normen kann hier Einfluss auf die Gültigkeit der ursprünglichen Transaktion haben; § 123 und § 138 BGB sind relevant, wenn Sie im Rahmen eines Recovery-Angebots in Verbindung mit diesen Mitteln kontaktiert worden sind. DSGVO Art. 82 eröffnet Schadensersatzansprüche, wenn Ihre personenbezogenen KYC-Daten durch die Screening-Verfahren fehlerhaft verarbeitet wurden.
Die aufsichtsrechtliche Lage hat auch eine praktische Schutzfunktion: Exchanges, die dem Beacon Network angehören und die TRM-Empfehlungen umgesetzt haben, haben ex ante ihre Sorgfaltspflichten erfüllt. Exchanges, die das nicht getan haben, können sich nicht auf fehlende Erkennbarkeit berufen — denn die DPRK-Attributionsdaten standen ab dem 30. April 2026 öffentlich zur Verfügung. Dieser Zeitpunkt ist für Ihre Anspruchsgrundlage relevant: Ab diesem Datum gilt für jede lizenzierte CEX in der EU die Kenntnis oder zumindest grob fahrlässige Unkenntnis der DPRK-Verbindungen als begründbar.
Eine erste rechtliche Einschätzung erhalten Sie innerhalb von 24 Stunden — schreiben Sie an kryptoschaden@rexus-recht.de mit kurzer Sachverhaltsschilderung, Datum und Höhe des Schadens.
Was bedeutet das für Anleger mit Drift- oder KelpDAO-Exposure konkret?
Wenn Sie direkt in Drift Protocol oder KelpDAO investiert waren, sind Ihre Verluste im Wesentlichen auf den direkten Protokollschaden zurückzuführen. Die rechtlich interessanteste Frage ist, ob Ihnen gegenüber dem Protokoll, seinen Entwicklern oder den zugrunde liegenden Infrastrukturanbietern (insbesondere LayerZero im Fall KelpDAO und Circle/CCTP im Fall Drift) Ansprüche zustehen. Diese Analyse ist einzelfallabhängig und erfordert eine forensisch gestützte Rückverfolgung Ihrer Transaktionen.
Wenn Sie nicht direkt in Drift oder KelpDAO aktiv waren, aber über angebundene Protokolle — etwa AAVE, Pendle oder andere Liquid-Staking-Protokolle — indirekte Exposure hatten, ist die Anspruchslage anders gelagert. Die durch den KelpDAO-Hack verursachte Bad-Debt-Position in AAVE in Höhe von schätzungsweise 123 bis 230 Millionen US-Dollar hat reale Verluste für passive AAVE-Liquiditätsanbieter verursacht. Gegen den AAVE Treasury sind zivilrechtliche Ansprüche theoretisch denkbar — ob sie praktisch durchsetzbar sind, hängt von der DAO-Governance-Struktur und der Zuordnung rechtlicher Handlungsträgerschaft ab.
Wenn Sie BTC-Einzahlungen aus THORChain-Pools erhalten haben und jetzt von Ihrem CEX-Provider retroaktiv überprüft werden, ist dies zunächst kein Indiz für Ihre eigene Beteiligung an rechtswidrigen Transaktionen. Es ist die Folge einer systemischen Compliance-Pflicht, die den Exchanges durch GwG und MiCAR auferlegt ist. Ihre Rechte gegenüber der Exchange — auf Auskunft, auf Entsperrung nach Klärung, auf Schadensersatz bei fehlerhafter Sperrung — bestehen unabhängig von der DPRK-Verbindung der Eingangstransaktion. Handeln Sie frühzeitig und schriftlich.
Wann scheidet eine Mandatierung aus — und wann ist sie aussichtsreich?
Eine Mandatierung scheidet aus, wenn keine forensisch tragfähigen Anknüpfungspunkte für eine Bankhaftung, eine zivilrechtliche Inanspruchnahme von Intermediären oder eine strafrechtliche Sicherungsmaßnahme bestehen. Das gilt insbesondere, wenn Ihre Exposure ausschließlich auf direktem Protokollverlust beruht, ohne dass ein Intermediär mit überprüfbarer Sorgfaltspflichtverletzung in der Kette identifiziert werden kann, oder wenn der Schadensbetrag in keinem vertretbaren Verhältnis zum Prozessrisiko steht. Diese Prüfung erfolgt vor Mandatsannahme.
Aussichtsreich sind Mandate hingegen dann, wenn Sie nachweislich durch eine CEX-seitige Sorgfaltspflichtverletzung Schaden erlitten haben — etwa durch eine Kontosperrung, die auf einem fehlerhaften retroaktiven Screening beruht; wenn Sie direkte Exposure in Drift oder KelpDAO hatten und Ansprüche gegen Protokoll-Infrastrukturdienstleister geprüft werden sollen; wenn Sie im Rahmen eines angeblichen Recovery-Angebots im Zusammenhang mit den DPRK-Hacks kontaktiert wurden und dort weitere Verluste erlitten haben; oder wenn Ihre KYC-Daten im Rahmen von Exchange-internen Screening-Verfahren fehlerhaft verarbeitet wurden. In all diesen Konstellationen ist eine frühe anwaltliche Erstanalyse nicht nur rechtlich geboten, sondern auch strategisch sinnvoll — denn Beweise veralten schnell, und Blockchain-Daten können archiviert oder durch Protokoll-Upgrades unzugänglich werden.
Häufige Fragen: TRM Labs Nordkorea 2026 und DACH-Anleger
Was bedeutet die 76-Prozent-Zahl konkret für DACH-Anleger?
