Nordkoreanische Lazarus-Gruppe im Verdacht, hinter 120-Millionen-Hack von Poloniex zu stehen

Der heilige Lazarus. Bild von Andrija12345678 via wikimedia.com. Lizenz: Creative Commons

Es gab wieder einen großen Börsenhack: Rund 120 Millionen Dollar in zahlreichen Coins und Token wurden von der US-Börse Poloniex entwendet. Wir fassen zusammen, was man bisher über den Hack weiß – und wer als Täter im Verdacht steht.

Am 10. November veröffentlichte die Kryptobörse Poloniex eine dieser Nachrichten, die keine Börse jemals veröffentlichen will: Das Unternehmen gab zu, gehackt worden zu sein.

Einem Hacker war es gelangen, sich Zugang zu den Hotwallets der Börse zu verschaffen und Kryptowährungen auf mehreren Blockchains abzuziehen. Der Wert der geraubten Coins ist nicht ganz eindeutig, manche Berichterstatter nennen 114 Millionen, andere 125 Millionen Dollar.

Die Sicherheitsdienstleister PeckShield und Cyvers hatten den Hack am Vormittag des 10. Novembers öffentlich gemeldet, Poloniex gab kurz darauf bekannt, die Wallets „aus Gründen der Wartung“ abzuschalten. Kurz darauf bestätigte Justin Sun ein, der Besitzer oder Mehrheitsaktionär der Börse, den Hack.

In der dürren Ankündigung räumt Poloniex dann ein, gehackt worden zu sein. Die Börse versichert ihre Kunden jedoch, dass die finanzielle Situation gesund bleibe. Das Ausmaß der Verluste sei beherrschbar, die Börse könne den Schaden übernehmen. Mit weiteren Informationen hielt sich Poloniex jedoch bedeckt.

Doch mehrere Analysten geizten nicht mit Details. Daher wissen wir, dass der Schaden vor allem auf den Blockchains Ethereum (56 Millionen Dollar), Tron (48 Mio.) und Bitcoin (18 Mio.) entstand, aber wohl auch auf kleineren Blockchains. Dabei wurden vor allem dollarbasierte Stablecoins wie USDT oder USDC, Ether und Bitcoin gestohlen, aber auch Coins wie Dogecoin Mars, Shiba Ina, OX, Golem (GLM) und zahlreiche weitere kleine Token. Wegen der vielen Token auf mehreren Blockchains ist der genaue Schaden des Hacks schwer zu beziffern.

Justin Sun forderte den Hacker öffentlich dazu auf, die Coins binnen einer Woche zurück zu führen, ansonsten werde man die Polizei hinzuziehen. Der Hacker hat derweil zahlreiche Wechsel und Transfers getätigt, um die Coins und Token vor Zugriffen in Sicherheit zu bringen.

Offenbar wurde die Tron-Adresse des Hackers kurz danach eingefroren. Ob dies onchain geschah, etwa durch eine Absprache der Staker, oder offchain, auf einer Börse, ist dabei nicht ganz klar. Zu diesem Zeitpunkt waren aber nur noch 6,5 Millionen Dollar auf der Adresse. Möglicherweise wurden auch weitere Adressen – etwa auf Börsen – oder Guthaben – etwa Stablecoins oder andere Token – eingefroren. Zumindest legt dies ein Tweet von Justin Sun nahe, ohne aber in Details zu gehen.

Die Ursache des Hacks vermuten die Analysten von X-explore in einem Leak des privaten Schlüssels. Als möglichen Urheber nennen die Analysten die Lazarus-Gruppe aus Nordkorea, da manche Muster dem Hack auf Stake.com entsprechen, der laut FBI von Lazarus verübt wurde. So werden in beiden Fällen verschiedene Token auf verschiedenen Adressen gespeichert, dann auf Zwischenadressen überwiesen und von dort aus gegen die nativen Währungen (ETH, TRX) gewechselt.

Die Hacker-Gruppe Lazarus operiert mutmaßlich im Dienste der nordkoreanischen Regierung. Sie stand hinter mehreren großen Ransomware-Wellen und Hacks auf Börsen. Sicherheitsbehörden zufolge wird die Beute auch verwendet, um das nordkoreanische Atomwaffenprogramm zu finanzieren.