1 Punkte von GN⁺ 2024-09-16 | 1 Kommentare | Auf WhatsApp teilen
  • Die mutmaßlich mit der nordkoreanischen Regierung verbundene Lazarus Group wurde mit Geldflüssen von rund 200 Millionen US-Dollar ($200m) in Verbindung gebracht, die aus mehr als 25 Hacks gegen Krypto-Unternehmen und Privatpersonen zwischen August 2020 und Oktober 2023 stammen
  • Die erbeuteten Mittel wurden zunächst in Zwischen-Wallets gesammelt und dann wiederholt über Tornado Cash, ChipMixer, das Ren Protocol, Bridges, OTC-Trader, zentralisierte Börsen und P2P-Marktplätze wie Paxful und Noones geleitet
  • In mehreren Fällen wurden gestohlene Adressen erneut mit Auszahlungsadressen von Mixern verknüpft oder dieselben Einzahlungsadressen bei Paxful und Noones wiederverwendet, was darauf hindeutet, dass Gelder aus verschiedenen Hacks in einer einzigen Geldwäsche-Route zusammengeführt wurden
  • Zwischen Juli 2022 und November 2023 wurden 44 Millionen US-Dollar an zugehörigen Geldern an Einzahlungsadressen von Paxful und Noones transferiert; laut OSINT-Analyse wurden wahrscheinlich zwei Konten mit passendem Handelsvolumen für die Umwandlung in Fiat verwendet
  • Trotz der Blacklist von 374.000 USDT durch Tether, Sperren bei zentralisierten Börsen und weiterer Blacklists durch Stablecoin-Emittenten scheinen einige Gelder über P2P-Marktplätze in Banküberweisungen oder Bargeld umgewandelt worden zu sein

Lazarus Group und Umfang der Untersuchung

  • Die Lazarus Group, auch als Bluenoroff oder APT38 bekannt, ist eine Bedrohungsgruppe, die seit 2009 mutmaßlich mit der nordkoreanischen Regierung verbunden ist und mit maßgeschneiderter Malware finanziell motivierte Angriffe durchführt
  • In der Vergangenheit wurde sie mit dem Sony-Pictures-Hack von 2014 und dem Diebstahl bei der Bangladesh Bank im Jahr 2016 in Höhe von 81 Millionen US-Dollar in Verbindung gebracht; zuletzt verlagerte sich der Angriffsfokus auf die Krypto-Industrie
  • TRM und Chainalysis schätzen das Volumen nordkoreabezogener Krypto-Diebstähle seit 2017 auf 3 bis 4,1 Milliarden US-Dollar
  • Diese Nachverfolgung folgt den Geldbewegungen aus 25 Hacks gegen Krypto-Unternehmen und Privatpersonen zwischen August 2020 und Oktober 2023 und bestätigt den Ablauf, bei dem gestohlene Kryptowährungen über P2P-Marktplatz-Konten in Fiat umgetauscht wurden

2020: CoinBerry, Unibright, CoinMetro

  • Bei CoinBerry wurden am 24. August 2020 370.000 US-Dollar aus Bitcoin- und Ethereum-Hot-Wallets abgezogen, woraufhin Auszahlungen für mehr als 12 Stunden gestoppt wurden
    • Die Börse meldete den Vorfall nicht öffentlich, doch in einer Klage von 2022 wurde bekannt, dass 2020 durch einen Softwarefehler 500 Personen 120 BTC abheben konnten
  • Unibright stellte am 11. September 2020 unautorisierte Transfers im Wert von 400.000 US-Dollar aus mehreren vom Team verwalteten Wallets fest; Ursache war der Diebstahl privater Schlüssel
    • Der Angreifer tauschte die erbeuteten Vermögenswerte sofort an dezentralen Börsen in ETH um
  • CoinMetro erlitt am 6. Oktober 2020 eine Sicherheitsverletzung, bei der Kryptowährungen im Wert von 750.000 US-Dollar unautorisiert aus Hot-Wallets transferiert wurden
    • Das Parsiq-Team entschied sich für einen Token-Hardfork, um zu verhindern, dass der Angreifer weitere PRQ-Token verkauft, und um Nutzergelder zu schützen
  • Die Gelder aus diesen Vorfällen sowie aus Angriffen auf Privatpersonen wurden über Zwischen-Wallets Anfang Januar 2021 an der Adresse 0x0864 gebündelt
    • Am 11. Januar 2021 zahlte 0x0864 3.000 ETH bei Tornado Cash ein
    • Danach wurden 1.814,49 ETH von der Adresse 0x1031 bewegt, und 17 × 100 ETH sowie weitere 112,1 ETH wurden bei Tornado Cash eingezahlt
    • Zwischen dem 11. und 14. Januar 2021 wurden 45 × 100 ETH an eine einzelne Adresse ausgezahlt; das Ziel dieser Auszahlungen wurde erneut mit den ursprünglichen gestohlenen Adressen verknüpft, was die Genauigkeit des Demixings stützt
  • Die gewaschenen Gelder wurden über Zwischenadressen mit anderen von der Lazarus Group erbeuteten Mitteln zusammengeführt, danach wurde ab Juli 2022 USDT an Paxful eingezahlt
    • Ab April 2023 wurde zusätzlich der P2P-Marktplatz Noones genutzt
    • Das USDT wurde bis November 2023 langsam in Tranchen übertragen
  • 2021 gingen von der Adresse 0x9973 mehrfach Transfers an den in China ansässigen OTC-Trader Wu Huihui
    • Im April 2023 wurde die Anklageschrift gegen Wu veröffentlicht; ihm wird vorgeworfen, nordkoreabezogene Zahlungen unterstützt zu haben, und er wurde in die OFAC-SDN-Liste aufgenommen

