Krypto-Buchmacher gehackt: Stake.com, Lazarus Group und die Lehren für Spieler

Krypto Buchmacher Hack — drei Wörter, die den grössten Albtraum jedes Online-Wetters beschreiben. Im September 2023 verlor Stake.com über 41 Millionen US-Dollar an Hacker, die in die Hot Wallets der Plattform eindrangen. 41 Millionen in Minuten — so schnell kann es gehen, wenn die Sicherheit einer Plattform versagt. Der Vorfall war nicht der erste und wird nicht der letzte sein. Wer bei einem Krypto-Buchmacher spielt, muss verstehen, welche Risiken er eingeht, wie Angriffe typischerweise ablaufen und was er selbst tun kann, um sich zu schützen.

Der Stake.com-Hack im September 2023: Ablauf und Folgen

Am 4. September 2023 bemerkte das Blockchain-Analyseunternehmen Cyvers ungewöhnliche Abflüsse aus den Hot Wallets von Stake.com. Innerhalb weniger Stunden wurden rund 41,3 Millionen Dollar in Kryptowährungen abgezogen — aufgeteilt auf Ethereum (15,7 Mio.), Binance Smart Chain (7,8 Mio.) und Polygon (17,8 Mio.). Die Transaktionen waren keine gewöhnlichen Auszahlungen: Die Beträge flossen an neu erstellte Wallet-Adressen und wurden sofort über mehrere Chains verteilt, um die Rückverfolgung zu erschweren.

Das FBI identifizierte innerhalb weniger Tage die nordkoreanische Lazarus Group als Urheber des Angriffs. Lazarus — eine staatlich unterstützte Hackergruppe — ist für einige der grössten Krypto-Diebstähle der Geschichte verantwortlich, darunter der Ronin-Bridge-Hack (625 Mio. Dollar, 2022) und der Harmony-Bridge-Hack (100 Mio. Dollar, 2022). Stake.com war also kein Einzelfall, sondern Teil eines systematischen Angriffs auf die Krypto-Infrastruktur durch einen staatlichen Akteur.

Die Reaktion von Stake war bemerkenswert schnell. Innerhalb von fünf Stunden nach dem Vorfall waren die Auszahlungen gestoppt, die Sicherheitslücke geschlossen und das Team kommunizierte öffentlich über die Situation. Nach wenigen weiteren Stunden nahm die Plattform den regulären Betrieb wieder auf. Die verlorenen Gelder wurden aus den Unternehmensreserven erstattet — kein Spieler verlor sein Guthaben. Das war möglich, weil Stake als grösster Krypto-Buchmacher der Welt über entsprechende Rücklagen verfügt — der geschätzte GGR lag 2024 bei 4,7 Milliarden Dollar. Bei einem kleineren Anbieter mit dünner Kapitaldecke wäre das Ergebnis wahrscheinlich anders ausgefallen.

Weitere Sicherheitsvorfälle bei Krypto-Casinos

Der Stake-Hack ist der bekannteste, aber bei weitem nicht der einzige Sicherheitsvorfall in der Branche. Im Jahr 2023 wurde auch Alphapo — ein Zahlungsdienstleister für mehrere Krypto-Casinos, darunter HypeDrop und Bovada — um rund 60 Millionen Dollar erleichtert. Auch hier wurde Lazarus als Täter vermutet. Die Angriffe auf Zahlungsdienstleister sind besonders tückisch, weil sie nicht einzelne Plattformen treffen, sondern deren gesamte Infrastruktur — mit Auswirkungen auf alle angeschlossenen Casinos und Buchmacher. Ein einzelner Angriff kann Dutzende Plattformen gleichzeitig lahmlegen.

CoinsPaid, ein weiterer Krypto-Zahlungsabwickler, verlor im Juli 2023 rund 37 Millionen Dollar durch einen Angriff, der ebenfalls Lazarus zugeschrieben wurde. Das Muster war identisch: Social Engineering als Einstieg, Zugang zu den Hot Wallets, schnelle Verteilung der Beute über mehrere Chains. CoinsPaid konnte den Betrieb innerhalb weniger Tage wiederherstellen, aber die Verluste wurden nicht vollständig an die betroffenen Plattformen erstattet.

In früheren Jahren sorgten Vorfälle bei Primedice (2014, Diebstahl durch einen internen Mitarbeiter), Bitcasino (2019, Datenleck mit Spielerinformationen) und verschiedenen kleineren Plattformen für Aufsehen. Was alle Vorfälle gemeinsam haben: Die gestohlenen Gelder wurden selten vollständig zurückgeholt. Blockchain-Analyse kann Geldflüsse nachverfolgen, aber die Rückholung erfordert die Kooperation von Exchanges und Strafverfolgungsbehörden in mehreren Ländern — ein Prozess, der Monate dauert und oft erfolglos bleibt.

Die Muster ähneln sich über alle Vorfälle hinweg: Hot Wallets als primäres Angriffsziel, unzureichende interne Kontrollen bei der Schlüsselverwaltung und in vielen Fällen Social Engineering als Einstiegspunkt. Die Professionalisierung der Angreifer — insbesondere durch staatlich unterstützte Gruppen wie Lazarus — hat die Bedrohungslage für Krypto-Plattformen grundlegend verändert. Es geht nicht mehr um einzelne Hacker in Kellerzimmern, sondern um Teams mit Geheimdienstressourcen.

