Wichtige Einblicke:
- CertiK verknüpfte etwa 63 Millionen Dollar an Tornado Cash-Einlagen mit dem 282 Millionen Dollar schweren Wallet-Kompromiss vom 10. Januar.
- Mindestens 686 BTC wurden in Ethereum überführt und in etwa 19.600 ETH umgewandelt, die dann auf verschiedene Wallets aufgeteilt wurden.
- Der Hack stand im Zusammenhang mit dem Diebstahl von Seed Phrases. In der Brieftasche befanden sich etwa 1.459 BTC und über 2 Mio. Litecoin.
Das Blockchain-Sicherheitsunternehmen CertiK hat etwa 63 Millionen Dollar an Kryptoeinzahlungen, die über Tornado Cash geleitet wurden, mit einem großen Wallet-Kompromiss im Wert von 282 Millionen Dollar in Verbindung gebracht, der am 10. Januar stattfand. Das Unternehmen sagte, dass seine Überwachungssysteme Interaktionen mit dem Privacy Mixer entdeckt haben, die mit den Bewegungen der Gelder nach dem Diebstahl übereinstimmen.
Der Vorfall hat aufgrund des Ausmaßes des Verlustes und der Geschwindigkeit, mit der Vermögenswerte bewegt wurden, große Aufmerksamkeit auf sich gezogen.
CertiK verfolgt Cross-Chain-Swaps von Bitcoin zu Ether
CertiK berichtet, dass ein Teil der gestohlenen Bitcoin zu Ethereum übergeleitet wurde, bevor sie in Ether umgewandelt wurden. Nach Angaben des Unternehmens wurden mindestens 686 BTC durch Cross-Chain-Swaps verschoben, was dazu führte, dass etwa 19.600 ETH in einer einzigen Ethereum-Adresse ankamen. Von dort aus wurden die Ether in kleineren Stapeln auf mehrere Wallets verteilt.
Das Aufteilungsmuster sah vor, dass von jeder Adresse mehrere hundert ETH weitergeschickt wurden, bevor die Gelder bei Tornado Cash eingingen. CertiK beschrieb die Tornado Cash-Einzahlungen als direkt mit dem Exploit verbunden, wobei die 63 Millionen Dollar nur einen Teil des gesamten gestohlenen Wertes darstellen.
Dennoch bietet der verfolgte Geldfluss einen klaren Überblick darüber, wie der Angreifer nach der ersten Kompromittierung mit den Geldern umgegangen ist.
Durch den Wechsel von Bitcoin zu Ether und die anschließende Aufteilung der Bestände auf mehrere Adressen schuf der Angreifer zusätzliche Schritte zwischen dem Diebstahl und den endgültigen Mixer-Einzahlungen. Jeder Schritt fügte weitere Transaktionen hinzu, die die Ermittler verfolgen mussten, während der Mixer-Transfer die Möglichkeit einschränkte, die Gelder mit Standard-Blockchain-Verfolgungswerkzeugen zu verfolgen.
Tornado Bargeldeinlagen Reduzierte Rückverfolgbarkeit
Die Ergebnisse von CertiK stimmen mit Geldwäschemethoden überein, die häufig nach großen Krypto-Diebstählen beobachtet werden, die auf einer Kette beginnen und auf eine andere übergehen. Marwan Hachem, CEO des Blockchain-Sicherheitsunternehmens FearsOff, sagte, dass der Geldfluss den bekannten Taktiken ähnelt , die bei kettenübergreifenden Diebstählen von Bitcoin und Litecoin verwendet werden. Er merkte an, dass der Angreifer THORswap für die Konvertierung von Bitcoin in Ether nutzte und dann die Vermögenswerte in Stücke von etwa 400 ETH aufteilte.
Nachdem die Gelder bei Tornado Cash angekommen waren, wurde die Rückverfolgung sehr viel schwieriger. Mixer sind so konzipiert, dass sie Einzahlungen aus vielen Quellen vermischen, was es schwieriger macht, eine ausgehende Transaktion einer eingehenden zuzuordnen.
In Fällen, in denen große Beträge in viele kleinere Transaktionen aufgeteilt werden, bevor sie in einen Mixer gelangen, müssen die Ermittler eine größere Anzahl von Adressen und Überweisungen überprüfen, bevor die Spur unklar wird.
Die Nachverfolgung durch CertiK legt nahe, dass die Tornado Cash-Einzahlungen keine zufälligen Bewegungen waren, sondern Teil eines absichtlichen Prozesses, der die Transaktionshistorie stören sollte. Die 63 Millionen Dollar sind jedoch nur ein Bruchteil der gemeldeten 282 Millionen Dollar, die kompromittiert wurden.
Seed Phrase Theft Aktiviert Volle Kontrolle über die Brieftasche
Die Ermittler haben den Vorfall vom 10. Januar mit einem Social-Engineering-Angriff in Verbindung gebracht und nicht mit einem Smart-Contract-Fehler oder einem Protokoll-Exploit. Der Blockchain-Ermittler ZachXBT hatte zuvorberichtet, dass der Angreifer sich als Mitarbeiter des Wallet-Supports ausgab und das Opfer dazu brachte, eine Seed-Phrase preiszugeben. Mit der Seed-Phrase erlangte der Angreifer vollen Zugriff und übernahm die Kontrolle über die Bestände der Wallet.
Berichten zufolge befanden sich zum Zeitpunkt des Angriffs etwa 1.459 BTC und mehr als 2 Millionen Litecoin auf der kompromittierten Adresse. Nachdem er die Kontrolle erlangt hatte, verschob der Angreifer die Vermögenswerte durch Swaps und Transfers über die Ketten hinweg und wandelte Bitcoin in Ether um, bevor er sie in Tornado Cash umwandelte.
Eine andere Sicherheitsfirma, ZeroShadow, hatte zuvor erklärt, dass etwa 700.000 Dollar der gestohlenen Gelder früh im Waschprozess erkannt und eingefroren wurden. Der Großteil der Gelder wurde jedoch schnell über verschiedene Wallets und Plattformen verschoben, bevor die Compliance-Maßnahmen weitere Transfers begrenzen konnten.
Die Wallet-Kompromittierung wurde von mehreren Sicherheitsteams aufgrund ihres Ausmaßes und der eindeutigen Verwendung von strukturierten Geldwäscheschritten weiter untersucht. Das Update von CertiK erweitert das öffentliche Bild darüber, wie die Gelder nach dem Diebstahl gehandhabt wurden, einschließlich der Bridge-zu-Ethereum-Umwandlung und der gestaffelten Transfers in Tornado Cash.
Moses K is a crypto journalist covering markets, regulation, and blockchain trends. He has written for The Coin Republic, Coinchapter, Cryptopolitan, Cryptotale, Coinspeaker, and MPost. Known for his concise, data-driven reporting, Moses focuses on price analysis, on-chain metrics, and policy developments shaping the global digital asset landscape.
