Crypto.com hat den Hack von 2023 nicht vertuscht, CEO weist Behauptungen von ZachXBT zurück

Ein Teenager und seine Komplizen übernahmen im Jahr 2023 die Kontrolle über das Mitarbeiterkonto der Kryptobörse Crypto.com, was das Unternehmen laut dem Blockchain-Ermittler ZachXBT verschleiert haben soll. 

In seiner Antwort auf den Beitrag der Börse am Samstag behauptete , die Plattform sei mehrmals kompromittiert worden, habe aber angeblich „einen Verstoß vertuscht, der die persönlichen Daten der Nutzer betraf“.

Crypto.com-CEO: Wir haben keinen öffentlichen Datenverstoß vertuscht

Der Vorstandsvorsitzende Kris Marszalek reagierte am Montag auf die Vorwürfe von ZachXBT und nannte sie „völlig unbegründet“. In einem Beitrag auf X schrieb er, dass das Unternehmen keine Sicherheitslücke nicht offengelegt habe und eine „Meldung über einen Datensicherheitsvorfall“ bei dendenteingereicht habe.

Ich möchte einige Falschinformationen, die von uninformierten Quellen verbreitet werden, direkt und unmissverständlich ansprechen…
Jegliche Behauptung, wir hätten einen Sicherheitsvorfall nicht gemeldet oder offengelegt,dentdentdent dentdentdentdent dentdent und in weiteren

– Kris (@kris) 22. September 2025

Laut Marszalekdent es sich bei dem Vorfall im Jahr 2023 um eine Phishing-Kampagne, die auf einen Mitarbeiter abzielte, aber innerhalb weniger Stunden eingedämmt werden konnte. 

„Es wurde auf keine Kundengelder zugegriffen oder diese waren jemals gefährdet, und nur eine äußerst geringe Anzahl unserer Nutzer war von den teilweisen personenbezogenen Daten betroffen. Unsere Systeme sind praxiserprobt und werden kontinuierlich verbessert – wir sind stolz auf unsere Sicherheitskultur und darauf, die meisten Sicherheitszertifizierungen aller Unternehmen unserer Branche zu besitzen“, betonte Marszalek.

Nach seiner Antwort bat ZachXBT den CEO jedoch, eine URL zu teilen, unter der die Vorfälledentbekannt gegeben wurden, ähnlich wie Coinbase und Gemini es Anfang des Jahres bei ihren Datenschutzverletzungen getan hatten.

„Da mich der CEO von Crypto.com, Kris, blockiert hat, kann ich nicht auf seinen Beitrag antworten und werde daher einfach hier antworten… Die bei anderendentdurchgesickerten Kontostände, Namen, E-Mail-Adressen und Telefonnummern der Nutzer sind etwas mehr als nur ‚teilweise personenbezogene Daten‘“, antwortete der Ermittler. 

Im Juli beschuldigte ZachXBT das Unternehmen des Insiderhandels, da es 2021 70 Milliarden CRO Token verbrannt und 2023 dieselbe Menge durch eine Abstimmung der Governance neu ausgegeben habe, bei der Validatoren, die mit der Börse verbunden waren, den größten Teil des Ergebnisses kontrollierten.

„Vergesst nicht, dass sie auch noch mehr Token gedruckt haben, einfach so. Das ist doch alles verdächtig“, kommentierte ein Nutzer die Vorwürfe. Crypto.com hat sich zu diesen Behauptungen nicht geäußert und baut weiterhin Partnerschaften aus, darunter eine Allianz mit Trump Media , um eine digitale Vermögensverwaltung für CRO.

Teenager hinter dem Crypto.com-Datendiebstahl

Nach Recherchen von Bloomberg gehörten die Täter dem Scattered Spider-Kollektiv, darunter auch ein 18-Jähriger aus Florida namens Noah Urban. 

Urban gab zu, an einem der zerstörerischsten Cyberkriminalitätsnetzwerke der Welt beteiligt gewesen zu sein, das im Jahr 2023 einen Angriff auf MGM Resorts International orchestrierte, der einen Schaden von 100 Millionen Dollar verursachte, und einen weiteren auf den britischen Einzelhändler Marks & Spencer mit einem Schaden von rund 400 Millionen Dollar.

Mit der Hilfe eines anderen Hackers, der nur unter dem Namen Jack bekannt ist, soll der Teenager Social-Engineering-Techniken eingesetzt haben, um sich als Mitarbeiter auszugeben und sich so Zugang zum Konto eines Crypto.com-Mitarbeiters sowie zu Systemen von United Parcel Service zu verschaffen, um persönliche Daten zu sammeln. 

UPS bestätigte später, die Sicherheitslücke behoben zu haben, gab aber keine weiteren Details bekannt. Ein Sprecher von Crypto.com erklärte, der Vorfall habe nur „eine sehr geringe Anzahl von Personen“ betroffen, und es seien keine Kundengelder kompromittiert worden.

Noah Urban wurde zu einer Gefängnisstrafe verurteilt

Noah Urbans Weg in die Cyberkriminalität begann im Alter von 15 Jahren in Minecraft-Gaming-Communities, wo er SIM-Swapping-Techniken erlernte, die nur geringe technische Kenntnisse erforderten. 

Laut Bloomberg hatte Urban eine für sein Alter ungewöhnlich tiefe Stimme; er gab sich als Mitarbeiter von Telekommunikationsunternehmen aus und brachte die Angestellten mit Tricks dazu, ihm Telefonnummern zu geben.

„Hey, mein Name ist Kevin, und ich rufe vom internen Sicherheitsmanagement von T-Mobile an“, lautete eines der Skripte, die der damals noch Teenager für seine Social-Engineering-Taktiken verwendete. 

Wie hervorgeht , verdiente er 50 Dollar für jeden erfolgreichen Anruf und kam in einer einzigen Woche sogar auf bis zu 3.000 Dollar, während seine Gaming-Freunde seinen Discord-Kanal hörten.