63 Millionen Dollar nach Krypto-Hack von 282 Millionen gewaschen

Rund 63 Millionen Dollar an Krypto-Vermögenswerten, die bei dem großen Hack am 10. Januar gestohlen wurden, sind mit Tornado Cash in Verbindung gebracht worden. Das berichtet das Blockchain-Sicherheitsunternehmen CertiK, das durch Überwachungssysteme Transaktionen identifiziert hat, die laut dem Unternehmen mit dem Diebstahl von insgesamt 282 Millionen Dollar im Einklang stehen.

Die Attacke wird von mehreren Ermittlern verfolgt, da die Verluste erheblich sind und die Gelder nach dem Angriff schnell verlagert wurden. CertiK beschreibt eine Geldwäsche-Technik, bei der ein Teil der gestohlenen Bitcoin zunächst auf das Ethereum-Netzwerk übertragen, dann in Ether (ETH) umgewandelt und anschließend über verschiedene Adressen verteilt wurde.

CertiK sieht Route via Ethereum und Aufteilung der Gelder

Laut der Analyse von CertiK wurden mindestens 686 Bitcoin durch einen sogenannten Cross-Chain-Swap zu Ethereum transferiert. Dies führte zu etwa 19.600 Ether, die auf einer Ethereum-Adresse eingingen.

Anschließend wurden die Mittel auf mehrere Wallets verteilt. Von diesen Adressen aus wurden jeweils einige Hundert Ether weitergeleitet, wobei ein Teil letztendlich bei Tornado Cash landete.

Was Tornado Cash macht und warum das die Verfolgung erschwert

Tornado Cash ist ein Mixing-Dienst, der Transaktionen vermischt, um die Herkunft und das Ziel von Geldströmen schwerer nachvollziehbar zu machen. Die Summe von 63 Millionen Dollar stellt laut CertiK nur einen Teil des Gesamtverlustes dar, jedoch zeigen die Geldbewegungen, wie der Angreifer versucht, die Spur nach den ersten Transfers zu verwischen.

Marwan Hachem, CEO des Blockchain-Sicherheitsunternehmens FearsOff, bezeichnet die beobachteten Geldströme als ein bekanntes Schema für großangelegtes Geldwaschen, insbesondere bei Diebstählen, bei denen Bitcoin und Litecoin über mehrere Netzwerke verschoben werden.

‘Bekanntes Schema’ für Geldwaschen, sagt Sicherheitsunternehmen

Hachem erklärt, dass die Verwendung von THORswap zum Umwandeln von Bitcoin in Ether, gefolgt von der Aufteilung der Mittel in Blöcke von etwa 400 ETH, bevor sie in einen Mixer gelangen, eine effektive Methode sei, um die Aufmerksamkeit abzulenken und die Rückverfolgung der Beute nach dem Mixing erheblich zu erschweren.

Er betont, dass die Chancen auf Wiedererlangung in vielen Fällen stark sinken, sobald Geld in einem Mixer landet. Auch seien die Möglichkeiten zur Schadensbegrenzung nach Einlagen in einen Mixer begrenzt und würden zunehmend unzuverlässiger.

Angriffsmethode und erste Versuche, Geld einzufrieren

Blockchain-Forscher ZachXBT erklärte, dass der Angreifer sich vermutlich als Mitarbeiter des Wallet-Supports ausgegeben habe. Auf diese Weise habe der Täter vollständige Kontrolle über die Vermögenswerte des Opfers erlangt.

Die kompromittierte Wallet enthielt nach dieser Darstellung etwa 1.459 Bitcoin und mehr als 2 Millionen Litecoin. Ein Teil der gestohlenen Vermögenswerte sei zudem in datenschutzorientierte digitale Vermögenswerte umgewandelt worden.

Nur ein kleiner Teil der Beute gesichert

Das Sicherheitsunternehmen ZeroShadow berichtete zuvor, dass etwa 700.000 Dollar an gestohlenen Mitteln früh im Geldwäscheprozess markiert und eingefroren wurden. Der Großteil der Beute sei jedoch mittlerweile außer Reichweite geraten.