Was ist Exploit?
Warum eine Schwachstelle erst dann zum echten Problem wird, wenn sie gezielt ausgenutzt wird
Definition
Ein Exploit ist das gezielte Ausnutzen einer Schwachstelle in Software, Smart Contracts oder Infrastruktur, um sich unberechtigte Vorteile, Zugriff oder Vermögenswerte zu verschaffen.
Ein Exploit ist eine Methode oder ein Code-Fragment, das Schwachstellen in Smart Contracts, Protokollen oder Infrastruktur ausnutzt, um unbefugt auf Vermögenswerte zuzugreifen. Im Krypto-Bereich haben Exploits seit 2011 kumuliert über 22,7 Mrd. USD an Verlusten verursacht. Das Rekordjahr war 2022 mit rund 3,8 Mrd. USD, gefolgt von 2025 mit geschätzten 2,7-3,4 Mrd. USD, wobei allein der Bybit-Hack 1,5 Mrd. USD ausmachte. 2023 sanken die Verluste auf 1,7 Mrd. USD dank verbesserter Sicherheitsstandards, stiegen 2024 aber wieder auf 2,2 Mrd. USD an.
Die größten Krypto-Exploits
| Exploit | Datum | Verlust | Typ |
|---|---|---|---|
| Bybit | Feb. 2025 | 1,5 Mrd. USD | Multisig-UI-Manipulation (Safe Wallet), Lazarus Group |
| Ronin Network | März 2022 | 625 Mio. USD | Validator-Kompromittierung (5 von 9), Lazarus Group |
| Poly Network | Aug. 2021 | 610 Mio. USD | Cross-Chain-Bridge-Exploit, Gelder zurückgegeben |
| Wormhole | Feb. 2022 | 320 Mio. USD | Signatur-Verifikations-Bug in der Bridge |
| Euler Finance | März 2023 | 197 Mio. USD | Flash-Loan-Angriff, vollständig zurückgegeben |
| Nomad Bridge | Aug. 2022 | 190 Mio. USD | Chaotisches Plündern durch 40+ Angreifer |
| Mango Markets | Okt. 2022 | 114 Mio. USD | Marktmanipulation, Täter verurteilt (Mai 2025 aufgehoben) |
Exploit-Typen
Reentrancy-Angriff: Der Angreifer ruft die withdraw()-Funktion eines Contracts in einer Endlosschleife auf, bevor der Contract seinen internen Zustand aktualisiert. Das bekannteste Beispiel ist der DAO-Hack 2016 mit 3,6 Mio. ETH (60 Mio. USD), der zum Ethereum/Ethereum Classic Hard Fork führte.
Flash-Loan-Exploit: Angreifer leihen sich ohne Sicherheiten riesige Summen innerhalb einer einzigen Transaktion, manipulieren damit Preise oder Protokoll-Logik und zahlen den Kredit im selben Block zurück. Gesamtverluste: über 1 Mrd. USD (Euler Finance 197 Mio., PancakeBunny 45 Mio., Cream Finance 18,8 Mio.).
Oracle-Manipulation: Angreifer manipulieren Preis-Feeds, auf die Smart Contracts angewiesen sind, um falsche Liquidationen oder überbewertete Sicherheiten auszulösen. Allein 2022: 386 Mio. USD Verluste in 41 separaten Angriffen.
Sandwich-Angriffe (MEV): Ein Bot erkennt eine ausstehende Transaktion im Mempool, platziert eine eigene davor und danach. Der Nutzer erhält weniger Token, der Bot kassiert die Differenz. 2023 wurden über 900 Mio. USD durch Sandwich-Angriffe extrahiert, rund 2,5 Mio. USD pro Tag.
White Hat vs. Black Hat
Nicht jeder Exploit ist bösartig. White-Hat-Hacker nutzen Schwachstellen verantwortungsvoll, um Projekte zu warnen und Gelder zu sichern. Bei Euler Finance stahl ein Angreifer 197 Mio. USD, gab dann über 240 Mio. USD zurück (inklusive aufgelaufener Zinsen) und entschuldigte sich. Beim Poly-Network-Hack 2021 gab der Angreifer alle 610 Mio. USD zurück. Bug-Bounty-Plattformen wie Immunefi haben seit 2020 über 100 Mio. USD an ethische Sicherheitsforscher ausgezahlt, verteilt auf über 3.000 Reports. Die höchste Einzelprämie betrug 10 Mio. USD (Wormhole-Schwachstelle). Über 45.000 Sicherheitsforscher sind bei Immunefi registriert. Trotz dieser Anreize entscheiden sich viele Angreifer gegen den legalen Weg, weil die gestohlenen Summen die Bounties um ein Vielfaches übersteigen.