Dezember 2020: Hack des Nexus-Mutual-Gründers Hugh Karp

  • Am 14. Dezember 2020 wurde Hugh Karp, Gründer von Nexus Mutual, dazu gebracht, eine bösartige Transaktion zu genehmigen, nachdem ein Angreifer Fernzugriff auf seinen Computer erlangt und die MetaMask-Erweiterung manipuliert hatte
    • Dadurch wurden 370.000 NXM im damaligen Wert von 8,3 Millionen US-Dollar abgezogen
  • Der Angreifer zahlte am 16. und 17. Dezember 2020 137,1 BTC in sechs Tranchen in den zentralisierten Mixing-Dienst ChipMixer ein
    • Wenige Stunden später wurden 136 BTC aus ChipMixer ausgezahlt, über das Ren Project zurück auf Ethereum gebridged und mit anderen gestohlenen Geldern zusammengeführt
  • Auf der Ethereum-Seite zahlte die gestohlene Adresse zwischen dem 16. und 19. Dezember 2020 2.571 ETH bei Tornado Cash ein
    • Unmittelbar nach den Einzahlungen begann die Ren-Zieladresse, Auszahlungen von Tornado Cash zu empfangen
    • Zwar gab es kein 1:1-Matching, doch am 25. Dezember 2020 verknüpfte die Lazarus Group Adressen nach dem Mixing wieder mit den ursprünglichen gestohlenen Adressen, wodurch der Effekt des Anonymitätssets verringert wurde
  • Im März 2021 wurde zusätzliches wNXM in renBTC verkauft, über das Ren Protocol nach Bitcoin gebridged und anschließend bei ChipMixer eingezahlt
    • Am 10. März wurden 29,98 renBTC nach Bitcoin verschoben und bei ChipMixer eingezahlt; rund fünf Stunden später wurden 29,92 BTC nach Abzug der Gebühren ausgezahlt und erneut auf Ethereum gebridged
    • Diese Gelder wurden zusammen mit Mitteln aus CoinMetro und nicht gemeldeten Hacks gegen Privatpersonen an der Adresse 0x0864b gebündelt
    • Auch am 20. und 31. März wiederholten sich RenBTC-Bridging, ChipMixer-Ein- und Auszahlungen sowie das erneute Bridging auf Ethereum
  • Ein Teil der gewaschenen Gelder wurde im April 2021 in Form von 19,96 BTC über Ren nach Bitcoin gebridged und an den von OFAC sanktionierten OTC-Trader Wu Huihui geschickt
    • Zwischen dem 24. Mai und dem 10. Juli 2021 wurden von der Adresse 0xb27 11 Millionen US-Dollar an eine Bixin-Einzahlungsadresse transferiert
    • Im Februar 2023 wurden die verbleibenden Mittel mit anderen gestohlenen Geldern zusammengeführt und anschließend an Paxful und Noones eingezahlt

