Laut der Blockchain-Analysefirma Elliptic sind Nordkoreas Hacker Lazarus für den kürzlichen Hack der Horizon Bridge verantwortlich.
Dieser verursachte einen Schaden in Höhe von ungefähr einer Million US-Dollar. Als Reaktion stürzte das hauseigene Token ONE ab. Harmony Project, Entwickler der Horizon Bridge, schalteten diese nach dem Lazarus-Hack infolge vorsichtshalber ab. Damit wollten sie weitere Schäden verhindern.
Angreifer verschiebt Beute in Tornado Cash
Der bis zu jenem Zeitpunkt noch unbekannte Angreifer aka Lazarus begann laut Elliptic am 27. Juni damit, seine Beute in den Kryptomixer Tornado Cash zu verschieben. Hier konnten Elliptic ansetzen, da sie offenbar einige „Entmischtechniken“ beherrschen. Diese erlauben es ihnen, zumindest teilweise zurückzuverfolgen, wohin das Geld nach dem Durchmischen in Tornado Cash floss. Zum Zeitpunkt von Elliptics Bericht waren dabei bereits ungefähr 41 % der Kryptodevisen bereits durch Tornado Cash gemischt.
Verhalten und Geldwäsche-Stil passen laut Elliptic zu Lazarus
Für Elliptic ist die Sache klar: Hinter dem Hack muss Lazarus stecken. Das Beuteschema würde passen. So sollen Lazarus außerdem für den Hack der Ronin Bridge verantwortlich sein, der 540 Millionen US-Dollar einbrachte. Insgesamt sollen bislang Kryptodiebstähle in Höhe von über zwei Milliarden US-Dollar auf ihr Konto gehen. Wie auch bei anderen Opfern nutzten Lazarus beim vorliegenden ebenso die gleiche Angriffsart: Die kryptographischen Keys einer multi-signature Wallet wurden kompromittiert – wahrscheinlich mittels Social Engineering eines Harmony-Mitarbeiters.
Auch die Wahl des Zieles passt zu den nordkoreanischen Hackern Lazarus, die als „Schattenarmee“ von Kim Jong Un bezeichnet werden. Denn die Ziele sind zumeist aus dem Asien-Pazifikraum, oder haben Verbindungen nach dort, wie viele des Kernteams von Harmony. Die Regelmäßigkeit, in der die Angreifer Transaktionen zu Tornado Cash von dem betreffenden Wallet tätigen, spricht für die Automatisierung des Prozesses.
Beim Hack der Ronin Bridge und auch anderen Angriffen von Lazarus beobachteten Elliptic sehr ähnliche Verhaltensweisen. Schlussendlich deutet auch die Zeitspanne, in der sie die Transaktionen ausführen, auf einen Angreifer aus dem Asien-Pazifikraum, denn die Angreifer hören ungefähr dann auf, wenn es dort dunkel wird.
