Lazarus Group wusch 200 Millionen US-Dollar aus 25 Krypto-Hacks in Fiatgeld

• Die mit der nordkoreanischen Regierung verbundene Hackergruppe Lazarus Group hackte zwischen August 2020 und Oktober 2023 insgesamt 25 Unternehmen und Einzelpersonen im Zusammenhang mit virtuellen Vermögenswerten und entwendete dabei insgesamt 200 Millionen US-Dollar.
• Die Gruppe ist für auf jedes Ziel zugeschnittene Malware bekannt.
• Schätzungen zufolge hat sie seit 2017 durch Krypto-Hacks insgesamt 3,0 bis 4,1 Milliarden US-Dollar erbeutet.
• Dieser Artikel verfolgt ihre Geldwäschepfade und analysiert, wie die gestohlenen Gelder über die P2P-Börsen Paxful und Noones zu Bargeld gemacht wurden.

Wichtige Vorfälle im Jahr 2020

CoinBerry-Hack (August)

• Die kanadische Börse CoinBerry verlor aufgrund eines Softwarefehlers 120 BTC (damaliger Wert: 3,7 Millionen US-Dollar).

Unibright-Hack (September)

• Durch den Abfluss eines Private Keys wurden Vermögenswerte im Wert von rund 400.000 US-Dollar unbefugt aus der Team-Wallet von Unibright übertragen.

CoinMetro-Hack (Oktober)

• Bei einer Sicherheitsverletzung wurden Krypto-Assets im Wert von 750.000 US-Dollar aus der Hot Wallet von CoinMetro entwendet.
• Das Parsiq-Team führte einen Hard Fork des PRQ-Tokens durch, um weiteren Schaden zu verhindern.

Hack des Nexus-Mutual-Gründers Hugh Karp im Jahr 2020 (Dezember)

• Durch Täuschung zur Freigabe einer bösartigen Transaktion wurden 370.000 NXM (8,3 Millionen US-Dollar) entwendet.
• Nach der Einzahlung von 137,1 BTC bei dem Bitcoin-Mixer ChipMixer flossen die Mittel wieder in Ethereum zurück.
• Außerdem wurden 2.571 ETH auf Ethereum bei Tornado Cash eingezahlt und direkt wieder abgehoben.

Hack des EasyFi-Gründers Ankitt Gaur im Jahr 2021 (April)

• Durch eine Phishing-Mail installierte Ankitt eine bösartige Metamask-Erweiterung; dadurch wurde der Private Key kompromittiert und 81 Millionen US-Dollar wurden entwendet.
• 209,64 BTC wurden bei ChipMixer eingezahlt, wieder abgehoben und über das Ren-Protokoll zurück nach Ethereum gebracht.
• Die Gelder wurden im Juni 2022 bei Binance eingezahlt.

Bondly-Finance-Hack im Jahr 2021 (Juli)

• Nachdem die Recovery Phrase der Hardware-Wallet von CEO Brandon Smith offengelegt worden war, wurden Team-Vermögenswerte im Wert von 8,5 Millionen US-Dollar entwendet.
• Auf Ethereum, BSC und Polygon wurden mithilfe von Tornado Cash 52 Millionen DAI, 500 ETH und 4.800 BNB gewaschen.

Nicht gemeldete private Hacks im August/September 2021

• Zwischen August und September wurden bei mehreren Privatpersonen durch kompromittierte Private Keys insgesamt Vermögenswerte im Wert von 2 Millionen US-Dollar entwendet.
• 581 ETH wurden bei Tornado Cash eingezahlt und einige Tage später wieder abgehoben.

MGNR- & PolyPlay-Hacks im Jahr 2021 (Oktober)

MGNR-Hack

• Während Teammitglieder vorübergehend Hot-Wallet-Keys auf privaten PCs teilten, wurden Vermögenswerte im Wert von 24 Millionen US-Dollar entwendet.
• 5.100 ETH wurden bei Tornado Cash eingezahlt, schrittweise wieder abgehoben und mit Geldern aus anderen Hacks zusammengeführt.
• Die Mittel wurden über Paxful und Noones zu Bargeld gemacht.

