Die Lazarus Group bringt eine Meme-Währung namens „QinShihuang“ auf den Markt, um weitere 26 Millionen Dollar aus dem Bybit-Vermögen zu waschen

Die nordkoreanische Lazarus-Gruppe brachte am Sonntagmorgen eine Meme-Währung namens QinShihuang auf der Pump Fun-Plattform heraus, um 26 Millionen Dollar aus den fast 1,5 Milliarden Dollar zu waschen, die sie von der Kryptobörse Bybit gestohlen hatte.

Der On-Chain-Ermittler ZachXBT deckte dies wie üblich als Erster auf und bestätigte, dass die betreffende Wallet (5STkQy…95T7Cq) genau 60 SOL-Token an eine andere Wallet (9Gu8v6…aAdqWS) gesendet hatte, bevor sie eine halbe Million QinShihuang-Token in Umlauf brachte.

Innerhalb von nur drei Stunden wurden diese Token intensiv gehandelt, und das Transaktionsvolumen überstieg schnell 26 Millionen Dollar.

Zach konnte die Gelder eindeutig trac. Er sagte, die Angreifer hätten am 22. Februar 1,08 Millionen USDC, die sie von Bybit gestohlen hatten, auf die Wallet-Adresse 0x363908df2b0890e7e5c1e403935133094287d7d1 überwiesen.

Die Angreifer von Bybit übertrugen diese Gelder von Ethereum auf die Solana -Blockchain mithilfe der Wallet EFmqz8PTTShNsEsErMUFt9ZZx8CTZHz4orUhdz8Bdq2P.

Wie Lazarus das schafft

Anschließend transferierte Lazarus die USDC auf Binance Smart Chain (BSC), wo Zachs traczeigte, dass zwei separate Wallets die gestohlenen USDCmaticauf über dreißig verschiedene Adressen aufteilten und die Gelder in kleinere, schwerertracÜberweisungen zerlegten.

Nach der Aufteilung vereinigte Lazarus die kleineren Geldbeträge wieder in einer Wallet: 0x0be9ab85f399a15ed5e8cbe5859f7a882c7b55a3. Zach bestätigte, dass Wallet 0x0be9 die Gelder anschließend weiter aufteilte und 106.000 USDC gleichmäßig auf zehn neue Wallets verteilte.

Diese zehn Wallets verbanden erneut alles mit Solanaund schlossen so einen kompletten Blockchain-Zyklus, der speziell darauf ausgelegt war, Blockchain- traczu verwirren. Ist das nicht schon ein bisschen beeindruckend?

Zach bemerkte außerdem noch etwas anderes Merkwürdiges. Viele dieser Solana -Adressen erhielten winzige Transaktionen mit Meme-Coins, sogenannte „Staub“-Transaktionen, von unbekannten Betrügern.

Anstatt diesen Staub zu ignorieren, begann Lazarus aktiv, diese Meme-Coins wieder in SOL umzutauschen. Sie bereinigten die verunreinigten SOL-Bestände, mischten sie neu und transferierten die Gelder über Pump-Fun-Transaktionen – genau wie bei QinShihuang.

Zach veröffentlichte die betroffenen Adressen – etwa 920 Wallets –, entfernte aber einzelne Wallets aus tractractrac tractractractrac tractracSie finden die Adressen hier.

Das gestohlene Bybit-Geld landete dann auf verschiedenen Krypto-Börsen und Tauschplattformen und verschwand unbemerkt hinter legitim aussehenden Transaktionen.

Helius Labs-CEO Mert äußerte sich direkt zu den Risiken und sagte, dass Teams, die dezentrale Anwendungen ohne Filter oder Schutzmechanismen entwickeln, einen großen Fehler begehen. Er verglich Krypto-Apps mit E-Mails, bei denen die zugrundeliegende Technologie neutral sei, aber die nutzerseitige Software – wie Gmail – bekannte Angreifer blockiere.

Laut Mert müssen Krypto-Apps dieselben grundlegenden Filter implementieren, wenn sie wissen, dass bestimmte Wallet-Adressen kriminellen Gruppen wie Lazarus gehören. Mert stellte klar, dass er nicht persönlich überprüft habe, ob Lazarus die Coins direkt ausgegeben habe, sondern dass er Entwickler generell vor solchen Risiken warnen wolle.

Mert fragte sich insbesondere, warum Pump Fun die mit Lazarus verbundenen Wallets nicht auf die schwarze Liste setzte. Aufgrund des hohen Handelsvolumens von Pump Fun konnte Lazarus problemlos Coins auf sauberen Wallets kaufen, die Kurse mithilfe gestohlener SOL in die Höhe treiben und anschließend alles wieder in diese sauberen Wallets zurückverkaufen. Durch dieses simple Pump-and-Dump-Handelsmodell verwandelte Lazarus eindeutig tracgestohlene Kryptowährung in saubere, nichttracGewinne.

