Die Lazarus-Gruppe schlägt erneut zu – 3,2 Millionen Dollar schwerer Raubüberfall Solana

Krypto-Ermittler schlagen Alarm, nachdem am 16. Mai 2025 3,2 Millionen US-Dollar aus mehreren Solana Wallets abgehoben wurden. Sie vermuten, dass die Transaktionen Merkmale der mit Nordkorea verbundenen Lazarus-Gruppe aufweisen. Die gestohlenen Vermögenswerte wurden umgehend in der Blockchain verkauft und auf Ethereum bevor ein Teil davon über Tornado Cash.

Am 16. Mai wurden die Solana -Adressen des Opfers von Token befreit, und die Vermögenswerte wurden anschließend über eine Brücke in Ethereum , bevor ein Teil davon auf Tornado Cash.

Der Blockchain-Forscher ZachXBT machte die Sicherheitslückeund zog Parallelen zu früheren Aktivitäten von Lazarus.

Hacker haben die gestohlenen Gelder miteinander verbunden

Blockchain-Experten schlugen erstmals Alarm, nachdem sie große Überweisungen von der Adresse „C4WY…e525“ auf Solana.

Diese Transaktionen, die mit der berüchtigten Lazarus-Gruppe in Verbindung stehen, beinhalteten die Übertragung der gestohlenen Token über eine Bridge und deren Umwandlung in Ethereum. ZachXBT deckte den Angriff auf, indem er die Aktivitäten der Bridge überwachte und die Geldflüsse trac, die schließlich in einem Netzwerk von Wallets auf Ethereumlandeten.

Am 25. Juni und erneut am 27. Juni wurden jeweils 400 ETH in zwei separaten Einzahlungen an Tornado gesendet Cash . Diese Transaktionen über insgesamt 800 ETH mit einem Gesamtvolumen von rund 1,6 Millionen US-Dollar entsprechen den bekannten Geldwäschepraktiken der Lazarus Group

Nach aufsehenerregenden Hacks wie dem von Bybit, bei dem im Februar 2025 1,5 Milliarden Dollar gestohlen wurden, und dem Diebstahl von 100 Millionen Dollar von der Horizon-Bridge von Harmony im Jahr 2022, neben anderen bemerkenswerten Hacks, hat Lazarus wiederholt Tornado Cashzusammen mit dezentralen Börsen und Cross-Chain-Bridges verwendet, um Gelder durch Verschleierung der Transaktionsspuren zu waschen.

Etwa 1,25 Millionen US-Dollar befinden sich noch immer in einer Wallet-Adresse mitdent„0xa5…d528“ auf Ethereum, gehalten in einer Kombination aus DAI und ETH. Analysten vermuten, dass diese Gelder entweder für zukünftige Geldwäschezwecke zurückgehalten oder absichtlich ungenutzt gelassen werden, um das Entdeckungsrisiko zu minimieren.

Die Lazarus-Gruppe ist seit 2017 aktiv

Die Lazarus Group gilt als die aktivste staatlich verbundene Cyberkriminalitätsorganisation. Nordkorea stuft sie aufgrund von Sanktionen als besonders gefährliche Bedrohung (Advanced Persistent Threat, APT) , die mit den Eliteeinheiten des Militärgeheimdienstes Pjöngjangs in Verbindung steht. Seit 2017 hat sie Kryptowährungen im Wert von Milliarden gestohlen.

Ihre Vorgehensweise beginnt häufig mit Phishing oder Malware-basierter Infiltration von Schlüsselpersonen, wobei Schwachstellen in Smarttracoder Wallets ausgenutzt werden. Sobald die Gelder erlangt sind, werden sie schnell in liquide Mittel umgewandelt, auf mehrere Wallets verteilt und mithilfe von Mixern wie Tornado Cash und Diensten, die Soforttausch ohne KYC-Anforderungen (Know Your Customer) ermöglichen, über verschiedene Blockchains gewaschen.

Tornado Cash spielt weiterhin eine zentrale Rolle in Lazarus' Geldwäschestrategie. Obwohl US-Sanktionen verhängt wurden, ermöglichten dezentrales Hosting und die Unveränderlichkeit der Daten dem Dienst, einer endgültigen Abschaltung zu entgehen. Im Januar 2025 hob ein US-Berufungsgericht diese Sanktionen unter Berufung auf die Meinungsfreiheit auf, obwohl immer mehr Beweise Lazarus mit der fortgesetzten Nutzung von Mixern in Verbindung brachten.

Aufsichtsbehörden und Börsen können nun Maßnahmen ergreifen, um die markierten Adressen als verdächtig einzustufen. Angesichts der Geschwindigkeit und Komplexität von Lazarus' Geldwäscheprozessen erweisen sich Mixing-Dienste jedoch weiterhin als ausreichend, um die Bewegung der gestohlenen Gelder zu verschleiern.