Krypto-Wrench-Angriffe steigen 2026 um 41% und richten sich gegen Familienmitglieder

Die Krypto-Sicherheitsfirma CertiK schätzt, dass Krypto-Inhaber in den ersten vier Monaten des Jahres 2026 durch Wrench-Angriffe etwa 101 Millionen US-Dollar verloren haben. Das entspricht einem Anstieg von 41% bei den verifizierten Vorfällen im Vergleich zum selben Zeitraum in 2025. Wenn sich der Trend in diesem Tempo fortsetzt, könnten die Verluste im Gesamtjahr 2026 auf mehrere hundert Millionen US-Dollar steigen.

Wrench-Angriffe – ein Begriff aus der Cybersicherheit für physische Übergriffe und Erpressungsversuche, die die Softwaresicherheitsmaßnahmen überwinden – sind laut CertiK zu einem „etablierten Bedrohungsvektor für Krypto-Inhaber“ geworden. Das Unternehmen verifizierte Anfang 2026 34 globale Vorfälle, verglichen mit etwa 70 physischen Übergriffen, die im gesamten Jahr 2025 gemeldet wurden, obwohl viele Angriffe vermutlich nicht gemeldet werden, da sie mit ihrer Natur zusammenhängen.

Geografische Verteilung und starke Konzentration in Europa

Bemerkenswert: 28 der 34 Vorfälle (82%) ereigneten sich in Europa, was eine deutliche Verschiebung der geografischen Lage markiert. Frankreich bleibt das Epizentrum: Allein für 2025 wurden dort 24 Übergriffe registriert, die „den landesbezogenen Aufschlüsselungswert mit großem Abstand dominieren“, wie CertiK festhielt. Das steht im Vergleich zu 20 Übergriffen im gesamten Jahr 2024. Dagegen sanken die gemeldeten Bedrohungen in den USA im ersten Quartal auf drei von neun im Jahr 2025, und in Asien auf zwei von 25.

CertiK machte mehrere Faktoren für die Konzentration in Frankreich aus, darunter die Präsenz von Leuchtturm-Unternehmen wie Ledger und Binance, eine hohe Zahl von Datenlecks mit Zielsetzung auf das Land sowie „die Kultur des Prahlens und der freiwilligen Doxxing-Handlungen, die tief in der Community verankert bleibt“. Das Problem gewann an Bedeutung nach der Entführung und Folter des Ledger-Mitbegründers David Balland und seiner Ehefrau im Jahr 2024. Daraufhin kam es zu einem Treffen des französischen Innenministeriums mit Führungskräften der Krypto-Industrie, um Sicherheitsbedenken zu besprechen.

Organisation der Täter und Rekrutierung

CertiK identifizierte ein sich abzeichnendes Muster in der Organisation der Täter: Kleine Teams aus 3 bis 5 Personen, oft jung, werden häufig über Telegram oder Snapchat rekrutiert, um als Bodencrew zu operieren. Die Drahtzieher hingegen sind oft im Ausland stationiert, beispielsweise in Marokko, Dubai und Osteuropa.

Das Unternehmen bemerkte zudem eine jüngste Verschiebung hin zu einem „datengetriebenen Targeting“-Modell, das den Bedarf an physischer Überwachung minimiert. Angreifer kaufen nun Opferinformationen – einschließlich vollständiger Namen, Wohnadressen und Finanzprofile – von Online-Brokern. „Sie kaufen Datenlisten, beauftragen Koordinatoren und erhalten Gelder, bevor sie diese waschen“, erklärte CertiK.

Angriff auf Familienangehörige als Druckhebel

Ein bedeutender Trend betrifft Angreifer, die zunehmend „Proxies“ statt der eigentlichen Hauptopfer ins Visier nehmen. Mehr als die Hälfte der Vorfälle in diesem Jahr betraf „ein Mitglied der Familie des primären Zielobjekts (Ehepartner, Kind, älterer Elternteil)“, entweder als direktes Opfer oder als Druckhebel. Das berichtete CertiK.

Zugriffsmethoden bleiben ähnlich

Obwohl Angreifer ausgefeilte Strategien zur Datenerhebung und Koordination einsetzen, bleiben die Zugriffstechniken vor Ort weitgehend unverändert gegenüber 2025. „Die Zugriffstechniken bleiben insgesamt dieselben wie 2025, mit einer starken Persistenz des Doorbell-Vector (zustellendes Personal, falsche Polizeibeamte, etc.) und der Honeypot-Strategie (fiktive Geschäftstreffen, gefälschte OTC-Deals, etc.)“, schrieb CertiK.