Kryptowährungsdieb macht sich mit unglaublicher neunstelliger Summe auf den Weg, die Behörden müssen den eingefrorenen Rest verfolgen

Inhaltsverzeichnis Der Kelp DAO-Hacker hat laut von The Defiant zitierten On-Chain-Tracking-Daten fast alle etwa 220 Millionen US-Dollar an nicht eingefrorenen Geldern gewaschen, die mit dem Bridge-Exploit im April in Verbindung stehen. Analysten berichten, dass nur noch etwa 1,7 Millionen US-Dollar in den ursprünglichen Geldbörsen der Exploiter verbleiben. Die Bewegung von Geldern über mehrere datenschutzorientierte Dienste hat die Möglichkeit, einzelne Transaktionen zurückzuverfolgen, eingeschränkt. Während einige Vermögenswerte weiterhin eingefroren sind, ist der Großteil der nicht eingefrorenen Gelder mittlerweile über die direkten Wiederherstellungsbemühungen hinausgegangen. Der Kelp-DAO-Hacker begann mit der Überweisung von Geldern, kurz nachdem der Sicherheitsrat von Arbitrum am 20. April einen Teil der gestohlenen Vermögenswerte eingefroren hatte. Nach Angaben von Arkham Intelligence übertrug der Angreifer am 21. April 75.701 ETH im Wert von etwa 175 Millionen US-Dollar an neu erstellte Ethereum-Adressen. Die Überweisungen wurden auf drei Wallets aufgeteilt. Rund 50.700 ETH wurden an zwei Adressen verschoben, während weitere 25.000 ETH an eine dritte Wallet geschickt wurden. Diese Transfers markierten den Beginn einer umfassenderen Geldwäscheoperation. Der On-Chain-Ermittler ZachXBT meldete noch am selben Tag die ersten kettenübergreifenden Transaktionen. Seine Ergebnisse zeigten drei THORChain-Transfers im Gesamtwert von etwa 1,5 Millionen US-Dollar. Er identifizierte auch eine separate Überweisung im Wert von rund 78.000 US-Dollar über das Ethereum-Datenschutzprotokoll Umbra. Als sich die Aktivität beschleunigte, verzeichnete THORChain einen ungewöhnlichen Anstieg des Handelsvolumens. Das tägliche Swap-Volumen erreichte etwa 394 Millionen US-Dollar, mehr als das Zehnfache seines normalen Niveaus. Die Sicherheitsfirmen PeckShield und Cyvers schätzten, dass in der Anfangsphase rund 176 Millionen US-Dollar über ein Netzwerk mit THORChain, Umbra und BitTorrent geflossen sind. Das Geldwäschemuster wurde später durch zusätzliche Nachverfolgung klarer. Der On-Chain-Analyst Spectre beschrieb einen Prozess, der Ether mithilfe von Wasabi CoinJoin in Bitcoin überführte. Die Gelder wurden dann über die Ein- und Auszahlungszyklen von Tornado Cash zurück in Ethereum geleitet. Cyvers wies auch darauf hin, dass die Transaktionsgebühren des Angreifers im Voraus vorbereitet worden seien. Das Exploiter-Wallet erhielt etwa zehn Stunden vor dem Brückenangriff Geld über Tornado Cash. Die Ermittler identifizierten diesen Aufbau als eine Methode, die zuvor mit der mit Nordkorea verbundenen TraderTraitor-Gruppe in Verbindung gebracht wurde. Die verbleibenden erzielbaren Vermögenswerte des Kelp DAO-Hackers sind größtenteils an die 30.766 ETH gebunden, die von Arbitrum eingefroren wurden. Diese Beteiligungen haben einen Wert von etwa 71 Millionen US-Dollar und sind weiterhin Gegenstand gerichtlicher Verfahren. Am 1. Mai erließ das US-Bezirksgericht für den südlichen Bezirk von New York eine einstweilige Verfügung bezüglich der eingefrorenen Vermögenswerte. Der Anordnung folgte ein Einziehungsantrag von Familien mit unbezahlten Terrorurteilen gegen Nordkorea in Höhe von insgesamt mehr als 877 Millionen US-Dollar. Unabhängig davon wurden die Behebungsbemühungen der Benutzer durch Maßnahmen auf Protokollebene vorangetrieben. Kelp stellte die rsETH-Funktionalität wieder her, nachdem er mit dem DeFi United-Konsortium einen Wiederherstellungsplan implementiert hatte. Zu den Teilnehmern gehörten Aave, Karak, EigenLayer und Kelp. Das Wiederherstellungsprogramm stellte den betroffenen Benutzern rund 116.000 rsETH wieder her. Unterdessen wurden die etwa 190 Millionen US-Dollar an uneinbringlichen Schulden, die durch die Verwendung gestohlener rsETH-Sicherheiten durch den Angreifer entstanden waren, größtenteils durch das Sicherheitsmodul von Aave absorbiert. Im Vorfallbericht von LayerZero, der am 18. Mai mit Unterstützung von Mandiant, CrowdStrike und ZeroShadow veröffentlicht wurde, wurde der Exploit TraderTraitor zugeschrieben. Die Gruppe, auch bekannt als UNC4899, ist mit der breiteren Lazarus-Gruppe verbunden. Da fast alle nicht eingefrorenen Gelder mittlerweile gewaschen sind, konzentriert sich der restliche Schwerpunkt der Wiederherstellung eher auf eingefrorene Vermögenswerte und Durchsetzungsmaßnahmen als auf die direkte Rückverfolgung der Geldbörsen.