Exklusiv. Waltio: Hinter den Kulissen eines versteckten Sicherheitsmangels

Exklusiv. Waltio: Hinter den Kulissen eines versteckten Sicherheitsmangels
Ask AI TO SUMMARIZE ThIS ARTICLE

Da die Welle von Angriffen auf Krypto-Asset-Inhaber in Frankreich zunimmt, war das Start-up Waltio Opfer mehrerer Einbrüche in sein System, darunter mindestens einer, der Anfang 2025 nie gemeldet wurde. Seine Kundenakte versorgt derzeit kriminelle Gruppen.

Your 2 free articles this month are up

The research your peers are already leveraging

The Big Whale gives financial institutions the market intelligence, network, and platform to move with confidence in digital assets. Trusted by 150+ firms.

In der Welt der digitalen Vermögenswerte wird oft die Unverletzlichkeit der Blockchain und die Robustheit kryptografischer Protokolle gepriesen. Doch für Unternehmen, die in diesem Sektor tätig sind, liegt das größte Risiko nicht in der Blockchain selbst, sondern in den traditionellen Infrastrukturschichten.

Eine Reihe schwerwiegender Mängel bei Waltio, die The Big Whale aufdecken kann, ist eine eindringliche Erinnerung: Die Sicherheit von Kundendaten wird von vielen Diensten vernachlässigt, wodurch schlecht geschützte Datenbanken zu regelrechten Verzeichnissen für organisierte Kriminalität werden.

Das französische Start-up, gegründet im Jahr 2019, bietet ein Tool zur Unterstützung bei der Steuererklärung für Steuerzahler, die digitale Vermögenswerte halten. Es beansprucht 80.000 Kunden, von denen einige sehr große Vermögenswerte besitzen.

Nach unseren Informationen war es im ersten Quartal 2025 Opfer eines Einbruchs in seine Systeme.

Im Gegensatz zu einem anderen Ereignis am 21. Januar 2026 wurde dieses nie kommuniziert.

550.000 $ aus Waltios Kasse gestohlen

Während dieses Angriffs wurden der Firma gehörende Krypto-Assets durch die Wiederherstellung eines in Waltios Online-Tools gespeicherten "Seeds" (eine Art Passwort, das den Zugang zu den Geldern ermöglicht) gestohlen.

6,18 Bitcoins wurden aus der Kasse gestohlen, was zum aktuellen Preis fast 550.000 $ entspricht. "Wir können diese Informationen weder bestätigen noch dementieren", antwortete uns Pierre Morizot, der Chef des Start-ups, in einer E-Mail.

Darüber hinaus ist es sehr wahrscheinlich, dass die Hacker auch Zugang zu Kundendaten erlangt haben: Waltios System sah keine Trennung zwischen Unternehmens- und Kundendaten vor (hauptsächlich E-Mail-Adressen, die mit Krypto-Vermögenssalden verknüpft sind).

Wir können feststellen, dass das Unternehmen im ersten Quartal 2025 eine Cybersicherheitsfirma beauftragte, um dieser Angelegenheit auf den Grund zu gehen.

Die Untersuchung dieser Firma konnte nicht sehr weit kommen, da ein großes Problem bestand: Waltio hatte kein Verfahren zur Analyse der digitalen Spuren, die von den Administratoren der Plattform hinterlassen wurden, eingerichtet.

Als Empfehlung schlug die Prüfungsfirma vor, das gesamte System zu ändern, da Waltio "blind" gegenüber allem war, was passieren könnte.

"Das Einmaleins der IT-Sicherheit und Trennung musste installiert werden, einschließlich Log-Feedback und einer konformen Zugriffspolitik für ein Unternehmen, das so sensible Daten verwaltet", erzählt eine Quelle, die die Situation miterlebte, The Big Whale.

Aber die wichtigste Frage ist: Welche Daten wurden gestohlen?

Für seinen Chef Pierre Morizot: "Es gibt absolut keinen Zusammenhang zwischen den Geldern des Unternehmens und dem Produkt. Dies sind zwei völlig de-korrelierte technologische Infrastrukturen, die nicht kommunizieren."

"Es war die globale Infrastruktur von Waltio, die gefährdet war. Zugegeben, das CRM des Unternehmens und seine Wallet sind de-korreliert, aber eine Schwachstelle im globalen Zugang des Unternehmens ermöglichte den Hackern breiten Zugang zu seinen verschiedenen Tools", betont unsere Quelle.

"Das Einzige, was wir sicher wissen, ist, dass es zu einem Kompromiss aufgrund des Diebstahls der Kryptos kam", betont dieser Zeuge. "Aber da in der gesamten Infrastruktur nichts getrennt war, impliziert dies, dass die Kundenakte zum Zeitpunkt des Angriffs stark gefährdet war."