Die 76-Prozent-Zahl aus dem TRM Labs Nordkorea 2026 Bericht besagt, dass drei von vier Dollar, die 2026 (Stand Ende April) durch Krypto-Hacks weltweit entwendet wurden, einem einzigen staatlichen Akteur — Nordkorea — zufließen. Für DACH-Anleger bedeutet das: Erstens sind DeFi-Protokolle auf Solana und in der LayerZero-Infrastruktur erhöhte Risikoanlagen. Zweitens screenen Exchanges wie Coinbase, Binance und Kraken als TRM-Beacon-Network-Mitglieder rückwirkend alle April-2026-Transaktionen, was zu Kontosperrungen führen kann, wenn Ihre Einzahlungen über THORChain-Pools liefen. Drittens verstärkt die Konzentration des Schadens auf zwei Hacks den regulatorischen Druck auf CASPs in der EU, was MiCAR-Vollzugsmaßnahmen beschleunigt.
Welche Anspruchsgrundlagen bestehen bei DPRK-Hack-Geschädigten?
Direkte Ansprüche gegen die DPRK sind mangels Vollstreckbarkeit in der Praxis nicht realisierbar. Für DACH-Anleger relevanter sind Ansprüche gegen Intermediäre in der Geldwäschekette. In Betracht kommen § 823 Abs. 2 BGB in Verbindung mit § 263 StGB (Betrug als Schutzgesetz), § 826 BGB bei vorsätzlicher sittenwidriger Schädigung, § 812 BGB für Bereicherungsansprüche sowie § 280 BGB gegen Exchanges, die ihre Compliance-Pflichten nach GwG und MiCAR verletzt haben. Strafrechtlich ermöglicht § 73 StGB in Verbindung mit § 111e StPO Vermögensarreste bei EU-ansässigen Intermediären. Die Anspruchsdurchsetzung setzt forensisch gestützte Blockchain-Tracing-Gutachten voraus.
Warum ist THORChain für die Tracing-Strategie der entscheidende Engpass?
THORChain ist ein dezentrales Cross-Chain-Protokoll ohne KYC-Pflichten, ohne Einfrierungsmöglichkeit und ohne Kooperationsverpflichtung gegenüber Strafverfolgungsbehörden. Sobald ETH über THORChain in BTC konvertiert wurde, verlieren klassische Exchange-basierte Tracing-Maßnahmen ihre Wirkung — der Kapitalfluss ist zwar auf der Blockchain sichtbar, aber nicht mehr direkt mit identifizierbaren Nutzerkonten verknüpft. Das macht THORChain zum zentralen Engpass in der Rückverfolgung: Wer die THORChain-Transaktionen forensisch vollständig kartiert hat, kann Output-Wallets identifizieren und ggf. über Exchanges, die diese Wallets als Einzahler kennen, weitere Attributionen vornehmen. Dieser Schritt erfordert spezialisierte Blockchain-Forensik-Tools wie TRM Labs, Chainalysis oder Elliptic.
Welche Rolle spielt das Beacon Network von TRM Labs für Ihren Fall?
Das TRM Beacon Network ist ein Echtzeit-Informationsaustausch zwischen über 30 großen Krypto-Exchanges — darunter Coinbase, Binance, Kraken und OKX. Wenn Sie auf einer dieser Plattformen Mittel erhalten haben, die in die DPRK-Geldwäschekette geraten sind, erhalten die Exchanges durch das Beacon Network zeitnahe Warnmeldungen. Für Sie als Anleger bedeutet das: Kontosperrungen oder Compliance-Anfragen Ihrer Exchange im Zeitraum nach dem 30. April 2026 sind wahrscheinlich Reaktionen auf Beacon-Network-Warnmeldungen. Sie haben als Betroffener das Recht auf Auskunft über die Grundlage der Sperrung nach DSGVO Art. 15 — und auf Löschung oder Berichtigung fehlerhafter Attributionen nach DSGVO Art. 17 und 16.
Wie unterscheiden sich Drift- und KelpDAO-Schadensersatzwege?
Bei Drift Protocol steht die Circle/CCTP-Infrastruktur im Mittelpunkt potenzieller Ansprüche — die Geldwäsche lief über die USDC-Brücke, was eine Class-Action-Beteiligung für DACH-Anleger grundsätzlich ermöglicht. Beim KelpDAO-Hack liegt der potenzielle Haftungsadressat bei der LayerZero-Infrastruktur und deren Single-DVN-Konfiguration sowie beim AAVE-Treasury für die entstandene Bad-Debt-Position. Beide Wege erfordern zunächst einen forensischen Nachweis Ihrer konkreten Schadensentstehung in der jeweiligen Kette — dieser Nachweis unterscheidet sich technisch erheblich, da Drift auf Solana und KelpDAO auf Ethereum/Arbitrum operiert. Ein einheitlicher Klagewege-Ansatz scheidet daher aus; die Mandate sind getrennt zu führen und forensisch unabhängig zu begründen.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern
Quellen: TRM Labs: North Korea Stole 76% of All Crypto Hack Value in 2026 (30.04.2026) | TrollEye Security: North Korea Steals 76% of 2026 Stolen Crypto | Travers Smith: DeFi Exploits, On-Chain Interventions and Crypto-Asset Recovery | Galaxy Research: KelpDAO LayerZero Exploit | Bank Policy Institute: Crypto Hacks and DeFi Runs | Chainalysis: Lessons from the Drift Hack | Elliptic: Drift Protocol — Suspected DPRK-Linked Attack