April 2021: Hack des EasyFi-Gründers Ankitt Gaur

  • Am 19. April 2021 bestätigte das Team von EasyFi große unbefugte Transfers von EASY-Token aus der Team-Wallet, die vom Gründer Ankitt Gaur verwaltet wurde.
    • Auf sein Gerät war eine manipulierte Version von MetaMask eingeschleust worden, wodurch die Angreifer die Private Keys übernahmen und insgesamt 81 Millionen US-Dollar entwendeten.
  • Eine weitergehende Analyse bestätigte, dass einige Tage zuvor eine auf SendGrid basierende Phishing-E-Mail an Ankitt Gaurs persönliche E-Mail-Adresse eingegangen war, die so aussah, als stamme sie von Dan, dem Gründer von Pantera Capital.
    • Diese Art von Angriff ähnelt dem Fall Nexus Mutual um Hugh Karp vom Dezember 2020.
  • Während des Diebstahls wurden 6 Millionen US-Dollar an USD-, DAI- und USDT-Liquidität aus dem Protocol-Pool entfernt, und 2,98 Mio. EASY wurden an die Adresse 0x4371 verschoben.
    • On-Chain entstand eine Verbindung, als mit den Hacks von Nexus Mutual, CoinMetro, Unibright, CoinBerry und mehreren Privatpersonen verbundene Adressen im März und April 2021 ETH an die Adresse 0x3149 schickten.
  • Am 20. und 21. April 2021 wurden insgesamt 209,64 BTC von der Diebstahladresse von Ethereum zu Bitcoin gebridget und anschließend bei ChipMixer eingezahlt.
    • Im selben Zeitraum wurden unter Berücksichtigung der Gebühren 209,5 BTC von ChipMixer ausgezahlt; andere Auszahlungen mit ähnlichen Merkmalen gab es nicht.
    • 209,22 BTC wurden am 22. April 2021 auf zwei Adressen zusammengeführt und dann über das Ren Protocol zurück auf Ethereum gebridget.
  • Im Juni 2022 wurden 4,9 Millionen US-Dollar aus mehreren Hacks an zwei Binance-Einzahlungsadressen verschoben.
    • Danach wurden die Mittel auf 0xe0c7 und 0x313d in DAI und wBTC umgewandelt, über Zwischenadressen weitergeleitet und mit anderen von der Lazarus Group entwendeten Geldern zusammengeführt.
    • Ab Juli 2022 wurden USDT an Paxful eingezahlt, ab April 2023 an Noones; die gebündelten Transfers liefen bis November 2023 weiter.

Juli 2021: Bondly-Hack

  • Am 14. Juli 2021 wurde Bondly Finance-CEO Brandon Smith Opfer eines Angriffs, bei dem Angreifer Zugang zu einem Passwortkonto erhielten, das die Recovery Phrase seiner Hardware-Wallet enthielt.
    • Die Angreifer übertrugen die Eigentümerschaft des Bondly-Token-Contracts auf sich selbst und nahmen 8,5 Millionen US-Dollar an team-eigenen Vermögenswerten mit.
  • Am 15. und 16. Juli 2021 zahlten die Angreifer auf BSC 48-mal je 100 BNB bei Tornado Cash ein.
    • Auf Ethereum zahlten sie 5-mal je 100 ETH und 52-mal je 100.000 DAI bei Tornado Cash ein.
    • Am 11. August 2021 flossen zusätzlich 202 ETH in Tornado Cash.
  • Auf der BSC-Seite wurden vom 17. bis 19. Juli 2021 47-mal je 100 BNB an die Adresse 0x4197 ausgezahlt.
    • Eine Einzahlung wurde an den ursprünglichen Einzahler 0xc433 ausgezahlt, insgesamt entsprachen Ein- und Auszahlungen damit nahezu 1:1.
    • Anschließend wurden die Mittel über die Multichain-Bridge auf Ethereum verschoben und dort mit Ethereum-Auszahlungen zusammengeführt.
  • Auf der Ethereum-Seite wurden vom 16. bis 20. Juli 2021 35-mal je 100.000 DAI und 3-mal je 100 ETH an 0x365 ausgezahlt.
    • Vom 22. bis 29. Juli 2021 wurden 14-mal je 100.000 DAI und 2-mal je 100 ETH an 0xe0c7 ausgezahlt und mit den Geldern aus dem EasyFi-Hack zusammengeführt.
    • Auch vom 12. bis 23. August 2021 gingen 2-mal je 100 ETH an 0xe0c7.
  • Der 100.000-DAI-Pool von Tornado Cash war wenig aktiv, und die 52 Einzahlungen des Bondly-Angreifers vergrößerten den Pool um 15 %, wodurch der Effekt der Anonymitätsmenge stark sank.
    • Im Juni 2022 wurden 4,9 Millionen US-Dollar, die unter anderem über Nexus Mutual, EasyFi und Bondly gewaschen worden waren, an zwei Binance-Einzahlungsadressen verschoben.
    • Danach wurden die Mittel in Form von USDT bei Paxful und Noones eingezahlt.

