Wie Sie Ihre Kryptowährungen im Jahr 2026 vor Social Engineering schützen

Die Mehrheit der Krypto-Exploits im kommenden Jahr wird nicht durch einen Zero-Day-Bug in Ihrem Lieblingsprotokoll verursacht, sagen Krypto-Sicherheitsexperten. Sie wird durch Sie verursacht werden. 

Das liegt daran, dass 2025 gezeigt hat, dass die Mehrheit der Hacks nicht mit bösartigem Code beginnt; sie beginnen mit einem Gespräch, sagte Nick Percoco, Chief Security Officer der Krypto-Börse Kraken, gegenüber Cointelegraph. 

Von Januar bis Anfang Dezember 2025 zeigen Daten von Chainalysis, dass die Krypto-Industrie Diebstähle in Höhe von über 3,4 Milliarden US-Dollar erlebte, wobei der Kompromiss von Bybit im Februar fast die Hälfte dieser Gesamtsumme ausmachte. 

Während des Angriffs erlangten böswillige Akteure Zugang durch Social Engineering, injizierten eine bösartige JavaScript-Payload, die es ihnen ermöglichte, Transaktionsdetails zu ändern und Gelder abzuschöpfen.

Was ist Social Engineering? 

Social Engineering ist eine Cyberangriffsmethode, die Menschen manipuliert, um vertrauliche Informationen preiszugeben oder Handlungen auszuführen, die die Sicherheit gefährden. 

Percoco sagte, das Schlachtfeld für Krypto-Sicherheit wird im Kopf sein, nicht im Cyberspace. 

Tipp 1: Nutzen Sie wo möglich Automatisierung 

Supply-Chain-Kompromisse haben sich laut Percoco ebenfalls als eine zentrale Herausforderung in diesem Jahr erwiesen, da eine scheinbar geringfügige Sicherheitsverletzung sich später als verheerend erweisen kann, weil „es ein digitaler Jenga-Turm ist und die Integrität jedes einzelnen Blocks zählt." 

Für das kommende Jahr empfiehlt Percoco, menschliche Vertrauenspunkte durch Maßnahmen wie die Automatisierung von Abwehrmaßnahmen wo möglich und die Verifizierung jeder digitalen Interaktion durch Authentifizierung zu reduzieren, in einer „Verlagerung von reaktiver Verteidigung zu proaktiver Prävention."

„Besonders bei Krypto bleibt das schwächste Glied das menschliche Vertrauen, verstärkt durch Gier und FOMO. Das ist der Riss, den Angreifer jedes Mal ausnutzen. Aber keine Technologie ersetzt gute Gewohnheiten", fügte er hinzu.

Tipp 2: Infrastruktur segmentieren

Lisa, die Leiterin für Sicherheitsoperationen von SlowMist, sagte, dass böswillige Akteure in diesem Jahr zunehmend Entwickler-Ökosysteme ins Visier nahmen, was in Kombination mit Cloud-Credential-Leaks Gelegenheiten schuf, bösartigen Code zu injizieren, Geheimnisse zu stehlen und Software-Updates zu vergiften. 

„Entwickler können diese Risiken mindern, indem sie Abhängigkeitsversionen festlegen, Paketintegrität verifizieren, Build-Umgebungen isolieren und Updates vor der Bereitstellung überprüfen", sagte sie. 

Für 2026 prognostiziert Lisa, dass die bedeutendsten Bedrohungen wahrscheinlich von zunehmend ausgefeilten Credential-Theft- und Social-Engineering-Operationen ausgehen werden. 

„Bedrohungsakteure nutzen bereits KI-generierte Deepfakes, maßgeschneidertes Phishing und sogar gefälschte Entwickler-Einstellungstests, um Wallet-Schlüssel, Cloud-Credentials und Signing-Token zu erlangen. Diese Angriffe werden immer automatisierter und überzeugender, und wir erwarten, dass sich dieser Trend fortsetzt", sagte sie. 

Um sicher zu bleiben, empfiehlt Lisa Organisationen, starke Zugangskontrollen, Schlüsselrotation, hardware-gestützte Authentifizierung, Infrastruktursegmentierung und Anomalieerkennung sowie Überwachung zu implementieren. 

Einzelpersonen sollten sich auf Hardware-Wallets verlassen, die Interaktion mit nicht verifizierten Dateien vermeiden, Identitäten über unabhängige Kanäle überprüfen und unaufgeforderte Links oder Downloads mit Vorsicht behandeln.

Tipp 3: Proof of Personhood zur Bekämpfung von KI-Deepfakes

Steven Walbroehl, Mitbegründer und Chief Technology Officer der Blockchain-Cybersicherheitsfirma Halborn, prognostiziert, dass KI-verstärktes Social Engineering eine bedeutende Rolle in den Playbooks der Krypto-Hacker spielen wird.

Im März meldeten mindestens drei Krypto-Gründer, dass sie einen Versuch von mutmaßlich nordkoreanischen Hackern vereitelt hatten, sensible Daten durch gefälschte Zoom-Anrufe zu stehlen, die Deepfakes verwendeten.

