Ronin: Neue Erkenntnisse zum 622 Millionen Hack
Die Ethereum-Wallet-Adresse der Ronin-Angreifer steht nun auf der Sanktionsliste des US-Finanzministeriums, was ihre Verbindung zur berüchtigten Cyberkriminellen-Gruppe Lazarus bestätigt.
Steckt die Lazarus Group hinter dem Ronin Hack?
Das US-Finanzministerium hat die Ethereum-Wallet-Adresse der Ronin-Angreifer auf seine Sanktionsliste gesetzt und bringt sie mit der Cybercrime-Gruppe Lazarus in Verbindung.
Die nordkoreanische Hackergruppe Lazarus ist angeblich für den 622-Millionen-Dollar-Hack von Ronin Network verantwortlich. Diese Ethereum-Sidechain wird v.a. bei dem Kryptospiel Axie Infinity verwendet.
Die Wallet-Adresse als Beleg
Das US-Finanzministerium hat heute einen neuen Schritt gegen die Lazarus Group unternommen. Das Ministerium gab bekannt, dass es eine neue Ethereum-Wallet-Adresse in die Liste der Sanktionen gegen die Cyberspionage-Gruppe aufgenommen hat.
Es handelt sich dabei um dieselbe Wallet-Adresse, die auch bei dem Angriff auf den Axie Infinity-Schöpfer Sky Mavis verwendet wurde. Eine Ethereum-Wallet-Adresse, die den Begriff „Ronin Bridge Exploiter“ imitiert, wurde auf Etherscan gefunden.
Sky Mavis berichtete zunächst, dass die Wallet-Adresse, die das US-Finanzministerium heute auflistete, dieselbe war, die bei einem Monero-Miner-Wurm-Angriff Anfang des Monats verwendet wurde.
Sky hat jedoch inzwischen in einem Update seines ursprünglichen Beitrags über den Ronin-Exploit eine Verbindung eingeräumt.
Das FBI hat die Lazarus Group als staatlich geförderte Hackerorganisation eingestuft, deren erste Angriffe auf das Jahr 2009 zurückgehen.
Lazarus ist angeblich für den WannaCry-Ransomware-Angriff von 2017, die Attacke bei Sony Pictures im Jahr 2014 und eine Reihe von Angriffen auf Pharmaunternehmen im Jahr 2020 verantwortlich.
Auf dem Blog des Blockchain-Experten Elliptic heißt es:
Es ist wenig überraschend, dass dieser Angriff Nordkorea zugeschrieben wird. […] Viele Merkmale des Angriffs spiegeln die Methode wider, die von der Lazarus-Gruppe bei früheren hochkarätigen Angriffen verwendet wurde, einschließlich des Standorts des Opfers, der Angriffsmethode (vermutlich Social Engineering) und des von der Gruppe nach dem Vorfall angewandten Geldwäschemusters.
Wert von rund 622 Millionen US-Dollar gestohlen
Am 23. März wurden fünf der neun Ronin-Validierungsknoten mit gestohlenen privaten Schlüsseln aus Krypto-Wallets gehackt. Die Hacker waren in der Lage, betrügerische Geldtransfers über das Netzwerk zu genehmigen.
Der Hacker stahl 173.600 Wrapped Ethereum und 25,5 Millionen Stablecoin im Gesamtwert von rund 622 Millionen US-Dollar, als der Hack am 29. März entdeckt und bekannt gegeben wurde. Gemessen am Wert der Vermögenswerte zum Zeitpunkt des Angriffs ist dies der bisher zweitgrößte DeFi-Hack.
Entschädigung der Opfer?
In den vergangenen zwei Wochen hat die Kryptowährungsbörse Sky Mavis eine Finanzierungsrunde in Höhe von 150 Millionen US-Dollar unter der Leitung von Binance angekündigt, um die von einem kürzlichen Hacking-Versuch betroffenen Nutzer zu entschädigen.
Sky Mavis wird seine eigene Bilanz anzapfen, um sicherzustellen, dass die Nutzer ihre Gelder abheben können. Dennoch hofft die Plattform, die gestohlenen Gelder in den nächsten zwei Jahren wiederzuerlangen.
18 % der gestohlenen Gelder wurden bis heute gewaschen. Dies geschieht durch den Versand an verschiedene Kryptobörsen und die Nutzung eines Dienstes wie Tornado Cash, das Transaktionen schwer nachvollziehbar macht. In der Wallet befinden sich noch 147.753 Ethereum im Wert von derzeit 444 Millionen US-Dollar.