Nordkoreanische Hacker überbrücken 3,2 Millionen Dollar gestohlener Mittel

Krypto-Ermittler schlagen Alarm, nachdem am 16. Mai 2025 3,2 Millionen Dollar aus mehreren Solana-Wallets abgezogen wurden, was ihrer Meinung nach die Merkmale der mit Nordkorea verbundenen Lazarus-Gruppe trägt. Die gestohlenen Vermögenswerte wurden schnell on-chain verkauft und über Ethereum transferiert, bevor ein Teil davon durch Tornado Cash gewaschen wurde.

Am 16. Mai wurden die Solana-Adressen des Opfers von Token geleert, und die Vermögenswerte wurden dann über eine Brücke in Ethereum umgewandelt, bevor ein Teil davon bei Tornado Cash eingezahlt wurde.

Blockchain-Forscher ZachXBT hat den Exploit öffentlich markiert und Parallelen zu früheren Aktivitäten von Lazarus gezogen.

Hacker haben die gestohlenen Gelder überbrückt

Blockchain-Ermittler haben erstmals Alarm geschlagen, nachdem sie große Überweisungen von der Adresse “C4WY…e525” auf Solana beobachtet hatten.

Diese Transaktionen, die mit der berüchtigten Lazarus-Gruppe verbunden sind, beinhalteten die Bewegung der gestohlenen Token über eine Brücke und deren Umwandlung in Ethereum. ZachXBT hat den Angriff durch die Überwachung der Aktivitäten der Brücke und das Verfolgen von Geldern, die letztendlich in einem Netzwerk von Wallets auf Ethereum landeten, markiert.

Am 25. Juni und erneut am 27. Juni wurden 400 ETH in zwei separaten Einzahlungen an Tornado Cash gesendet. Diese 800 ETH-Transaktionen, die insgesamt etwa $1.6 Millionen ausmachen, stimmen mit den gut dokumentierten Geldwäschetaktiken der Lazarus-Gruppe überein.

Nach hochkarätigen Hacks wie Bybit, wo im Februar 2025 $1.5 Milliarden gestohlen wurden, und $100 Millionen von Harmonys Horizon-Brücke im Jahr 2022, unter anderen bemerkenswerten Hacks, hat Lazarus wiederholt Tornado Cash sowie dezentrale Börsen und Cross-Chain-Brücken genutzt, um Gelder durch Verschleierung von Transaktionsspuren zu waschen.

Ungefähr $1.25 Millionen befinden sich noch in einer Wallet-Adresse, die als “0xa5…d528” auf Ethereum identifiziert wurde, gehalten in einer Kombination aus DAI und ETH. Analysten spekulieren, dass diese Gelder entweder für zukünftige Geldwäsche geparkt oder absichtlich inaktiv gehalten werden, um das Risiko der Entdeckung zu verringern.

Die Lazarus-Gruppe ist seit 2017 aktiv

Die Lazarus-Gruppe hat sich einen Ruf als die produktivste mit dem Staat verbundene Cyberkriminalitätsorganisation erarbeitet, wobei die Sanktionen gegen Nordkorea sie als eine fortschrittliche anhaltende Bedrohung kennzeichnen, die mit den Eliteeinheiten der Militärgeheimdienste von Pjöngjang verbunden ist. Im Laufe der Jahre haben sie seit 2017 Milliarden in Krypto gestohlen.

Ihr Vorgehen beginnt oft mit Phishing oder malwarebasierter Infiltration von Schlüsselpersonen, wobei Schwächen in Smart Contracts oder Wallets ausgenutzt werden. Sobald Gelder erlangt werden, werden sie schnell in liquide Vermögenswerte umgewandelt, auf mehrere Wallets aufgeteilt und über Ketten mit Mixern wie Tornado Cash und Dienstleistungen, die sofortige Swaps ohne Know Your Customer (KYC)-Anforderungen anbieten, gewaschen.

Tornado Cash bleibt zentral für die Geldwäsche-Strategie von Lazarus. Obwohl 2022 US-Sanktionen verhängt wurden, haben dezentrale Hosting- und Unveränderlichkeit es dem Dienst ermöglicht, eine permanente Abschaltung zu umgehen. Im Januar 2025 hob ein US-Berufungsgericht diese Sanktionen auf und berief sich auf Überlegungen zur Meinungsfreiheit, trotz zunehmender Beweise, die Lazarus mit der fortgesetzten Nutzung von Mixern verbinden.

Regulierungsbehörden und Börsen könnten nun Schritte unternehmen, um die markierten Adressen als verdächtig zu kennzeichnen. Mit der Geschwindigkeit und Komplexität von Lazarus’ Geldwäschepipeline erweisen sich Mixing-Dienste jedoch weiterhin als ausreichend, um die Bewegung ihrer gestohlenen Gelder zu verbergen.

Ihre Krypto-Nachrichten verdienen Aufmerksamkeit - KEY Difference Wire bringt Sie auf über 250 Top-Seiten