Das Jahr 2025 brachte einen schockierenden Vorfall für die Kryptowelt. Einer der größten Player, Coinbase, wurde Opfer eines massiven Insider-Angriffs. Was genau passierte, welche Daten gestohlen wurden und wie Coinbase reagierte, erfahren Sie hier. Es ist eine wichtige Lektion für die Sicherheit in der digitalen Finanzwelt.
Das Jahr 2025 brachte für die Krypto-Welt eine bedeutende Erschütterung. Coinbase, eine der global führenden Kryptobörsen, wurde im Mai Ziel eines umfangreichen Insider-Angriffs. Dieser Vorfall beleuchtete schwachstellen in der sicherheit von zentralisierten Plattformen und rief Besorgnis hervor. Schon im Februar 2025 hatte der Blockchain-Ermittler ZachXBT auf erhöhte Diebstähle bei Coinbase-Nutzern hingewiesen und die aggressiven Risikomodelle des Unternehmens kritisiert. Er sprach von jährlichen Verlusten in Millionenhöhe durch Social Engineering.
Der Coinbase-Datenleak im Jahr 2025 war kein typischer Krypto-Hack, sondern ein klassischer IT-Sicherheitsfehler durch Insider-Manipulation.
Am 11. Mai 2025 bestätigte Coinbase den Datenleak in einem Blog-Post. Angreifer hatten sensible Kundendaten entwendet, darunter Kontostände, ID-Bilder, Telefonnummern, Adressen und teilweise auch Bankverbindungen. Der Angriff war kein dezentraler Krypto-Hack, der Smart Contracts ausnutzte. Stattdessen handelte es sich um einen IT-Sicherheitsvorfall, der durch Corporate Espionage und Erpressung gekennzeichnet war. Die Angreifer rekrutierten Insider, um Kundendaten zu stehlen und für zukünftige Impersonierungsangriffe zu nutzen.
Coinbases internes Sicherheitsteam entdeckte die verdächtigen Aktivitäten der konspirierenden Mitarbeiter. Diese wurden umgehend entlassen. Obwohl nur 69.461 Konten betroffen waren, war der Umfang der gestohlenen personenbezogenen Daten erheblich. Zusätzlich erhielt Coinbase eine Erpressungs-E-Mail, in der interne Systemdetails und PII behauptet wurden. Die Angreifer forderten eine Lösegeldzahlung von 20 Millionen Dollar.
Anstatt der Erpressung nachzugeben, lehnte Coinbase die Zahlung ab und schaltete die Strafverfolgungsbehörden ein. Das Unternehmen machte den Vorfall öffentlich und lobte eine Belohnung von 20 Millionen Dollar für Informationen aus, die zur Ergreifung der Täter führen. Damit wandelte Coinbase die Verteidigung in einen Offensivschlag um. Eine offizielle Datenleak-Meldung bestätigte später die Anzahl der betroffenen Nutzer.
Die gestohlenen Daten ermöglichten es den Angreifern, glaubwürdig vor den Opfern zu erscheinen und diese möglicherweise dazu zu bewegen, ihre Mittel zu transferieren.
Die Angreifer zielten auf spezifische Informationen ab, um Social-Engineering-Angriffe durchzuführen. Sie erbeuteten Namen, Adressen, Telefonnummern, E-Mails, ID-Bilder, die letzten vier Ziffern der SSN, Kontostandschnappschüsse, Transaktionshistorie und maskierte Bankkontonummern. Wichtig ist: Zugangsdaten oder private Schlüssel wurden nicht gestohlen. Ebenso wenig hatten die Angreifer die Möglichkeit, auf Kundenmittel oder Wallets zuzugreifen. Ihre Taktik beruhte auf dem Missbrauch gestohlener Identitätsdaten.
Coinbase reagierte auf den Vorfall mit einer umfassenden Strategie. Sie lehnten das Lösegeld ab und stellten stattdessen die Belohnung zur Verfügung. Das Unternehmen verpflichtete sich zur Rückerstattung getäuschter Kunden, wobei die Kosten auf 180 bis 400 Millionen Dollar geschätzt werden. Betroffenen Personen wird ein Jahr lang kostenlose Kreditüberwachung und Identitätsschutz angeboten, inklusive einer 1 Million Dollar Versicherung.
Zusätzliche Identitätsüberprüfungen für große Abhebungen wurden für betroffene Konten eingeführt, um weitere Social-Engineering-Angriffe zu verhindern. Coinbase stärkte seine Support-Operationen durch ein neues US-Zentrum und implementierte strengere Sicherheitskontrollen, um Insider-Bedrohungen einzudämmen. Die Zusammenarbeit mit Strafverfolgungsbehörden wurde intensiviert, und die beteiligten Insider wurden entlassen und zur Anzeige gebracht.
