Die Lazarus-Gruppe ist wieder aktiv – ein weiteres Opfer des 3,1 Millionen Dollar schweren Tron Hacks wird vermutet

Der bekannte Krypto-Experte ZachXBT berichtete, dass ein Nutzer auf Trongehackt wurde und dabei USDT im Wert von etwa 3,19 Millionen US-Dollar verlor. Die gestohlenen USDT wurden zunächst in Ethereum transferiert, bevor die ETH auf zehn Adressen aufgeteilt und schließlich in Tornado Casheingezahlt wurden. ZachXBT führt diesen Hack auf die berüchtigte nordkoreanische Lazarus-Gruppe zurück.

Onchain Lens gab bekannt , dass ZachXBT einen weiteren Hackerangriff aufgedeckt hat, der dem unbekannten Opfer einen Verlust von etwa 3,19 Millionen USDT bescherte. Laut TronCashCash CashCashEthereum eingezahlt wurden(96 x 10 ETH, 4 x 100 ETH, 78 x 1 ETH, 5 x 0,1 ETH). eingezahlt wurden(96 x 10 ETH, 4 x 100 ETH, 78 x 1 ETH, 5 x 0,1 ETH). CashCash CashCash eingezahlt wurden(96 x 10 ETH, 4 x 100 ETH, 78 x 1 ETH, 5 x 0,1 ETH). eingezahlt wurden(96 x 10 ETH, 4 x 100 ETH, 78 x 1 ETH, 5 x 0,1 ETH). 

ZachXBT wies darauf hin, dass der Hacker eine gestohlene Adresse aus dem Hack von Michael Kong (Fantom/Sonic CEO) im Oktober 2023 wiederverwendete, die zuvor in einem im März 2024 von den Vereinten Nationen veröffentlichten Bericht der Lazarus Group im Rahmen einer „Spear-Phishing-Kampagne“ zugeschrieben worden war.

Am 22. Februar enthüllte ZachXBT außerdem, dass die Lazarus Group den Bybit-Hack direkt mit dem Phemex-Hack auf der Blockchain verknüpft hatte, indem sie Gelder von der ursprünglichen Diebstahladresse für beidedent„vermischte“. 

Die Lazarus-Gruppe fügt der langen Liste von Kryptodiebstählen ein unbekanntes Opfer hinzu

Zach (@zachxbt) berichtete, dass ein Nutzer auf Tron um etwa 3,2 Millionen US-Dollar (USDT)

transferiert TronTron zu EthereumEthereum. Die ETH wurden anschließend auf 10 Adressen aufgeteilt und Cash wie folgt pic.twitter.com/JRQ03rtflA

— Onchain Lens (@OnchainLens) 1. März 2025

Laut ZachXBT wird vermutet, dass die Lazarus-Gruppe erneut zugeschlagen hat. Diesmal zielte sie auf ein unbekanntes Opfer auf Tron ab und stahl über 3,19 Millionen USDT. Die Beute wurde anschließend schnell auf die Ethereum Blockchain transferiert, in ETH getauscht und auf zehn Adressen verteilt, bevor sie in Tornado Casheingezahlt wurde. Daten TronScan zeigen, dass die Hacker zwei Adressen, TYQ3455gFNeqyw und 0xcced1276382f4d, nutzten, um 3.199.779 USDT von einem Opfer mit der Adresse TDNaLds1A1g6vYRU abzuzweigen.

Der bösartige Angriff, der einer nordkoreanischen Hackergruppe mit mutmaßlichen Verbindungen zum Staat zugeschrieben wird, erfolgte nach einem kürzlichen Diebstahl, bei dem die Gruppe Berichten zufolge über eine Milliarde US-Dollar von der Kryptobörse Bybit erbeutete. Bybit war zuvor Opfer eines Rekord-Hacks, bei Ethereum im Wert von rund 1,5 Milliarden US-Dollar gestohlen wurde. Die nordkoreanische Lazarus-Gruppe gilt als Hauptverdächtige eines ausgeklügelten Angriffs, bei dem die Hacker in Bybits Cold Wallet eindrangen und über 400.000 ETH entwendeten. 

Laut Recherchen von Elliptic handelt es sich bei dem Bybit-Diebstahl wohl um den größten Krypto-Diebstahl der Geschichte. Die Lazarus-Gruppe steht im Verdacht, seit 2017 Krypto-Assets im Wert von über 6 Milliarden US-Dollar gestohlen zu haben. Die Erlöse sollen in Nordkoreas Raketenprogramm geflossen sein.

Elliptische Muster folgen den Mustern der Lazarus-Gruppe 

Laut Recherchen von Elliptic folgte die Lazarus-Gruppe einem typischen Muster bei der Geldwäsche gestohlener Kryptowährungen. Zunächst tauschte sie die gestohlenen Token gegen eine Blockchain-eigene Währung wie Ether. Die Gruppe wählte diese Methode offenbar, da Token-Emittenten haben, die in manchen Fällen Wallets mit gestohlenen Vermögenswerten einfrieren können, während Ether und Bitcoinvon keiner zentralen Instanz eingefroren werden können. 

Genau das geschah in den Minuten nach dem Bybit-Diebstahl und dem jüngsten Tron Hack mit einem unbekannten Opfer. Hunderte Millionen Dollar in gestohlenen Token wurden gegen ETH getauscht. Die Täter nutzten dezentrale Börsen (DEXs), um mögliche Vermögenssperren zu vermeiden, die bei der Geldwäsche über zentralisierte Börsen (CEXs) drohen. 

Laut einem Bericht von Elliptic besteht der zweite Schritt der Geldwäsche darin, die Transaktionsspur durch das sogenannte „Layering“ der gestohlenen Gelder zu verschleiern. Diese Layering-Taktiken erschweren die tracund verschaffen den Geldwäschern wertvolle Zeit, um die Vermögenswerte zu cash . Das Layering umfasst das Senden von Geldern über eine Vielzahl von Kryptowährungs-Wallets und das Transferieren von Geldern auf andere Blockchains mithilfe von Cross-Chain-Bridges oder Börsen. Weitere Taktiken sind der Wechsel zwischen verschiedenen Krypto-Assets über DEXs, Coin-Swap-Dienste oder Börsen sowie die Verwendung von „Mixern“ wie Tornado Cash oder Cryptomixer. Auch eXch hat sich als wichtiger und bereitwilliger Unterstützer dieser Geldwäsche erwiesen.