August bis September 2021: Nicht gemeldete private Hacks

  • Im August und September 2021 wurden mehrere Privatpersonen Opfer von Hacks im Gesamtwert von 2 Millionen US-Dollar; als Ursache wird der Diebstahl von Private Keys vermutet.
  • Als Belege werden On-Chain-Verbindungen zu bekannten Hacks wie FinNexus, der Verkauf der Vermögenswerte in ETH unmittelbar nach dem Abfluss aus den Opfer-Wallets und das Ausbleiben weiterer Aktivität in den Opfer-Wallets nach den Transfers genannt.
  • Mehrere entwendete Gelder wurden auf der Adresse 0x5271 gebündelt, und am 15. September 2021 wurden 581 ETH bei Tornado Cash eingezahlt.
  • Am 20. September 2021 wurden 591 ETH aus Tornado Cash an eine einzelne Adresse ausgezahlt.
    • Die 2 Millionen US-Dollar aus dem Mixer wurden über Zwischenadressen mit anderen von der Lazarus Group entwendeten Geldern zusammengeführt und anschließend an Börsen eingezahlt.
    • Die Paxful-Einzahlungsadresse 0x246 verband Aus- und Einzahlungen von Tornado Cash und stützte damit die Genauigkeit des Demixings.

Oktober 2021: MGNR und PolyPlay

  • Bei MGNR wurden am 8. Oktober 2021 durch den Diebstahl von Private Keys Vermögenswerte im Wert von 24 Millionen US-Dollar aus Wallets abgezogen.
    • Das Team erklärte in einem gelöschten X-Post, dass es über SendGrid eine Phishing-E-Mail von Pantera Capital erhalten habe, ähnlich dem Fall von EasyFi-Gründer Ankitt Gaur.
    • Das Team erklärte außerdem, dass der Private Key der Hot Wallet vorübergehend unter mehreren Teammitgliedern geteilt worden sei.
  • Der MGNR-Angreifer bridgte und swappte die auf EVM-Chains entwendeten Vermögenswerte, bündelte sie auf der Adresse 0x577 und zahlte vom 8. bis 12. Oktober 2021 4.900 ETH bei Tornado Cash ein.
    • Andere mit dem Angreifer verbundene Adressen zahlten im selben Zeitraum ebenfalls 210 ETH bei Tornado Cash ein.
    • Adressen, die zuvor Gelder aus EasyFi und Bondly erhalten hatten, erhielten aus Tornado Cash jeweils 700 ETH und 4.500 ETH.
  • Am 14. Januar 2022 wurden von einer mit dem MGNR-Diebstahl verbundenen Adresse 6-mal je 100 ETH und 5-mal je 10 ETH bei Tornado Cash eingezahlt.
    • Etwa 24 Stunden später wurden 4-mal je 100 ETH und 5-mal je 10 ETH an 0x964 ausgezahlt und anschließend an 0x1398 weitergeleitet; dass mehrere Stückelungen über einen bestimmten Zeitraum ausgezahlt wurden, stärkte das Demixing.
  • Bei PolyPlay kam es am 28. Oktober 2021 in mehreren vom Team verwalteten Wallets zu unbefugten Transfers von 1,6 Millionen US-Dollar.
    • In gelöschten X-Posts wurden die Wallet-Adresse der Angreifer und eine Phishing-E-Mail zu einem Binance-Listing geteilt.
  • Von den Geldern aus dem PolyPlay-Fall wurden 350 ETH am 8. November 2021 bei Tornado Cash eingezahlt; 90 Minuten später wurden 320 ETH an eine mit anderen Hacks der Lazarus Group verbundene Adresse ausgezahlt.
    • Danach wurden die Mittel auf Konten bei Paxful und Noones eingezahlt.

