Am 14. August 2025 erlitt die türkische Börse BtcTurk ihren zweiten großen Hot-Wallet-Hack in 14 Monaten und verlor etwa 48 Millionen US-Dollar über sieben Chains — Ethereum, Avalanche, Arbitrum, Base, Optimism, Mantle und Polygon. Die Börse hatte zuvor 55 Mio. USD im Juni 2024 unter ähnlichen Umständen verloren. Cold-Storage-Kundenvermögen blieben in beiden Vorfällen unangetastet.
Was geschah
Der Bruch 2025 spiegelte das Muster 2024 wider: gleichzeitige, koordinierte Outflows aus BtcTurks Hot Wallets über mehrere Chains, identifiziert vom Anomalie-Erkennungssystem von Cyvers vor BtcTurks eigener Offenlegung. Die Börse pausierte Ein- und Auszahlungen innerhalb von Stunden.
BtcTurk detaillierte den spezifischen Kompromittierungsvektor für den 2025er Vorfall nicht öffentlich. Das On-Chain-Muster — Multi-Chain-koordinierter Sweep, sofortige Cross-Chain-Konvertierung über Aggregatoren, sofortiges Tornado-Cash-Routing — ist konsistent mit Private-Key-Kompromittierung eines zentralisierten Signing-Systems statt mit einem Smart-Contract-Bug oder Supply-Chain-Angriff.
Die Wiederholungsnatur des Vorfalls — dieselbe Börse, dieselben TTPs, ähnliche Verlustgröße, 14 Monate auseinander — deutet stark darauf hin, dass dieselbe operative Schwäche nach dem ersten Hack nicht vollständig behoben war. Branchenanalysten merkten an, dass der Bruch zu Lazarus-artigen Operationen passte, aber keine formale Zurechnung erfolgte.
Gestohlene Assets umfassten ETH, AVAX, ARB, BASE, OP, MANTLE, MATIC — primär Long-Tail-Tokens, speziell gewählt, um jeglicher Token-Issuer-Freeze-Koordination zu entkommen.
Folgen
- BtcTurk pausierte Ein- und Auszahlungen und kündigte volle Kunden-Rückerstattung aus Unternehmensreserven an.
- Die Börse betonte, dass die meisten Vermögen in Cold Storage verblieben — der Verlust wurde auf einen relativ kleinen Prozentsatz der Gesamtbestände begrenzt.
- Keine öffentliche Rückgewinnung aus den Wallets des Angreifers; die Mittel wurden über Tornado Cash und Standard-Mixing-Routen gewaschen.
Warum es wichtig ist
BtcTurks zwei Brüche in 14 Monaten illustrieren ein wiederkehrendes Muster in der Börsensicherheit: Eine erfolgreiche erste Kompromittierung signalisiert oft ausnutzbare strukturelle Schwäche, die ein verteidigendes Team unterschätzt, wie gründlich zu adressieren ist.
Das Post-Vorfall-Playbook zwischen Juni 2024 und August 2025 umfasste Schlüsselrotationen, Infrastruktur-Audits und (laut BtcTurks öffentlichen Aussagen) Härtung der Hot-Wallet-Kontrollen. Was auch immer tatsächlich getan wurde, war entweder unvollständig, unzureichend oder auf die falsche Schicht fokussiert — weil dieselbe Angriffsklasse erneut in ähnlichem Maßstab gelang.
Die allgemeine Lektion für 2025er Börsensicherheit:
- Ein erster Hot-Wallet-Bruch sollte einen Outside-In-Review durch eine unabhängige Firma auslösen, nicht nur interne Härtung. Interne Teams übersehen oft das systemische Problem, das den ersten Bruch ermöglichte.
- Wiederholungskompromittierungen zerstören Kundenvertrauen, selbst wenn Rückerstattungen vollständig gezahlt werden. BtcTurk blieb nach beiden Vorfällen operativ, aber seine Wettbewerbsposition im türkischen Markt erodierte messbar zwischen den Vorfällen.
- Staatlich verbundene Threat Actors kehren zu weichen Zielen zurück. Lazarus und ähnliche Gruppen pflegen Ziellisten; eine erfolgreiche Operation gegen eine Börse erhöht die Wahrscheinlichkeit einer Folgeoperation, nicht senkt sie.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-btcturk-hack-august-2025
- [02]decrypt.cohttps://decrypt.co/335251/hacked-again-turkish-exchange-btcturk-suspends-withdrawals-50m-moved
- [03]coindesk.comhttps://www.coindesk.com/business/2025/08/14/turkish-crypto-exchange-btcturk-witnesses-usd48m-of-suspicious-outflows-amid-hack-fears