- Blockchain-Sicherheitsfirma CertiK hat 34 verifizierte physische Angriffe auf Krypto-Halter zwischen Januar und April 2026 dokumentiert, 41 Prozent mehr als im Vorjahreszeitraum.
- 82 Prozent dieser Angriffe fanden in Europa statt. Frankreich allein verzeichnet alle 2,5 Tage einen Angriff.
Wer Bitcoin und andere Kryptowährungen hält, denkt bei Sicherheit an Wallet-Exploits und Phishing. Der CertiK-Bericht vom 8. Mai zeigt, dass die eigentliche Bedrohung zunehmend physischer Natur ist. Zwischen Januar und April 2026 dokumentierte die Sicherheitsfirma 34 verifizierte sogenannte Wrench Attacks, Angriffe bei denen physische Gewalt eingesetzt wird, um Zugang zu Krypto-Beständen zu erzwingen. Die geschätzten Verluste über Lösegeld, eingefrorene Mittel und fehlgeschlagene Forderungen belaufen sich auf rund 101 Millionen Dollar in vier Monaten. Zum Vergleich: Im gesamten Jahr 2025 lagen die Verluste bei 52,2 Millionen Dollar.
Europa als Epizentrum
28 der 34 dokumentierten Vorfälle ereigneten sich in Europa, das entspricht 82 Prozent des globalen Totals. 2025 lag der europäische Anteil noch bei 39,5 Prozent. Alle anderen Regionen verzeichneten im selben Zeitraum einen Rückgang: Nordamerika von 9 auf 3 Vorfälle, Asien von 25 auf 2.
Innerhalb Europas dominiert Frankreich mit 24 dokumentierten Vorfällen. Das französische Innenministerium bestätigte auf der Paris Blockchain Week 2026 sogar 41 Vorfälle seit Jahresbeginn. CertiK erklärt die Konzentration in Frankreich mit drei Faktoren: der Präsenz von Branchenunternehmen wie Ledger, Paymium und Binance und deren Führungskräften, einer Kultur der öffentlichen Zurschaustellung von Vermögen in der Community, sowie einer Reihe schwerwiegender Datenlecks.
Im Januar 2026 meldete das Krypto-Steuer-Tool Waltio einen Datenschutzverstoß und im selben Zeitraum wird eine Mitarbeiterin der französischen Steuerbehörde DGFiP, Ghalia C., beschuldigt, über staatliche Steuersoftware gezielt Profile von Krypto-Haltern abgerufen und die Daten an kriminelle Netzwerke verkauft zu haben.
Wie die Angriffe funktionieren
CertiK beschreibt den Wandel zu einem datengesteuerten Targeting-Modell. Physische Überwachung der Opfer ist nicht mehr notwendig, sobald Angreifer Name, Adresse und Finanzprofil eines Ziels kennen. Die häufigsten Angriffsmethoden sind der sogenannte Doorbell Vector, also Täter die sich als Lieferpersonal oder Polizeibeamte ausgeben und das Honeypot-Modell über Geschäftstreffen oder gefälschte OTC-Deals.
Mehr als die Hälfte der dokumentierten Vorfälle in Frankreich richtet sich nicht direkt gegen den Krypto-Halter, sondern gegen Familienmitglieder. Im Januar wurde die 84-jährige Mutter der US-Journalistin Savannah Guthrie entführt, um ein Bitcoin-Lösegeld von 6 Millionen Dollar zu erzwingen.
Im März wurde der britische Krypto-Entwickler Sillytuna von vier Tätern festgehalten und unter Waffengewalt gezwungen, rund 24 Millionen Dollar in aEthUSDC (Aave Ethereum USDC) zu transferieren. Die Gelder wurden anschließend über mehrere Chains gewaschen und in Monero konvertiert.
Auf der Ausführungsebene operieren Gruppen von drei bis fünf Personen. Die Auftraggeber sitzen meist außerhalb der Zielländer, kaufen Datenlisten und koordinieren die Angriffe aus der Distanz. Am 25. April 2026 gab die französische Staatsanwaltschaft PNACO die Anklage von 88 Verdächtigen bekannt, darunter mehr als zehn Minderjährige, in zwölf aktiven Ermittlungsverfahren.
CertiK kommt zu dem Schluss, dass mit steigender Sicherheit von Protokollen und Wallets die Bedrohung auf die menschliche Ebene verlagert wird. Solange Krypto-Bestände mit identifizierbaren Finanzdaten verknüpft sind, bleibt physischer Zwang der wirtschaftlich rationalste Angriffsweg.