Unter der europäischen RGPD-Verordnung ist ein Unternehmen verpflichtet, die Situation der CNIL zu melden und seine Kunden zu warnen, wenn personenbezogene Daten betroffen sind und insbesondere, wenn ein Risiko für Einzelpersonen besteht.

Auf Nachfrage konnte Waltio keinen Nachweis erbringen, dass dieser Vorfall gemeldet wurde.

"Dieser Hack befindet sich in einer Grauzone: Das Fehlen von Logs macht es unmöglich, mit Sicherheit festzustellen, was passiert ist, was erklären könnte, warum sie der Meinung sind, dass es nichts zu kommunizieren gibt", weist ein Experte darauf hin.

Pariser Staatsanwaltschaft untersucht neuen Angriff

Nachdem Ende Dezember 2025 Gerüchte in sozialen Netzwerken kursierten, dass ihre Kundenakte in Hackerforen zu finden sei (von der Firma bestritten), war Waltio Gegenstand einer Mitteilung der Pariser Staatsanwaltschaft am 22. Januar 2026.

Darin wird erklärt, dass Betreiber von Krypto-Assets "kürzlich Opfer von Lecks personenbezogener Daten" geworden sind.

Es wird auf "eine laufende Untersuchung bezüglich des Unternehmens Waltio" hingewiesen.

Dies wird von der Firma am 23. Januar 2026 bestätigt, die auf einen Einbruch in ihre Systeme in der Nacht vom 21. Januar 2026 verweist:

"Die exponierten Daten betreffen einen begrenzten Umfang im Zusammenhang mit der Erstellung der Steuerberichte für 2024, die am 31.12.2024 abgeschlossen wurden. In Fällen, in denen der Steuerbericht vollständig ist, können folgende Informationen gefunden werden: die E-Mail-Adresse des Nutzers, aggregierte Daten aus dem Steuerbericht 2024: Gewinne und Verluste, Salden zum 31.12.2024 je nach Struktur des Berichts", erklärt sie in einer Erklärung.

Es wird nie auf den Vorfall im ersten Quartal 2025 Bezug genommen.

Diese Episoden kommen vor einem brisanten Hintergrund, zu einer Zeit, in der eine Welle von Angriffen auf Krypto-Asset-Inhaber über Frankreich hinwegfegt. Seit dem 1. Januar 2025 wurden fast 30 Fälle von den Medien gemeldet, einige davon besonders gewalttätig (alle hier gezählt).

Seit Anfang 2026 gab es mindestens sieben, zu denen wir den vereitelten Angriff auf ein Pariser Paar, das in diesem Sektor arbeitet, hinzufügen müssen.

Steuererklärungshilfetools im Zentrum der Begierde

Für kriminelle Netzwerke, die private Daten von Krypto-Asset-Inhabern sammeln möchten, sind Unternehmen wie Waltio sicherlich Hauptziele.

Laut Quellen, die der Untersuchung nahe stehen, leiden seine Konkurrenten Koinly und BlockPit seit mehreren Monaten unter Wellen von Computer- und Phishing-Angriffen.

Aber Waltio scheint am stärksten betroffen zu sein.

Eine Schwachstelle bei der Google-Registrierung auf der Plattform soll ebenfalls ausgenutzt worden sein.

Auf gut Deutsch, wenn ein Hacker die E-Mail-Adresse eines Waltio-Kunden kannte, der sich über sein Gmail-Konto angemeldet hatte, war es möglich, leicht auf seine Waltio-Oberfläche und damit auf alle seine Informationen zuzugreifen.

Auf Nachfrage sagte Pierre Morizot: "Wie wir bereits zweimal kommuniziert haben (im Oktober 2025 an die betroffenen Nutzer und dann am 24. Dezember 2025 öffentlich auf X), können wir bestätigen, dass Waltio im Oktober 2025 einen Sicherheitsvorfall erlebte, der 216 Konten betraf, also weniger als 0,2 % unserer Nutzerbasis. Am Tag der Entdeckung wurden alle betroffenen Nutzer informiert und die CNIL benachrichtigt."

Ihm zufolge wurde die Schwachstelle "sofort im Oktober 2025" behoben, wobei er auch angab, dass das Unternehmen "die Gelder seiner Nutzer nicht verwaltet".

Waltio speichert weder Namen noch physische Adressen, sondern nur E-Mails und Informationen über die Krypto-Assets seiner Kunden. Aber diese Informationen sind besonders kritisch und können leicht mit anderen kürzlichen Datenlecks (Telefonanbieter, France Travail, E-Commerce-Seiten, Sportverbände usw.) abgeglichen werden.