Walbroehl warnt, dass Hacker KI verwenden, um hochgradig personalisierte, kontextbewusste Angriffe zu erstellen, die traditionelle Sicherheitsbewusstseinstrainings umgehen.

Um dies zu bekämpfen, schlägt er vor, kryptografischen Proof-of-Personhood für alle kritischen Kommunikationen, hardware-basierte Authentifizierung mit biometrischer Bindung, Anomalieerkennungssysteme, die normale Transaktionsmuster als Baseline verwenden, und die Einrichtung von Verifizierungsprotokollen mit vorab geteilten Geheimnissen oder Phrasen zu implementieren. 

Tipp 4: Behalten Sie Ihre Krypto für sich

Wrench-Angriffe oder physische Angriffe auf Krypto-Inhaber waren ebenfalls ein prominentes Thema im Jahr 2025, mit mindestens 65 aufgezeichneten Fällen, laut der GitHub-Liste von Bitcoin-OG und Cypherpunk Jameson Lopp. Der letzte Bullenmarkt-Höhepunkt 2021 war zuvor das schlimmste Jahr mit insgesamt 36 aufgezeichneten Angriffen 

Ein X-Nutzer mit dem Handle Beau, ein ehemaliger CIA-Offizier, sagte in einem X-Post am 02.12., dass Wrench-Angriffe immer noch relativ selten sind, er aber dennoch Krypto-Nutzern empfiehlt, Vorsichtsmaßnahmen zu treffen, indem sie nicht über Vermögen sprechen oder Krypto-Bestände oder extravagante Lebensstile online offenlegen. 

Er schlägt auch vor, ein „hartes Ziel" zu werden, indem man Datenbereinigungstools verwendet, um private persönliche Informationen wie Wohnadressen zu verbergen, und in Heimverteidigungen wie Sicherheitskameras und Alarmanlagen investiert. 

Tipp 5: Sparen Sie nicht bei bewährten Sicherheitstipps 

David Schwed, ein Sicherheitsexperte, der bei Robinhood als Chief Information Security Officer gearbeitet hat, sagte, sein wichtigster Tipp sei, sich an seriöse Unternehmen zu halten, die wachsame Sicherheitspraktiken demonstrieren, einschließlich rigoroser und regelmäßiger Drittsicherheitsaudits ihres gesamten Stacks, von Smart Contracts bis zur Infrastruktur.

Unabhängig von der Technologie sagte Schwed jedoch, dass Nutzer vermeiden sollten, dasselbe Passwort für mehrere Konten zu verwenden, sich für die Verwendung eines Hardware-Token als Multifaktor-Authentifizierungsmethode entscheiden und die Seed-Phrase schützen sollten, indem sie sie sicher verschlüsseln oder offline an einem sicheren, physischen Ort aufbewahren.

Er rät auch zur Verwendung einer dedizierten Hardware-Wallet für bedeutende Bestände und zur Minimierung von Beständen auf Börsen.

Verwandt: Spear-Phishing ist die Top-Taktik nordkoreanischer Hacker: So bleiben Sie sicher

„Sicherheit hängt von der Interaktionsebene ab. Nutzer müssen äußerst wachsam bleiben, wenn sie eine Hardware-Wallet mit einer neuen Webanwendung verbinden, und müssen die auf dem Bildschirm des Hardware-Geräts angezeigten Transaktionsdaten gründlich validieren, bevor sie signieren. Dies verhindert das ‚blinde Signieren' von bösartigen Verträgen", fügte Schwed hinzu.

Lisa sagte, ihre besten Tipps seien, nur offizielle Software zu verwenden, die Interaktion mit nicht verifizierten URLs zu vermeiden und Gelder über Hot-, Warm- und Cold-Konfigurationen zu trennen. 

Um der wachsenden Raffinesse von Betrugsmaschen wie Social Engineering und Phishing entgegenzuwirken, empfiehlt Krakens Percoco jederzeit „radikalen Skeptizismus", indem man die Authentizität verifiziert und davon ausgeht, dass jede Nachricht ein Test des Bewusstseins ist.

„Und eine universelle Wahrheit bleibt: Kein legitimes Unternehmen, keine Dienstleistung oder Gelegenheit wird jemals nach Ihrer Seed-Phrase oder Ihren Login-Anmeldedaten fragen. In dem Moment, in dem sie es tun, sprechen Sie mit einem Betrüger", fügte Percoco hinzu. 

Währenddessen empfiehlt Walbroehl, Schlüssel mit kryptografisch sicheren Zufallszahlengeneratoren zu generieren, strikte Trennung zwischen Entwicklungs- und Produktionsumgebungen, regelmäßige Sicherheitsaudits und Incident-Response-Planung mit regelmäßigen Übungen. 

Magazin: Wenn Datenschutz- und AML-Gesetze kollidieren: Die unmögliche Wahl von Krypto-Projekten