November 2021: bZx-Hack

  • Am 3. November 2021 wurden dem Lending-Protocol bZx aus seinen Deployments auf BSC und Polygon 55 Millionen US-Dollar entwendet.
    • Ein bZx-Entwickler wurde Opfer eines Phishing-Angriffs, nachdem er auf seinem privaten Computer ein Skript ausgeführt hatte; die Angreifer erlangten dadurch Zugriff auf Private Keys.
  • Das bZx-Team stufte nach einer Analyse des Vorfalls mit Kaspersky die Lazarus Group als sehr wahrscheinlichen Täter ein.
    • Als Begründung wurden Ähnlichkeiten zwischen den in früheren Angriffen der Lazarus Group analysierten Werkzeugen und der empfangenen Phishing-E-Mail genannt.
  • Der Bondly-Angreifer ist direkt mit dem bZx-Hack verbunden.
    • Die Bondly-Diebstahladresse 0xc43 stellte auf Polygon einer der vom bZx-Angreifer verwendeten Adressen Mittel bereit.
    • Auch auf Ethereum wurden Bondly-Gelder an eine Zwischenadresse verschoben, die Mittel von einer mit dem bZx-Hack verbundenen Adresse erhalten hatte.
    • In beiden Fällen ähnelte sich das Vorgehen darin, dass die Angreifer Zugang zu Passwörtern erhielten und anschließend Smart Contracts des Protocols manipulierten.
  • On-Chain ist der bZx-Fall auch mit mgnr.io, PolyPlay, dem Wonderhero-Hack und dem Hack des ANKR-Gründers verbunden.
    • Verbliebene kleine Restbeträge auf mehreren Diebstahladressen wurden im Februar 2022 auf eine einzelne Adresse zusammengezogen.
  • Die Gelder aus dem bZx-Hack wurden über Tornado Cash gewaschen.
    • Vom 15. bis 18. November 2021 wurden 8.600 ETH bei Tornado Cash eingezahlt.
    • Am 13. Dezember 2021 wurden weitere 2.360 ETH eingezahlt.
    • Vermutlich wurden vom 3. bis 10. Dezember 2021 4.100 ETH, am 18. Dezember 940 ETH und am 23. Dezember 1.000 ETH jeweils an verbundene Adressen ausgezahlt.
    • Es wurden alle Tornado-Cash-Auszahlungen über 400 ETH vom 15. November bis 31. Dezember 2021 geprüft, doch andere Auszahlungen mit denselben Merkmalen gab es nicht.
  • Im bZx-Hack wurden nur 6.400 ETH teilweise demixt, doch die Paxful-Einzahlungsadressen 0x2465 und 0x593d verbinden die Fälle CoinBerry, CoinMetro, Nexus Mutual, FinNexus, PolyPlay und bZx.

August 2023: Steadefi und CoinShift

  • Steadefi teilte mit, dass am 7. August 2023 die Wallet des Deployers kompromittiert wurde und der Angreifer die Eigentümerschaft aller Lending- und Strategy-Vaults auf eine von ihm kontrollierte Adresse übertrug und dabei Nutzervermögen im Wert von 1,2 Millionen US-Dollar abzog
  • Laut einem im März 2024 veröffentlichten UN-Bericht zu Aktivitäten der DVRK stand ein Mitglied des Steadefi-Teams auf Telegram mit einer Person in Kontakt, die sich als Mitarbeiter eines Fonds namens „Spirit Blockchain Group“ ausgab
    • Der Angreifer schickte eine bösartige Datei, getarnt als Präsentationsunterlagen eines Investmentfonds, die das Steadefi-Teammitglied herunterlud
  • Der Vorfall bei CoinShift wurde nicht öffentlich bekanntgegeben, aber am 16. August 2023 wurden Vermögenswerte aus einer mit dem Gründer verbundenen Multisig-Wallet plötzlich bewegt und sofort verkauft, was auf einen möglichen Diebstahl des Private Key hindeutet
  • Im Geldwäscheprozess im August 2023 wurden 624,3 ETH aus dem Steadefi-Hack über die Adresse 0xe10d bei Tornado Cash eingezahlt
    • 900 ETH aus dem CoinShift-Hack wurden ebenfalls über die Adresse 0x68c4 bei Tornado Cash eingezahlt
    • Am 23. August 2023 überschnitten sich Einzahlungen der beiden Angreifer in den 100-ETH-Pool von Tornado Cash im Abstand von wenigen Minuten
  • Die 15 Einzahlungen à 100 ETH aus beiden Vorfällen wurden innerhalb von 24 Stunden in entsprechenden Beträgen an drei Adressen ausgezahlt und am 12. Oktober 2023 auf einer einzelnen Adresse zusammengeführt
    • Danach wurden die Gelder in USDT umgewandelt, liefen über Zwischenadressen und wurden im November 2023 bei Paxful und Noones eingezahlt
    • Die Paxful-Einzahlungsadresse 0x2465 wurde auch bei anderen Hacks der Lazarus Group wie EasyFi, Bondly und Nexus Mutual wiederverwendet