Am Ende des Tages sind Hacker in der Lage, vollständige Verzeichnisse von Krypto-Asset-Inhabern (Name, physische Adresse, Telefonnummer usw.) zu erstellen, denen sie einen Betrag an digitalem Vermögen und in einigen Fällen Details zu ihren Transaktionen zuordnen können.

Diese Personen sind dann Gegenstand von Telefonanrufen, bei denen die Kriminellen versuchen, sie zu betrügen.

Ein Prozess, der von der Pariser Staatsanwaltschaft bestätigt wird, die auch Anrufe von falschen Strafverfolgungsbeamten (Polizisten, Gendarmen, Zollbeamten, Richtern) erwähnt, deren Ziel es ist, zusätzliche Informationen über die Inhaber oder sogar sensible Dokumente oder Gegenstände (Zahlungsmittel, Wiederherstellungsschlüssel ("Seeds"), wertvolle Güter usw.) zu erhalten.

Für die sehr Wohlhabenden kann diese Information sogar die Quelle besonders gewalttätiger Angriffe auf ihre Häuser sein. Dies gilt insbesondere für die Kunden von Waltio (und ähnlichen Unternehmen), deren finanzielles Leben nun offengelegt ist.

Durch den Umgang mit hochkritischen Daten ohne die richtigen Verschlüsselungs- oder Segmentierungsprotokolle werden diese Unternehmen weiterhin wiederkehrenden und zunehmend ausgeklügelten Angriffen ausgesetzt sein.

"Um diese Daten so effektiv wie möglich zu schützen, haben wir strenge Sicherheitskontrollen implementiert, die regelmäßig von einer führenden Firma im Rahmen unserer SOC 2-Zertifizierung geprüft werden", sagt der Leiter eines ähnlichen Unternehmens, das im Rahmen unserer Untersuchung angesprochen wurde.

Bevor er hinzufügt: "Zusätzlich zu diesen Prüfungen unterliegen diese Kontrollen auch regelmäßigen Sicherheitstests, einschließlich interner (2 pro Jahr) und externer (1 pro Jahr) Penetrationstests."

Waltio versichert uns, dass es dabei ist, diese Art von Sicherheit zu implementieren, nach einer ersten Verstärkung, die im Jahr 2025 durchgeführt wurde.

In einer Zeit, in der durchgesickerte Daten es ermöglichen, die Wallets mit dem meisten Geld genau zu lokalisieren und zu identifizieren, verschwimmt die Grenze zwischen Cyberrisiko und physischer Sicherheit. Der Anstieg gezielter Angriffe zeigt, dass Daten zum giftigsten Vermögenswert geworden sind, wenn sie schlecht gepflegt werden.

Für die betroffenen Unternehmen verstärken diese Fälle die Tatsache, dass technische Due Diligence bei der Datenpflege jetzt genauso entscheidend ist wie die Prüfung von Smart Contracts.

Aktualisierung vom 27.01.2026:

Mehr als 24 Stunden nach der Veröffentlichung dieses Artikels veröffentlichte Waltio in sozialen Medien einen Auszug einer Beschwerde bezüglich des Diebstahls von Krypto-Assets aus seiner Kasse. Diese Beschwerde wurde nicht erwähnt, als das Unternehmen von The Big Whale kontaktiert wurde, trotz spezifischer Fragen zu diesem Ereignis, und zog es vor, es "weder zu bestätigen noch zu dementieren".

Grégory Raymond

Grégory Raymond ist Forschungsleiter und Mitgründer von The Big Whale. Als Spezialist an der Schnittstelle zwischen traditionellem Finanzwesen und digitalen Assets beobachtet er seit 2017 die regulatorischen, institutionellen und technologischen Entwicklungen der Branche — für ein Publikum aus Entscheidungsträgern bei Banken, Asset Managern und Fintechs. Er ist außerdem Autor von Bitcoin & Cryptos: L'enjeu du siècle (Talent Éditions, 2025), einem Buch, das auf Gesprächen mit zentralen Akteuren des Ökosystems basiert.

See all articles ↗
Abonnieren Sie The Drop
Der führendes wöchentliches Briefing zu digitalen Assets für Finanzinstitute: unabhängige Analysen, Berichte, Benchmarks und exklusive Veranstaltungen, direkt in Ihr Postfach geliefert.
Read by 30,000 professionals
12.–13. November 2026

Der Genfer Gipfel

Das Corporate Gateway: wo über die Zukunft der On-Chain-Finanzierung entschieden wird. 300 handverlesene Entscheidungsträger. Ein gemeinsames Mandat.
300
Entscheidungsträger
2 Tage
Intensivprogramm