Bitcoin Depot deckt eine schwerwiegende Sicherheitslücke auf, Hacker stehlen 3,6 Millionen USD BTC

Der Bitcoin-ATM-Betreiber Bitcoin Depot hat am 9. April bei der US-Börsenaufsicht SEC Unterlagen eingereicht und offengelegt, dass das Unternehmen am 23. März von einer schwerwiegenden Sicherheitslücke betroffen war. Angreifer gelangten durch das Eindringen in die IT-Systeme des Unternehmens an Zugangsdaten für ein Konto zur digitalen Vermögensabrechnung und überführten in unbefugter Weise rund 50,9 Bitcoins; der Verlust beläuft sich nach dem Marktwert zum Zeitpunkt des Diebstahls auf etwa 3,665 Millionen US-Dollar.

Angriffspfad im Detail: Wie gestohlene IT-Zugangsdaten zu einem BTC-Abfluss führten

(Quelle: SEC)

Laut den SEC-Offenlegungsunterlagen von Bitcoin Depot umfasst der Angriff eine vollständige Eindring- und Übertragungskette:

Übersicht zu Angriffspfad und Verlustumfang

Einbruch in IT-Systeme: Die Angreifer drangen erfolgreich in die internen IT-Systeme des Unternehmens ein und erlangten die Zugangsdaten für das Konto zur digitalen Vermögensabrechnung

Unbefugte Überweisung von Geldern: Mit den gestohlenen Zugangsdaten wurde ohne Wissen anderer eine illegale Übertragung von Krypto-Vermögenswerten durchgeführt

Ausmaß des Verlusts: 50,9 Bitcoins; der auf dem Marktwert zum Zeitpunkt des Diebstahls geschätzte Verlust beträgt 3,665 Millionen US-Dollar

Auswirkungen auf Kunden: Die kundenbezogene ATM-Plattform sowie die persönlichen Nutzerdaten wurden nicht in Mitleidenschaft gezogen

Zeitpunkt des Vorfalls: Die Sicherheitslücke trat am 23. März 2026 auf

Zum Zeitpunkt der Veröffentlichung des Berichts hat Bitcoin Depot neben den SEC-Unterlagen hierzu noch keine öffentlichen Erklärungen abgegeben und auch nicht auf Medienanfragen zur Stellungnahme reagiert.

Maßnahmen des Unternehmens und mögliche Folgekosten

Nach der Entdeckung des Einbruchs hat Bitcoin Depot einen Incident-Response-Mechanismus aktiviert, externe Experten für Cybersicherheit engagiert, um den Angriffspfad zu untersuchen und die verbleibenden Vermögenswerte zu sichern, sowie bei Strafverfolgungsbehörden Anzeige erstattet, ohne jedoch konkret offenzulegen, welche Stellen an der Untersuchung beteiligt waren.

Das Unternehmen schätzte den Schaden zunächst auf 3,665 Millionen US-Dollar. In den SEC-Unterlagen wurde jedoch nicht offengelegt, ob das Unternehmen eine Versicherung gegen Diebstahl digitaler Vermögenswerte besitzt, und es wurde auch nicht erläutert, welche potenziellen Auswirkungen der Verlust auf den Betrieb der Liquidität des Bitcoin-Flusses im gesamten Netzwerk der ATM-Geräte hat. Bitcoin Depot erklärte ausdrücklich, dass zu den Risiken, die mit diesem Vorfall verbunden sind, ein Imageschaden, Rechtskosten, ein behördliches Eingreifen sowie Kosten für die Notfallreaktion gehören; dies könnte zu einer langfristigen finanziellen Belastung für das Unternehmen führen.

Auf Ebene der Marktreaktion stieg die BTM-Aktie im Tageshandel zeitweise um 15% und schloss bei 2,74 US-Dollar, doch nach Veröffentlichung der SEC-Unterlagen kam es im After-Hours-Handel zu einem Rückgang. Bemerkenswert ist, dass die Aktie in den vergangenen 30 Tagen bereits insgesamt um 44% gefallen ist.

Zweiter Sicherheitsvorfall: Systemische Sicherheitsherausforderungen für ATM-Betreiber

Dies ist der mindestens zweite bekannte schwerwiegende Sicherheitsvorfall für Bitcoin Depot: 2023 hatte das Unternehmen bereits einen weiteren Hackerangriff erlitten, der zu einer Datenpanne führte und etwa 58.000 Nutzern persönliche Daten offenlegte. Das wiederholte Auftreten beider Vorfälle macht deutlich, dass Betreiber von Bitcoin-ATMs in Bezug auf Sicherheitsvorkehrungen einem systemischen Druck ausgesetzt sind.

Da ATM-Betreiber große Bestände an Krypto-Vermögenswerten aufrechterhalten müssen, um Transaktionen für Kunden zu ermöglichen, sind sie zu einem besonders stark angegriffenen Ziel für Cyberkriminelle geworden. Solche Unternehmen müssen bei der Verbindung von physischem Bargeld und Krypto-Infrastruktur außerdem komplexe digitale Verwahrungssysteme verwalten und schaffen damit eine einzigartige Angriffsoberfläche, die sowohl physische Sicherheit als auch Cybersicherheit umfasst.

Der Vorfall ereignete sich genau in einer Phase, in der Bitcoin Depot einer zunehmend strengeren behördlichen Prüfung gegenüberstand: Im laufenden Jahr 2 ließ das Unternehmen unter dem Druck der Aufsichtsstellen alle ATM-Transaktionen mit strengeren Anforderungen an die Identitätsverifikation ausstatten, um die Fähigkeiten zur Betrugsbekämpfung und zur Einhaltung von Anti-Geldwäsche-Vorschriften zu stärken.

Häufige Fragen

Wie hoch war der Schaden durch den Hackerangriff auf Bitcoin Depot?

Laut den von Bitcoin Depot bei der SEC eingereichten Unterlagen stahlen die Hacker etwa 50,9 Bitcoins; der Verlust liegt nach dem Marktwert zum Zeitpunkt des Diebstahls bei etwa 3,665 Millionen US-Dollar. Das Unternehmen hat bislang nicht offengelegt, ob es eine Versicherung gegen Diebstahl digitaler Vermögenswerte besitzt, und es wurde auch nicht erläutert, welche potenziellen Auswirkungen der Verlust auf den Betrieb der Liquidität von ATMs hat.

Wurden die persönlichen Kundendaten von diesem Hackerangriff betroffen?

Bitcoin Depot erklärte in den SEC-Unterlagen ausdrücklich, dass die kundenbezogene ATM-Plattform des Unternehmens sowie die persönlichen Nutzerdaten nicht von diesem Einbruch betroffen waren. Der Vorfall betraf hauptsächlich das interne Konto zur digitalen Vermögensabrechnung des Unternehmens, wobei das System auf der Kundenseite isoliert war.

Welcher wievielte Sicherheitsvorfall für Bitcoin Depot ist das?

Dies ist der mindestens zweite bekannte schwerwiegende Sicherheitsvorfall für Bitcoin Depot. 2023 hatte das Unternehmen bereits einen weiteren Hackerangriff erlitten, der dazu führte, dass etwa 58.000 Nutzer persönliche Daten preisgegeben bekamen, und es entstand ein besorgniserregendes Muster wiederholter Sicherheitsvorfälle.