Gemeinsame Schwachstellen: Hot Wallets und Social Engineering

Der zentrale Angriffsvektor bei allen grossen Krypto-Casino-Hacks ist die Hot Wallet. Eine Hot Wallet ist eine Wallet, die permanent mit dem Internet verbunden ist und für die Verarbeitung laufender Ein- und Auszahlungen genutzt wird. Sie ist das operative Bankkonto des Buchmachers — ständig erreichbar, ständig exponiert. Im Gegensatz dazu lagern Cold Wallets Gelder offline und sind deutlich schwerer anzugreifen, aber auch weniger flexibel im operativen Einsatz.

Das Dilemma: Ein Krypto-Buchmacher, der Tausende Transaktionen pro Stunde verarbeitet, braucht Hot Wallets mit ausreichend Liquidität. Je mehr Geld in der Hot Wallet liegt, desto attraktiver wird sie für Angreifer. Die Lösung liegt im Gleichgewicht: So wenig wie nötig in der Hot Wallet, so viel wie möglich in Cold Storage. Branchenführer wie Stake halten nach eigenen Angaben über 90 Prozent ihrer Krypto-Reserven in Cold Wallets — die 41 Millionen Dollar, die bei dem Hack verloren gingen, waren ein Bruchteil der Gesamtbestände. Laut Surgence Labs verarbeiten Krypto-Casinos inzwischen rund 17 Prozent aller iGaming-Wetten weltweit. Stake allein verzeichnet monatliche Wettvolumina von über 10 Milliarden Dollar — ein Markt dieser Grösse zieht zwangsläufig die besten und ressourcenstärksten Hackergruppen an.

Social Engineering ist der zweite grosse Angriffsvektor — und oft der unterschätzte. Angreifer manipulieren Mitarbeiter durch gefälschte E-Mails, fingierte Jobangebote, kompromittierte Software-Updates oder gefälschte Kundensupport-Anfragen, um Zugang zu internen Systemen zu erhalten. Bei Lazarus-Angriffen auf Krypto-Unternehmen wurden wiederholt gefälschte LinkedIn-Profile und betrügerische Bewerbungsgespräche als Einstiegspunkte identifiziert — die Angreifer investieren Wochen in den Aufbau einer glaubwürdigen Tarnidentität, bevor sie zuschlagen. Kein noch so gutes technisches Sicherheitssystem schützt vor einem Mitarbeiter, der unwissentlich Malware installiert oder seine Zugangsdaten auf einer gefälschten Login-Seite eingibt.

Was Spieler aus den Hacks lernen können

Die wichtigste Lektion: Halte nicht mehr Geld auf der Plattform, als du aktiv zum Wetten brauchst. Jeder Betrag, der auf einem Buchmacher-Konto liegt, ist ein Betrag, der bei einem Hack verloren gehen kann — selbst bei einem Anbieter, der bisher als sicher galt. Das Wettbudget für die nächste Woche einzahlen, wetten, Gewinne zeitnah auszahlen — das reduziert die Exposure auf das Minimum. Was nicht auf der Plattform liegt, kann dort nicht gestohlen werden.

Zweite Lektion: Die Grösse und Reputation des Anbieters ist ein Sicherheitsfaktor. Stake konnte 41 Millionen Dollar aus eigenen Mitteln erstatten, weil das Unternehmen über entsprechende Rücklagen verfügt. Ein Anbieter mit einem Bruchteil der Rücklagen kann das nicht. Wer bei einem grossen, etablierten Buchmacher spielt, hat eine höhere Wahrscheinlichkeit, im Schadensfall entschädigt zu werden — keine Garantie, aber eine deutlich bessere Ausgangslage als bei einem unbekannten Anbieter mit drei Monaten Trackrecord.

Dritte Lektion: Zwei-Faktor-Authentifizierung (2FA) aktivieren, und zwar mit einer Authenticator-App wie Google Authenticator oder Authy, nicht per SMS. SMS-basierte 2FA ist durch SIM-Swapping angreifbar — Hacker können die Mobilnummer auf eine neue SIM-Karte übertragen und damit den SMS-Code abfangen. Eine App-basierte 2FA ist deutlich sicherer und bei allen grossen Krypto-Buchmachern verfügbar.

Vierte Lektion: Niemals dasselbe Passwort für den Buchmacher und die Exchange verwenden. Ein Datenleck bei einer Plattform kompromittiert dann nicht automatisch die andere. Ein Passwort-Manager löst dieses Problem dauerhaft. Fünfte Lektion: Auszahlungsadressen vordefinieren und mit einer Whitelist sichern, sofern der Anbieter das unterstützt — das verhindert, dass ein Angreifer, der Zugang zum Konto erhält, die Coins an eine fremde Adresse sendet. Hacks werden passieren. Die Frage ist nicht ob, sondern wann. Wer sich dieser Realität stellt und seine Exposure bewusst steuert, minimiert den Schaden im Ernstfall.