Nicht Lazarus' erstes Rodeo

Zachs Entdeckungen zeigten, dass Lazarus dies bereits zuvor getan hatte. Einige Adressen des aktuellen Geldwäsche-Schemas hatten zuvor andere Meme-Token auf Pump Fun ausgegeben. Das bedeutet, dass Lazarus die Handelsaktivitäten von Pump Fun wiederholt zur Geldwäsche missbraucht hat.

Das Sicherheitsforschungsunternehmen SlowMist wies darauf hin, dass Lazarus die Krypto-Mixing-Plattform eXch intensiv nutzte. eXch verweigerte Bybit die Unterstützung, als dieser um Kooperation bat.

Stattdessen veröffentlichte eXch die Abhöranfrage von Bybit und wies sie verärgert zurück. SlowMist erklärte deutlich, dass eXch gezielt Sicherheitspersonal ins Visier nimmt und persönliche Daten online preisgibt.

Sie forderten die Krypto-Plattformentronauf, die Sicherheitsmaßnahmen gegen Gelder von eXch zu erhöhen, da Lazarus diese Plattform regelmäßig nutzt, um gestohlenes ETH in schwerertracKryptowährungen wie Bitcoin und Monero umzuwandeln.

Arthur Hayes, Mitbegründer der Kryptobörse BitMEX, fragte Vitalik Buterin auf X öffentlich, ob Ethereum in Erwägung ziehen könnte zurückzusetzen , um den massiven Hack bei Bybit rückgängig zu machen, bei dem rund 400.000 ETH gestohlen wurden.

Arthurs Beitrag löste umgehend eine Debatte unter Krypto-Nutzern aus. Er bekräftigte seine Ansicht und erklärte unmissverständlich, dass Ethereum seiner Meinung nach die Unveränderlichkeit nach dem DAO-Hack von 2016 aufgegeben habe – als Ethereum Entwickler einen Diebstahl von 60 Millionen Dollar mithilfe eines umstrittenen Hard Forks rückgängig machten.

Arthur sagte, Ethereum habe ab diesem Zeitpunkt „aufgehört, Geld zu sein“. Er argumentierte offen, wenn Ethereum bereits zuvor einen Rollback durchgeführt habe, sollte es keinen Widerstand gegen eine erneute Durchführung geben, um die Gelder von Bybit zurückzuerhalten.

Vitalik hat auf Arthurs Anfrage noch immer nicht öffentlich reagiert. Viele in der Community kritisieren Arthurs Vorschlag jedoch, einige vermuten sogar, er wolle Vitalik provozieren.

Arthurs Tweet hat auch die Debatten über die Unveränderlichkeit der Blockchain, die Dezentralisierung und die Frage, ob Rollbacks auf großen Blockchains jemals wieder vorkommen sollten, neu entfacht.

Blockchain-Analysten erklärten anschaulich, warum Ethereum einen Rollback jetzt wahrscheinlich nicht in Betracht ziehen wird. Das Ethereum-Netzwerk nutzt derzeit, ähnlich wie herkömmliche Banken, ein kontobasiertes Modell zur Speicherung von Geldern.

Nachdem Ethereum -Entwickler den DAO-Hack rückgängig gemacht hatten, aktualisierten die Nodes ihre Softwareversionen und transferierten ETH-Guthaben auf neue Adressen. Heute würde die Rückgängigmachung eines ähnlichen Hacks einen breiten Konsens von Ethereum Nutzern, Nodes und Entwicklern erfordern – ein Konsens, der derzeit nahezu unmöglich zu erreichen ist.

Etwas Ähnliches geschah Bitcoin 2019 Binance-CEO Changpeng Zhao erwog offen einen Rollback Bitcoin nachdem Hacker 40 Millionen Dollar gestohlen hatten. Aufgrund heftiger Kritik änderte er seine Formulierung jedoch schnell von „Rollback“ zu „Reorganisation“.

Bitcoin-Miner und Maxis lehnten die Ideetronab und kritisierten jeden Versuch, Transaktionen rückgängig zu machen, als fundamentalen Verstoß gegen die Dezentralisierungsprinzipien.

Auch Ethereum-Community lehnte diesmal Rollback-Ideen ab. Kleinere Blockchains haben in der Vergangenheit jedoch bereits erfolgreich Rollbacks durchgeführt, typischerweise nach einem Angriff. Das ist zwar selten, aber nicht völlig unbekannt.

Zach gab den massiven Bybit-Diebstahl am vergangenen Freitag bekannt. Er entdeckte verdächtige Aktivitäten in der Blockchain, bei denen über 1,47 Milliarden US-Dollar schnell von Bybit abflossen. Zach beobachtete, wie die Angreifer Wrapped Tokens wie mETH und stETH über dezentrale Börsen in reguläre Ethereum Tokens umtauschten und dabei aggressiv versuchten, die gestohlenen Gelder zu verschleiern.