44 Millionen US-Dollar zu Paxful und Noones verschoben

  • Von Juli 2022 bis November 2023 wurden 44 Millionen US-Dollar aus Hacks der Lazarus Group an Einzahlungsadressen von Paxful und Noones verschoben
  • Umfang nach bestätigten Paxful-Einzahlungsadressen:
    • 0x246569f8b420c8d850c475c53d0d59973b3f08fc: von Juli 2022 bis November 2023 Einzahlungen von 12,8 Millionen US-Dollar
    • 0x593dc5e1ad81667bbfc90739dd2c09c926920e3b: von Januar 2023 bis November 2023 Einzahlungen von 12,1 Millionen US-Dollar
  • Bestätigte Noones-Einzahlungsadresse:
    • 0x2e1155cf5374cba058a04fd03ebd0ba19afe580d: von April 2023 bis November 2023 Einzahlungen von 14,3 Millionen US-Dollar
  • Ab dem 25. November 2023 begann die Lazarus Group, neue Einzahlungsadressen bei Paxful und Noones zu verwenden

Hinweise auf Umwandlung in Fiatgeld auf dem P2P-Marktplatz

  • Durch OSINT-Analyse wurden zwei auf Paxful und Noones aktive Nutzer identifiziert: EasyGoatfish351, FairJunco470
    • Das Handelsvolumen der beiden Accounts stimmt mit dem Umfang der eingezahlten Hack-Gelder überein
    • Auch die Aktivitätszeitpunkte der Accounts passen zu den Einzahlungszeitpunkten, weshalb es wahrscheinlich ist, dass diese Accounts verwendet wurden
  • Auch ein möglicher Abfluss aus den Hot Wallets von Paxful und Noones wurde analysiert, jedoch wurden keine Krypto-Abhebungen in vergleichbarer Größenordnung beobachtet
    • Die eingezahlten USDT könnten innerhalb der Plattformen gegen Banküberweisungen oder Bargeld getauscht worden sein
  • Die Lazarus Group hat in der Vergangenheit bereits chinesische OTC-Trader genutzt, um Kryptowährungen in Fiatgeld umzuwandeln

Einfrierungen, Blacklisting und weitere verknüpfte Vorfälle

  • Zum Zeitpunkt der Untersuchung hatte Tether im November 2023 374.000 USDT auf die Blacklist gesetzt
  • Im vierten Quartal 2023 wurden bei zentralisierten Börsen nicht offengelegte Beträge eingefroren
  • Drei von vier Stablecoin-Emittenten setzten zusätzlich 3,4 Millionen US-Dollar auf die Blacklist, die noch in der betreffenden Adressgruppe verblieben waren
  • Zusätzlich verknüpfte Vorfälle:
    • Exchange-Nutzerhack im Januar 2021
    • Arthur0x-Hack im März 2022
    • Geracoin- und Darshan-Hacks im September bis Oktober 2022
    • Hack des Maverick-Gründers im Oktober 2023

1 Kommentare

 
GN⁺ 2024-09-16
Hacker-News-Kommentare
  • Ernst gemeinte Frage: Wie schwierig wäre es, wenn die USA einseitig beschließen würden, Nordkorea vom Internet abzuschneiden? Müsste man nur ein paar Kabel kappen?
    Nordkorea nutzt das Internet praktisch nur für Betrug oder zur Erzielung von Einnahmen unter Umgehung von Sanktionen, erlaubt der Bevölkerung keine andere Nutzung und verhindert auch Ausreisen, weil die Leute im Ausland nicht zurückkehren würden.
    Wenn man auch nur vorübergehend plötzlich das Internet des ganzen Landes abschaltet, würden vermutlich alle Remote-Arbeiter, die ohne Wissen um ihre nordkoreanische Herkunft eingestellt wurden, auf einmal verschwinden und dadurch auffliegen. Ich frage mich, ob das logistisch unmöglich ist oder ob man es nicht macht, weil Verbündete es kaum akzeptieren würden.

