- Elite-Hackergruppe "Lazarus" steckt angeblich hinter dem Angriff auf Ronin Network.
- Sie haben bereits den Gegenwert von 9 Millionen US-Dollar in Ether gewaschen.
- US-Behörden behaupten, dass die Hacker aus Nordkorea stammen.
Eine angeblich nordkoreanische Ethereum-Wallet gehört den Hackern, die Ende letzten Monats Ronin Network angriffen und dabei über 600 Millionen US-Dollar stahlen. Trotz der Tatsache, dass diese Wallet identifiziert und von US-Behörden sanktioniert wurde, sind die Hacker in der Lage, die gestohlenen Ether-Coins zu waschen, berichtet Coindesk.
Nach Angaben der US-Behörden hat die Elite-Hackergruppe „Lazarus“ bereits den Gegenwert von fast 9 Millionen US-Dollar gewaschen. Das Ironische daran ist, dass sie erst einen Tag zuvor in einer Sanktionsliste erschien.
Spur endet nach Tornado Cash
Das Geld wurde kurzzeitig auf eine neue, nicht sanktionierte Wallet transferiert und dann von dem Coin-Mixer Tornado Cash verarbeitet. Danach wurde die Spur kalt.
Ein Experte, mit dem CoinDesk gesprochen hat, nennt die Strategie beim Geldwaschen „Brute Force“. Dabei kommt es vor allem auf Geschwindigkeit an, selbst wenn es zu Geldverlusten kommt. Nachdem die Ronin Bridge über 600 Millionen US-Dollar verlor, schickten die Kriminellen dieses Geld nun in mehreren Transaktionen an Tornado Cash, etwa 10 Millionen US-Dollar in Ether-Coins auf einmal.
Nach Angaben des Unternehmens Elliptic, das sich auf die Rückverfolgung von Coins spezialisiert, haben die Hacker bisher 80 Millionen US-Dollar durch Tornado Cash gewaschen. Weitere 8 Millionen Dollar wurden gestern Morgen verarbeitet.
Die Adresse, die hinter dem Ronin-Exploit steckt, hat in den letzten 10 Tagen Ether in millionenschweren Transaktionen an mehrere Krypto-Wallets zur Verarbeitung durch Tornado Cash geschickt. Hier wird es besonders deutlich, wie die Gruppe arbeitet: Es werden jeweils 100 ETH innerhalb von kurzer Zeit in den Mixer eingezahlt. Die relativ kleinen Beträge, die übrig bleiben, werden einfach zurückgelassen.
Chainalysis-Tool erwies sich als unwirksam
Nach der letzten Tranche twitterte Tornado Cash, dass es ein Orakel von Chainalysis verwendet, um von der OFAC sanktionierte Adressen vom Zugriff auf die dApp zu blockieren. Aber selbst wenn es tatsächlich der Fall ist, wirkt sich die Maßnahme nur auf das Front-End des Mixers aus. Die Benutzer können weiterhin mit den zugrunde liegenden Smart Contracts interagieren.
Seit diesem Tweet hat die primäre Wallet nicht versucht, Geld wieder durch Tornado Cash zu bewegen, aber das könnte rein zufällig sein. Chainalysis kommentierte, dass ihre kostenpflichtigen Produkte über effektivere Compliance-Tools verfügen.
FBI bestätigt Anschuldigungen
Bereits am Donnerstag erklärte das US-Finanzministerium, dass die Wallet mit der Lazarus Group in Verbindung steht. Später am selben Tag bestätigte das FBI, dass es glaubt, dass Lazarus, die nordkoreanische Elite-Hackergruppe, die Ronin Bridge kompromittiert hat, die mit dem beliebten P2E-Spiel Axie Infinity verbunden ist. Das FBI erklärte:
Durch unsere Untersuchung konnten wir bestätigen, dass die Lazarus Group und APT38, Cyber-Akteure, die mit der DVRK in Verbindung stehen, für den am 29. März gemeldeten Diebstahl von 620 Millionen US-Dollar in Ethereum verantwortlich sind.