Nach einer On-Chain-Analyse von ZachXBT soll die nordkoreanische Hackergruppe Lazarus plötzlich nicht weniger als 41.000 Ether (ETH) zu Railgun verschoben haben, bevor sie sie auf verschiedene Exchanges transferierten. Laut Changpeng Zhao konnte ein Teil der Gelder dank einer Zusammenarbeit zwischen Binance und Huobi in Form von Bitcoin (BTC) abgefangen werden. OKX hat seinerseits ebenfalls ein betroffenes Konto eingefroren.
Lazarus verschiebt Ether im Wert von 63 Millionen US-Dollar
Fast sechs Monate nach dem Angriff auf die Blockchain-Bridge Harmony haben die Hacker plötzlich 41.000 Ether (ETH) aus dem Hack verschoben, was nicht weniger als 63,5 Millionen Dollar in Bewegung bedeutet.
Laut dem auf On-Chain-Analysen spezialisierten Unternehmen Elliptic war dieser Angriff Lazarus zuzuschreiben, der berüchtigten nordkoreanischen Hackergruppe, die auch für den kolossalen 624-Millionen-Dollar-Hack der Ronin-Bridge verantwortlich war, den bislang größten Hack im Ökosystem der dezentralen Finanzwirtschaft (DeFi).
Die Bewegung der gestohlenen ETH wurde zuerst von ZachXBT gemeldet, einem bekannten Ermittler im Kryptowährungs-Ökosystem, der außerdem über 350 Adressen zusammengestellt hat, die mit dem Hack der Harmony Bridge in Verbindung stehen.
1/2 North Koreas Lazarus Group hatte ein sehr geschäftiges Wochenende, um $63,5m (~41000 ETH) aus dem Hack der Harmony-Brücke über Railgun zu bewegen, bevor sie Gelder konsolidierte und an drei verschiedenen Börsen einzahlte. pic.twitter.com/huDumaJeSh
– ZachXBT (@zachxbt) January 15, 2023
Wie er hier berichtet, soll die Lazarus-Gruppe die Gelder über Railgun (eine dezentrale Anwendung, die Transaktionen über ihre Smart Contracts anonymisiert) geleitet haben, bevor sie an die Börsen Binance, Huobi und OKX weitergeleitet wurden. Die 350 von ZachXBT identifizierten Adressen wurden alle dazu verwendet, die Gelder auf unterschiedliche Weise weiterzuleiten, so dass die Beweise verstreut waren.
Gelder teilweise von Börsen abgefangen
Nach Angaben von Changpeng Zhao, dem CEO von Binance, soll ein Teil der betroffenen Gelder abgefangen worden sein:
We detected Harmony One hacker fund movement. Sie hatten zuvor versucht, über Binance zu launderen, und wir haben seine Konten geschrubbt. Dieses Mal benutzte er Huobi. Wir unterstützten Huobis Team dabei, seine Konten einzufrieren. Gemeinsam konnten 124 BTC wiedererlangt werden. CeFi helping to keep DeFi SAFU!
– CZ Binance (@cz_binance) January 16, 2023
“ Wir haben eine Geldbewegung des Hackers von Harmony One entdeckt. Er hatte schon einmal versucht, sein Geld über Binance zu waschen, und wir hatten seine Konten eingefroren. Diesmal benutzte er Huobi. Wir halfen dem Huobi-Team dabei, seine Konten einzufrieren. Zusammen wurden 124 BTC wiederhergestellt. CeFi hilft, die DeFi SAFU [sicher, Anm. d. Red.] zu halten „
Der Tweet von CZ lässt vermuten, dass die Lazarus-Hacker zumindest einen Teil der Gelder in Bitcoin (BTC) umgetauscht haben. So konnten dank der Zusammenarbeit der Sicherheitsteams von Binance und der Huobi-Börse 124 BTC abgefangen werden, was bei dem aktuellen Marktpreis etwa 2,4 Millionen US-Dollar entspricht.
Als Reaktion auf diesen Tweet fragte eine Person Changpeng Zhao, ob die Börsen in solchen Situationen miteinander kommunizieren würden, woraufhin Zhao antwortete, dass „die meisten“ Börsen gerne zusammenarbeiten würden, aber „nicht alle“ Börsen sich dazu bereit erklären würden.
OKX behauptet seinerseits, das Konto auf seiner eigenen Börse auf Wunsch der Behörden eingefroren zu haben:
“ OKX ist über den Vorfall bezüglich einer verdächtigen Überweisung der Lazarus-Gruppe informiert. Das Unternehmen hat schnell gehandelt und das betroffene Konto sofort eingefroren, nachdem es eine entsprechende Aufforderung der Strafverfolgungsbehörden erhalten hatte. Die Vermögenswerte des Kontos sind derzeit gesperrt. „
Wie dem auch sei, die restlichen Gelder aus dem Harmony-Bridge-Hack dürften angesichts der Geschwindigkeit, mit der sie eingefroren werden können, wahrscheinlich bald verschoben werden.