PolyPlay-Hack

• Aus der Team-Wallet wurden unbefugt Vermögenswerte im Wert von 1,6 Millionen US-Dollar transferiert.
• 350 ETH wurden bei Tornado Cash eingezahlt, wieder abgehoben und an Paxful und Noones überwiesen.

bZx-Hack im November 2021

• Ein Entwickler führte einen E-Mail-Anhang mit bösartigem Skript aus; dadurch wurde ein Private Key kompromittiert und aus dem auf BSC und Polygon bereitgestellten Protokoll wurden 55 Millionen US-Dollar entwendet.
• 10.960 ETH wurden bei Tornado Cash eingezahlt, wieder abgehoben und mit Geldern aus früheren Hacks zusammengeführt.

Steadefi- & Coinshift-Hacks im August 2023

Steadefi-Hack

• Ein Entwickler öffnete eine bösartige Präsentationsdatei, die von einem Telegram-Konto stammte, das sich als Investmentfirma ausgab. Dadurch wurde die Deployer-Wallet kompromittiert und die Kontrolle über Loan- und Strategy-Vaults ging an die Hacker über. Es wurden Vermögenswerte im Wert von 1,2 Millionen US-Dollar entwendet.
• 624,3 ETH wurden bei Tornado Cash eingezahlt.

Coinshift-Hack

• Es wurden plötzliche Geldtransfers aus einer mit dem Gründer verbundenen Multisig-Wallet beobachtet; als Ursache wird ein kompromittierter Private Key vermutet.
• 900 ETH wurden bei Tornado Cash eingezahlt.

Bargeldmachung der gestohlenen Gelder über die P2P-Börsen Paxful und Noones

• Von Juli 2022 bis November 2023 flossen insgesamt 44 Millionen US-Dollar in USDT auf Einzahlungsadressen von Paxful und Noones.
• Zwei Konten bei Paxful und Noones zeigten ein Handelsvolumen, das mit der Höhe der entwendeten Beträge übereinstimmte.
• Da keine entsprechenden Krypto-Abhebungen von diesen Börsen beobachtet wurden, wird davon ausgegangen, dass die USDT gegen Banküberweisungen oder Bargeld getauscht wurden.

Untersuchungsergebnisse

• Bis November 2023 wurden 374.000 USDT von Tether auf eine Blacklist gesetzt, und im 4. Quartal 2023 wurde ein nicht offengelegter Betrag bei Börsen eingefroren.
• Drei von vier Stablecoin-Emittenten setzten Gelder im Wert von 3,4 Millionen US-Dollar auf die Blacklist.

Weitere damit verbundene Vorfälle

• Hack von Börsennutzern im Januar 2021
• Arthur0x-Hack im März 2022
• Geracoin- & Darshan-Hacks im September/Oktober 2022
• Hack des Maverick-Gründers im Oktober 2023

Meinung von GN⁺

• Da die Gruppe selektive Angriffe auf verschiedene Protokolle und Einzelpersonen durchführt und anschließend ausgefeilte Geldwäscheprozesse nutzt, wird vermutet, dass es sich um eine Hackergruppe mit erheblicher Organisation und technischer Schlagkraft handelt.
• Mit der Zunahme von Missbrauchsfällen im Krypto-Ökosystem sind mehr Wachsamkeit beim Management von Private Keys und eine stärkere Vorsicht gegenüber Phishing-Angriffen erforderlich.
• Dieser Vorfall zeigt, dass DeFi und Krypto-Mixer für Geldwäsche missbraucht werden können. Entsprechende Regulierung und Gegenmaßnahmen erscheinen dringend notwendig.
• Da die nordkoreanische Regierung Krypto-Hacks möglicherweise weiterhin zur Beschaffung von Geldmitteln nutzt, ist eine Zusammenarbeit zwischen Branche und Behörden erforderlich.
• Krypto-Projekte und Einzelpersonen sollten ihr Wallet-Management durch Multisig und den Einsatz von Cold Wallets stärken und bei verdächtigen E-Mails und Anhängen Vorsicht walten lassen.