Das Krypto-Sicherheitsunternehmen CertiK schätzt, dass Opfer in den ersten vier Monaten des Jahres 2026 durch Krypto-Wrench-Angriffe rund 101 Millionen US-Dollar verloren haben. Wenn sich dieser Trend fortsetzt, würde dies für das gesamte Jahr 2026 Verluste in Höhe von mehreren Hundert Millionen Dollar bedeuten. 

Wrench-Angriffe, ein Begriff, der im Bereich der Cybersicherheit für physische Übergriffe und Erpressungsversuche verwendet wird, die selbst die robustesten Software-Sicherheitssysteme überwinden können, sind inzwischen zu einem "etablierten Bedrohungsvektor für Kryptowährungsbesitzer" geworden, schrieb das Unternehmen.

Experten zufolge war 2025 das aktivste Jahr für Krypto-bezogene Wrench-Angriffe, mit etwa 70 gemeldeten physischen Übergriffen. Aufgrund der Art dieser Angriffe ist es jedoch wahrscheinlich, dass viele nicht gemeldet werden. 

Bislang gab es 2026 laut CertiK weltweit 34 verifizierte Vorfälle, ein Anstieg von 41 % gegenüber dem gleichen Zeitraum im Jahr 2025. Hochgerechnet würde dies für das gesamte Jahr schätzungsweise 130 Vorfälle und mehrere Hundert Millionen Dollar an Verlusten bedeuten. 

Bemerkenswert ist, dass 28 von 34, also 82 %, dieser Angriffe in Europa verzeichnet wurden. Währenddessen sanken die gemeldeten Bedrohungen in den USA im ersten Quartal von neun im Jahr 2025 auf drei und in Asien von 25 auf zwei, so CertiK. 

Frankreich steht erneut im Rampenlicht, mit bisher 24 registrierten Übergriffen im Jahr 2025. Dies ist ein Anstieg gegenüber 20 im gesamten letzten Jahr, das bereits "die länderspezifische Aufschlüsselung bei weitem dominierte".

Letztes Jahr traf sich das französische Innenministerium mit führenden Vertretern der Kryptoindustrie des Landes, um deren Sicherheitsbedenken zu besprechen, nach der aufsehenerregenden Entführung und Folter von Ledger-Mitbegründer David Balland und seiner Frau.

CertiK nennt mehrere Faktoren, die die Häufigkeit von Wrench-Angriffen in Frankreich beeinflussen, darunter die Präsenz mehrerer führender Branchenunternehmen wie Ledger und Binance, die hohe Anzahl von Datenlecks, die das Land betroffen haben, und die "Kultur des Flexings und freiwilligen Doxxings, die tief in der Gemeinschaft verwurzelt ist".

Es entwickelt sich auch ein besseres Verständnis für die Art von Menschen, die diese Verbrechen begehen, und deren Vorgehensweise (Modus Operandi). CertiK stellt fest, dass kleine Teams von 3 bis 5 Personen, oft junge Leute, häufig über Telegram oder Snapchat rekrutiert werden, um als Bodenpersonal zu agieren. Die Organisatoren halten sich derweil oft im Ausland auf, an Orten wie Marokko, Dubai und Osteuropa. 

CertiK sagte, dass es auch eine jüngste Verlagerung hin zu einem "datengesteuerten Targeting"-Modell gegeben hat, das den Bedarf an physischer Überwachung minimiert, indem Informationen wie der vollständige Name, die Wohnadresse und das Finanzprofil eines Opfers von Online-Brokern gekauft werden. 

"Sie kaufen Datenlisten, beauftragen Koordinatoren und erhalten Gelder, bevor sie diese waschen", bemerkt CertiK.

Angreifer zielen auch zunehmend auf "Proxies" ab, wobei mehr als die Hälfte der Vorfälle in diesem Jahr ein "Mitglied der Familie des Hauptziels (Ehepartner, Kind, älteres Elternteil) als direktes Opfer oder als Druckmittel" betrafen.

Während Angreifer Online-Tools nutzen, um Opferprofile zu erstellen, bleibt ein Großteil des Verhaltens vor Ort unverändert. 

"Die Zugangstechniken bleiben im Wesentlichen dieselben wie im Jahr 2025, mit einer starken Beständigkeit des Klingel-Vektors (Lieferpersonal, falsche Polizeibeamte usw.) und des Honeypots (fiktive Geschäftsbesprechungen, gefälschte OTC-Geschäfte usw.)", schrieb CertiK.