Elliptic bringt russische Hacker mit den gestohlenen FTX-Geldern in Verbindung

Als ob die Lage nicht schon schlimm genug wäre, wurde die Kryptobörse FTX nur wenige Tage nach ihrem Zusammenbruch gehackt und um 475 Millionen US-Dollar erleichtert. Das Blockchain-Analyseunternehmen Elliptic gab bekannt, Hinweise gefunden zu haben, die möglicherweise die Täter entlarven.

Kurz nach dem Datenleck wurden 74 Millionen US-Dollar über RenBridge transferiert, eine Plattform, die dem Schwesterunternehmen von FTX, Alameda Research, gehört. Tom Robison, Mitbegründer und wissenschaftlicher Leiter von Elliptic, erklärt dazu:

Die Gelder blieben neun Monate lang praktisch unberührt, und dann, wenige Tage vor Prozessbeginn, begannen sie wieder zu fließen. […] Warum mussten sie die Gelder gerade jetzt transferieren? Es ergibt doch keinen Sinn, mit der Geldwäsche zu beginnen, wo doch so viel Aufmerksamkeit auf dem Opfer des Hackerangriffs liegt.

Tom Robison

Wer hat FTX gehackt?

Die Konten von FTX und FTX US wurden am 11. November 2022 leergeräumt, nur wenige Stunden nachdem das Unternehmen Insolvenz angemeldet hatte. Bundesanwälte erhoben letztes Jahr Anklage gegen Bankman-Fried wegen zweifachen Überweisungsbetrugs und fünffacher Verschwörung zum Betrug, wenige Wochen nachdem er von seiner Position bei FTX zurückgetreten war. 

Von den 4.536 bitcoin(74 Millionen US-Dollar), die RenBridge im November aus Ether umwandelte, wurden 2.849 BTC über Mixer, vorwiegend über den ChipMixer-Dienst, verarbeitet. Laut Elliptic vermischten sich diese Gelder anschließend mit Vermögenswerten russischer krimineller Netzwerke, darunter Ransomware-Verursacher und Darknet-Marktplätze.

Nach der Abschaltung und Beschlagnahme von ChipMixer durch internationale Strafverfolgungsbehörden wechselten die Angreifer zu Sinbad als ihrem Mixing-Dienst.

Ein Akteur mit Verbindungen zu Russland erscheint alstronMöglichkeit […] Von den gestohlenen Vermögenswerten, die über ChipMixer tracwerden können, werden erhebliche Beträge mit Geldern von kriminellen Gruppen mit Verbindungen zu Russland, darunter Ransomware-Banden und Darknet-Märkte, vermischt, bevor sie an Börsen gesendet werden […] Dies deutet auf die Beteiligung eines Brokers oder eines anderen Vermittlers mit Verbindungen nach Russland hin.

Elliptisch

Diedentder Angreifer ist weiterhin unbekannt, doch Wallet-Daten und Analysen der Geldbewegungen könnten Aufschluss über ihredentgeben.

Elliptic gab an, dass zu den Verdächtigen abtrünnige FTX- Mitarbeiter und die nordkoreanische Cybergruppe Lazarus gehören, die im Verdacht steht, mehrere Kryptoprotokolle ausgenutzt zu haben. Die On-Chain-Daten deuten jedoch auf russische Organisationen hin.

Hacker verschiebt gestohlene FTX-Münzen

John J. Ray III, CEO und Chief Restructuring Officer der FTX Debtors, die das FTX-Insolvenzverfahren leitet, erklärte, dass 323 Millionen Dollar in verschiedenen Token von der internationalen Börse und 90 Millionen Dollar von der US-Plattform gestohlen wurden.

Vor Beginn des Prozesses gegen Bankman-Fried wurden zuvor unberührte gestohlene Vermögenswerte in Bewegung gesetzt, und diese Bewegung hält seither an. Über 15.000 Ether im Wert von fast 25 Millionen US-Dollar wurden Anfang des Monats über die Privacy-Wallet Railgun und die Börse THORChain gegen andere Token getauscht.

Mithilfe der Cross-Chain-Börse THORSwap tauschte der Hacker etwa 72.500 ETH (120 Millionen US-Dollar) gegen Bitcoin. Elliptic merkte an, dass der Hacker selbst nach der Einstellung des Betriebs von THORSwap am 6. Oktober weiterhin Gelder über THORChain und andere Plattformen transferieren konnte.

Nach der Konvertierung wurden die überführten bitcoin über Sinbad, einen Vermittlungsdienst mit nachweislichen Verbindungen zur nordkoreanischen Lazarus-Gruppe, gesendet. Obwohl die Nutzung von Sinbad Verdachtsmomente hinsichtlich der Lazarus-Gruppe weckt, argumentierte Elliptic, dass die hier angewandten Geldwäschestrategien weniger komplex seien und vermutete, dass die gewählte Methode die Wahrscheinlichkeit einer Verbindung nach Russland erhöhe.

Laut Elliptic ist diedentdes Hackers weiterhin unbekannt. Mehrere Berichte deuten darauf hin, dass es sich bei dem Diebstahl um eine interne Operation gehandelt haben könnte, in die FTX-Mitarbeiter verwickelt sein könnten oder die sogar Bankman-Fried verdächtigt wird.

Was die Geldwäsche betrifft, könnte Bankman-Fried jedoch ein Alibi haben. Elliptic führte einen konkreten Fall vom 4. Oktober 2023 an, als 15 Millionen US-Dollar der gestohlenen Vermögenswerte über ThorChain transferiert wurden – zu einem Zeitpunkt, als Bankman-Fried sich Berichten zufolge ohne Internetzugang vor Gericht befand.

Zwei weitere Krypto- trac, TRM Labs und Chainalysis, wurden von der neuen FTX-Führung unter der Leitung von CEO John Ray III. engagiert. 

Sollten diese Krypto- tracerfolgreich sein, könnte die Krypto-Community eines Tages das Rätsel um den FTX-Diebstahl lösen. Bis dahin müssen die zahlreichen geschädigten Gläubiger von FTX jedoch sowohl den Bankman-Fried- Prozess als auch die Bitcoin Blockchain genau beobachten.