Nordkoreas Lazarus Group
Die staatlich unterstützte Hackergruppe Lazarus Group aus Nordkorea ist für einen erheblichen Anteil aller Krypto-Exploits verantwortlich. Bestätigte Angriffe: Ronin Network (625 Mio. USD), Bybit (1,5 Mrd. USD), DMM Bitcoin (305 Mio. USD), WazirX (230 Mio. USD), Radiant Capital (50 Mio. USD). Allein 2024 stahl die Gruppe 659 Mio. USD, 2025 bereits über 2 Mrd. USD. Die gestohlenen Gelder finanzieren nach FBI-Erkenntnissen das nordkoreanische Atomwaffenprogramm. Die Angriffsmethoden sind zunehmend raffiniert: Social Engineering über Telegram und LinkedIn, kompromittierte Entwickler-Laptops, manipulierte Wallet-UIs.
Schutzmaßnahmen
Projekte können Exploits minimieren durch Audits renommierter Firmen (CertiK, Trail of Bits, OpenZeppelin, Halborn), formale Verifikation (mathematischer Beweis der Korrektheit), Time-Locks bei kritischen Änderungen, Multi-Sig-Wallets, Bug-Bounty-Programme und Continuous Monitoring über Plattformen wie Forta. Mehrere unabhängige Audits reduzieren das Risiko deutlich, schließen es aber nie vollständig aus. Als Nutzer schützt du dich, indem du nur mit auditierten Protokollen interagierst, deine Kryptowährungen in einer Hardware-Wallet verwahrst und Token-Approvals regelmäßig widerrufst (Revoke.cash).
Prüfe vor jeder Interaktion mit einem DeFi-Protokoll, ob der Smart Contract auditiert wurde und ob ein Bug-Bounty-Programm existiert. Widerrufe alte Token-Approvals regelmäßig über Revoke.cash oder Etherscan. Und halte den Großteil deiner Kryptowährungen in einer Hardware-Wallet, nicht in DeFi-Protokollen.
Was ist ein Exploit in Krypto?
Ein Exploit ist eine Methode, die Schwachstellen in Smart Contracts, Protokollen oder Infrastruktur ausnutzt, um unbefugt auf Kryptowährungen zuzugreifen. Häufige Typen sind Reentrancy-Angriffe, Flash-Loan-Exploits, Oracle-Manipulation und Sandwich-Angriffe.
Wie viel Geld wurde durch Krypto-Exploits gestohlen?
Seit 2011 wurden kumuliert über 22,7 Mrd. USD durch Krypto-Exploits gestohlen. Das Rekordjahr war 2022 mit 3,8 Mrd. USD. Der größte Einzelvorfall war der Bybit-Hack im Februar 2025 mit 1,5 Mrd. USD, verübt von Nordkoreas Lazarus Group.
Wie schütze ich mich vor Krypto-Exploits?
Nutze nur auditierte DeFi-Protokolle, verwahre den Großteil deiner Coins in einer Hardware-Wallet, widerrufe alte Token-Approvals regelmäßig und investiere nie mehr, als du bereit bist zu verlieren. Prüfe, ob ein Projekt ein Bug-Bounty-Programm hat.
Verwandte Begriffe
Smart Contract
Ein Smart Contract ist Programmcode auf einer Blockchain, der automatisch ausgeführt wird, sobald fe...
Bridge
Eine Bridge ist eine technische Verbindung, mit der Werte oder Daten zwischen zwei Blockchain-Netzwe...
Phishing
Phishing ist eine Betrugsmasche, bei der Angreifer Nutzer über gefälschte Websites, Nachrichten oder...
Über die Autorin
Dr. Stephanie Morgenroth
Steffi ist promovierte Medizinerin, Krypto-Investorin seit 2021 und erreicht mit MissCrypto über 100.000 Menschen auf Social Media. Sie macht komplexe Themen wie Bitcoin, DeFi und Krypto-Steuern verständlich, ehrlich, unabhängig und ohne Hype.
Über Steffi →Risikohinweis: Meine Inhalte dienen ausschließlich zur Information und stellen keine Anlageberatung dar.
Diese Seite kann Affiliate-Links enthalten. Bei einem Kauf über diese Links erhalte ich eine Provision — du unterstützt meinen Kanal ohne Mehrkosten. Danke! ❤️