Das Jahr 2025 war ein schwarzes Jahr für Krypto-Hacks, mit Rekordverlusten von rund 3,4 Milliarden US-Dollar. Die Hauptursache lag nicht bei Smart Contracts, sondern beim menschlichen Versagen und Social Engineering.
Im Jahr 2025 erreichten die Verluste durch Krypto-Hacks einen Höchststand seit 2022. Allein in der ersten Jahreshälfte wurden über 2,17 Milliarden US-Dollar gestohlen. Ein signifikanter Teil davon, über 2,1 Milliarden US-Dollar, resultierte aus Phishing, Schlüsselverlust und Social Engineering. Der ‚Crypto Crime Report 2026‘ von Chainalysis meldet zusätzlich 17 Milliarden US-Dollar durch Betrug und Scams im Jahr 2025, wobei Identitätsbetrug um 1.400 % zunahm.
Social Engineering hat sich als dominierender Angriffsvektor etabliert. Statt technische Schwachstellen auszunutzen, zielt diese Methode auf die menschliche Psyche ab. Phishing- und Social-Engineering-Angriffe erreichten Rekordwerte und verursachten Verluste von fast 600 Millionen US-Dollar im ersten Halbjahr 2025. Ein Bericht aus dem Vorjahr zeigte bereits, dass Social Engineering für 73 % aller Krypto-Diebstähle verantwortlich war.
„Die größte Sicherheitsherausforderung im Jahr 2026 wird der Schutz vor ausgeklügelten Social-Engineering-Taktiken sein, wobei künstliche Intelligenz sowohl bei Verteidigungs- als auch bei Angriffsstrategien eine bedeutende Rolle spielen wird.“
Der Bybit-Hack im Februar 2025, bei dem 1,5 Milliarden US-Dollar in Ether gestohlen wurden, war der größte Einzelvorfall. Dieser Diebstahl, verursacht durch ein kompromittiertes privates Schlüssel in einer Cold Wallet, machte fast die Hälfte der gesamten Jahresverluste aus. Nordkoreanische Hackergruppen wie die Lazarus-Gruppe werden mit diesem und anderen großen Krypto-Diebstählen in Verbindung gebracht und sollen 2025 mindestens 2 Milliarden US-Dollar erbeutet haben.
Schwachstellen in Smart Contracts trugen im Jahr 2025 mit 263 Millionen US-Dollar nur etwa 8 % zu den Gesamtverlusten bei. Dies deutet auf eine Verbesserung der On-Chain-Code-Sicherheit hin, während Kriminelle zunehmend Individuen durch ausgefeilte Social-Engineering-Taktiken ins Visier nehmen. Betriebliche Fehler wie kompromittierte Passwörter und Schlüssel waren die Hauptursachen.