    • Nur Amerikaner kommen wohl ohne jeden ironischen Unterton auf so einen Gedanken. Das Internet gehört nicht den USA.
    • Der Großteil des nordkoreanischen Traffics wird über China geroutet, also müsste man in der Praxis China vom Internet trennen. Angesichts der vielen Unterseekabel zwischen China und anderen Ländern wirkt das wenig realistisch.
    • Glaubst du, dass so etwas direkt aus nordkoreanischen IP-Bereichen oder ASNs heraus passiert? Die physischen Verbindungen liegen aus US-Sicht meist auf der Seite des „Feindes des Feindes“, daher gibt es wenig Anreiz, sie zu blockieren, und Internetzugang vollständig zu unterbinden ist unmöglich.
    • Schon weil bekannt ist, dass viele nordkoreanische Cyber-Agenten im Ausland arbeiten, ist die Frage selbst eher schwach. Tatsächlich leben sie etwa in China oder anderen Ländern, bauen dort separate Infrastruktur auf und greifen per Remote-Zugriff darauf zu.
    • Ganz wie es sich für ein Land der Demokratie gehört. Nach dem Motto: Nur wir haben Rechte, andere nicht.
  • Die Analyse ist beeindruckend, aber habe ich den Teil zur Geldwäsche übersehen? Bei Geldwäsche geht es darum, eine Erklärung dafür zu schaffen, dass Geld sauber ist, nicht darum, die Gründe zu verbergen, warum es schmutzig sein könnte.

    • In weiten Teilen der Kryptowelt wird standardmäßig von sauber ausgegangen und mit Blacklists gearbeitet, sodass es in vielen Fällen gar nicht nötig ist, es wirklich vollständig zu waschen.
  • USA/Kanada 2024, Bußgeld von 3 Milliarden US-Dollar durch US-Aufsichtsbehörden, https://rupakghose.substack.com/p/td-banks-aml-issues-and-fi...
    Laut einer Untersuchung des DoJ wurden zwischen 2016 und 2021 mehr als 650 Millionen US-Dollar an Erlösen aus Fentanyl-Verkäufen in den USA über Bankgeschäfte für chinesische kriminelle Organisationen und Drogenhändler gewaschen.
    Kanada 2018, https://news.ycombinator.com/item?id=33918115
    Zwei Sonderberichte der Provinzregierung erklärten, dass geschätzte 5,3 Milliarden US-Dollar an gewaschenem Geld, das 2018 in Immobilien in British Columbia floss, die Hauspreise um 5 % nach oben getrieben hätten.
    Australien 2015, https://www.macrobusiness.com.au/2015/06/stop-money-launderi...
    Credit Suisse schätzt, dass in den vergangenen sechs Jahren etwa 28 Milliarden US-Dollar an chinesischem Kapital in den australischen Wohnungsmarkt investiert wurden.

