Vor mehreren Wochen verlor Axie Infinity durch einen Hackerangriff über 615 Millionen US-Dollar. Nun scheinen die Täter entlarvt. Handelt es sich dabei um Hacker der nordkoreanischen Gruppe Lazarus?

Axie Infinity Hack: Ronin Netzwerk verliert 615 Millionen US-Dollar
Ronin, das Netzwerk hinter Axie Infinity, erleidet durch einen Hack einen Schaden von über 615 Millionen US-Dollar. So gelang der Angriff.

Nach Axie Infinity Hack: Ronin erhält Finanzierung als Schadensausgleich

Wenige Wochen, nachdem der Hack auf Axie Infinity’s Ronin Netzwerk gelang, gab man eine Finanzierung durch mehrere Unternehmen bekannt. Hauptakteur der Finanzierungsrunde ist die Krypto-Börse Binance. Auch weitere bekannte Firmen der Szene wie Animoca Brands nahmen teil.

Das gesammelte Geld in Höhe von 150 Millionen US-Dollar nutzt man zur Erstattung der Schäden, die Nutzer durch den Hackerangriff erlitten. Seit Ende März arbeitet man außerdem an Sicherheitsupdates.

Bisher sind diese noch nicht vervollständigt. Erst nach einer Finalisierung geht die Ronin Bridge wieder online, die bei der Entwendung der Gelder eine entscheidende Rolle spielte.

Auf deren hinterlegte Liquidität erlangten die Angreifer Zugriff und konnten so 173.600 Ethereum und 25,5 Millionen USDC entwenden – zum Zeitpunkt der Entdeckung des Hacks über 615 Millionen US-Dollar.

Ronin geht davon aus, dass die Arbeit an der Bridge noch knapp zwei Wochen andauern wird. Ende April soll diese dann wieder für die Öffentlichkeit zugänglich sein. Sie dient zum Wechsel von ETH zu Axie Infinity’s verschiedenen Token.

USA sanktionieren Nordkorea und erwähnen Ronin-Hacker

Vor zwei Tagen erweiterte das US-Finanzministerium Sanktionen gegen Nordkorea um eine Entität, der man den Namen Lazarus Gruppe gibt. Diese sei darüber hinaus unter vielen verschiedenen Namen bekannt.

So kenne man die Gruppe unter anderem auch als APPLEWORM, GUARDIANS OF PEACE, HIDDEN COBRA oder OFFICE 91. Sie betreibt ihre Aktivitäten nach Erkenntnissen der US-Behörden aus dem Bezirk Pot’onggang der nordkoreanischen Hauptstadt Pjöngjang.

Außerdem nennt das Ministerium eine konkrete Wallet Adresse, die in Verbindung zur Gruppe stehe. Die Adresse empfing die durch den Hack entwendeten Gelder und ist auf Etherscan zuweilen eindeutig als Ronin Bridge Exploiter gekennzeichnet.

Ronin selbst schreibt, die US-Strafverfolgungsbehörde FBI habe Ermittlungen zum Fall angestellt und den Angriff auf Ronin der Gruppe Lazarus zuordnen können. Das FBI sagt, es handele sich bei Lazarus um eine Hackergruppe, die im Dienst des nordkoreanischen Staates steht.

Man geht davon aus, dass die Gruppe seit 2009 aktiv ist. Szenekundige Personen schätzen sie als größe Hackergruppe der Erde ein. Besondere Bekanntheit erlangte sie durch einen Angriff auf Sony im Jahr 2014.

Damals veröffentlichte Sony mit The Interview einen Film, der einen fiktiven Mord am nordkoreanischen Machthaber Kim Jong Un zeigt. Lazarus hatte Erfolg und konnte die Ausstrahlung des Films zu großen Teilen verhindern.

Außerdem schreibt man ihr den Angriff WannaCry zu, der als einer der größten Hacks der Geschichte gilt.

Lazarus wäscht das gestohlene Geld

Auch die Blockchain-Analysten der Firmen Chainalysis und Elliptic äußern sich zum Vorfall. Chainalysis erwartet künftig eine Besserung der Sicherheitsstandards im DeFi-Segment. Die bisher unzulänglichen Maßnahmen könnten sonst zu Schäden ungeahnten Ausmaßes führen.

Seit 2021 sei Nordkorea mit einer Vielzahl von Hacks in der Kryptobranche aufgefallen. So sei Lazarus auch für Angriffe auf mehrere zentralisierte Krypto-Börsen verantwortlich. Darunter auf einen Angriff auf die Börse KuCoin in 2020, der man damals anfänglich über 281 Millionen US-Dollar in verschiedenen Kryptowährungen entriss.

Lazarus verfolgt nach den Hacks einen bestimmten Ablauf, um die gestohlenen Kryptowährungen zu waschen und schließlich in Fiatwährungen auszuzahlen.

  1. ERC-20 Token und Altcoins werden auf dezentralisierten Krypto-Börsen in ETH eingetauscht.
  2. Die ETH werden mit Diensten wie TonardoCash gemixt.
  3. Die gemixten ETH tauscht man dann auf dezentralisierten Krypto-Börsen in BTC.
  4. Auch die BTC werden gemixt.
  5. Die so gewaschenen Bitcoin teilt man in verschiedene Wallets auf.
  6. Alle nun gewaschenen Bitcoin sendet man an Krypto-Börsen und verkauft sie dort gegen Fiatgeld.
Maßnahmen zur Geldwäsche seitens Lazarus seit 2017

In den letzten Jahren zeichnete sich ab, dass immer öfter genau nach diesen Schritten agiert wird, nachdem man zuvor verschiedenste Strategien anwendete. Mit diesem Prinzip scheint Nordkorea also erfolgreich zu sein.

Bis zum 14. April unterzog man 18 Prozent der Gelder des Ronin Hacks diesen Maßnahmen, so berichtet Elliptic in seinem Report. Laut Elliptic ist es der bislang zweitgrößte Krypto-Hack überhaupt.

Die größten Krypto-Hacks. Lazarus ist mit Ronin und Kucoin mindestens zweimal vertreten. Kucoin konnte Zugriff auf 204 Millionen US-Dollar wiedererlangen

Auf Platz eins verordnet Elliptic den Hack des PolyNetwork im August 2021. Das Cross-Chain Protokoll verlor damals umgerechnet 611 Millionen US-Dollar durch einen unbefugten Zugriff.

Der Hacker sendete das gesamte Vermögen jedoch freiwillig wieder zurück. Zum Tatzeitpunkt lag der Wert des Ronin-Hacks bei umgerechnet 540 Millionen US-Dollar. Die Gelder bleiben gestohlen.

Die 13 besten Krypto-Börsen 2022

In unserem Börsenvergleich findest du die besten 13 Anbieter, um Kryptowährungen wie Bitcoin einfach und sicher zu kaufen.