    • Gibt es Belege dafür, dass die Investitionen in Australien mit Geldwäsche oder Drogenverkäufen zusammenhängen?
    • Die DoJ-Untersuchung sagte, dass Bankgeschäfte zwischen 2016 und 2021 dazu genutzt wurden, mehr als 650 Millionen US-Dollar an Erlösen aus Fentanyl-Verkäufen in den USA für chinesische kriminelle Organisationen und Drogenhändler zu waschen. Laut etwas, das dem offiziellen CIA World Factbook ähnelt, werden schätzungsweise 3 bis 5 % des weltweiten BIP mit kriminellen Aktivitäten in Verbindung gebracht.
      Blockchain ist gut, weil man den Waschprozess nachverfolgen kann. Man kann auch Blogposts mit hübschen Grafiken daraus machen, und das gefällt mir. Herkömmliche Banken sind dagegen komplett undurchsichtig.
      Aber das Geld, das über Kryptowährungen gewaschen wird, ist im Vergleich zum Umfang krimineller Aktivitäten weltweit nur ein Tropfen auf den heißen Stein. Kriminelle Aktivitäten gab es schon Hunderte, Tausende Jahre vor der Blockchain.
      Und von den Milliarden Dollar, die verschwinden, wenn Geld unter dem Etikett „Hilfe“ irgendwohin geschickt wird, ob in die Ukraine, nach Haiti oder sonst wohin, will ich gar nicht erst anfangen. Auf jeder Stufe gibt es korrupte Beamte und Privatpersonen.
      Mein Lieblingsbeispiel ist, dass die USA 12 Milliarden US-Dollar in 100-Dollar-Scheinen auf eine 747 luden und als „Wiederaufbauhilfe für den Irak“ verschickten, und davon wurden 9 Milliarden US-Dollar offiziell „vermisst“. Ja, vermisst. Das steht in den offiziellen Aufzeichnungen.
      Daher sind die 200 Millionen US-Dollar der Lazarus-Gruppe im Vergleich zu 9 Milliarden US-Dollar in 100-Dollar-Scheinen kein Grund zum Weinen.
    • Das Problem mit „Geldwäsche“ ist, dass Theorie und tatsächliche Funktionsweise einander völlig widersprechen.
      In der Theorie geht es darum, das Verschleiern der Herkunft von Erträgen aus Straftaten zu kriminalisieren, damit man jemanden wegen Geldwäsche anklagen kann, auch wenn man die Vortat nicht nachweisen kann. Schon das ist ziemlich fragwürdig. Es wirkt eher wie der Versuch des Staates, die Beweislast für die Vortat zu umgehen.
      Aber selbst das funktioniert nicht besonders gut. Kriminelle gründen legale Unternehmen als Fassade und behaupten, das Geld stamme von dort. Um das Gegenteil zu beweisen, muss man am Ende doch wieder die Vortat aufdecken.
      In der Praxis wird Geldwäsche fast nur in zwei Fällen angehängt: Entweder wurde die Vortat bereits bewiesen und der Geldwäschevorwurf wird unnötig zusätzlich erhoben, oder unschuldige Menschen, die keine Berufskriminellen sind und das Gesetz nicht gut kennen, geraten ohne großes Fehlverhalten technisch unter Geldwäscheverdacht, harmlose und alltägliche Handlungen verstoßen gegen Regeln, oder sie werden durch fehlerhafte KI-False-Positives angeklagt oder aus dem Bankensystem gedrängt.
      Große kriminelle Organisationen wissen dagegen, wie man Transaktionen wie normale Transaktionen aussehen lässt, und der Staat fährt die Banken an, weil sie es nicht erkannt haben. Aus Sicht der Banken gibt es aber kaum eine echte Möglichkeit, es zu erkennen, wenn eine kriminelle Organisation es wie normale Geschäfte aussehen lässt.
      Dieses Gesetz ist ein dummes Gesetz, das mehr schadet als nützt. Man sollte es abschaffen und Kriminelle wegen der eigentlichen Straftaten anklagen.
    • Australien wird das bald „lösen“. Denn der Communications Legislation Amendment (Combatting Misinformation and Disinformation) Bill von 2024 macht Handlungen, die das öffentliche Vertrauen in das Bankensystem oder die Finanzmärkte untergraben, zu „ernsthaftem Schaden“.
      Mit „lösen“ ist hier natürlich gemeint: „verhindern, dass man darüber spricht“.
    • In Kanada ist das ein weiterer Grund, warum nur kanadische Staatsbürger Immobilien besitzen dürfen sollten.
  • Wenn am Ende die gesamte Kryptowährung zu Paxful/Noones gegangen und dort in Fiatgeld umgewandelt worden ist, müsste es dann nicht ziemlich einfach sein, per Vorladung von diesen Unternehmen sämtliche Daten zu den Fiatkonten zu bekommen?

  • Viele dieser Dienste existieren inzwischen nicht mehr oder ihre Sicherheit wurde verschärft. ChipMixer etwa ist verschwunden, Tornado Cash wurde sanktioniert, KYC wurde ausgebaut und bessere On-Chain-Analysen sind im Einsatz.

    • Für alle, denen die Abkürzung nicht geläufig ist: KYC steht für Know Your Customer, also Kundenidentifizierung.
  • Aus Neugier: Wie wird eine MetaMask-Instanz auf einem bestimmten Gerät durch eine modifizierte, bösartige Version ersetzt? Wie funktioniert so etwas überhaupt?

  • Zum Glück gibt es Kryptowährungen. Sonst hätten wir so etwas nie erfahren.

    • Stimmt. Sonst hätten wir völlig sorglos irgendwelche unbedeutenden Staatsanleihen gehalten.
  • Ich hoffe, ZachXBT wird für den Aufwand, den er in das Aufspüren von Betrügern steckt, gut bezahlt. Ich weiß nicht genau, wie er damit Einnahmen erzielt.

    • Soweit ich weiß, hat er über verschiedene Zuschüsse und private Spenden ziemlich großzügige Unterstützung erhalten.