Hacker aus Nordkorea des Bybit-Milliardenraubs verdächtigt

Nach dem grössten digitalen Bankraub aller Zeiten erhärten sich die Hinweise, dass Mitglieder der nordkoreanischen Hackergruppe Lazarus Digitalmünzen im Wert von 1,5 Milliarden Dollar von der Kryptobörse Bybit aus Dubai entwendet haben.

Das geht aus einer Untersuchung des Vorfalls durch Sicherheitsexperten des Dienstleisters Chainalysis hervor. Zuvor hatte bereits Fachleute der Spezialfirmen Elliptic und Arkham Intelligence sowie der Blockchain-Analyst ZachXBT die Angreifer in Nordkorea verortet.

Am vergangenen Freitag war es den Cyberkriminellen gelungen, Digitalgeld im Wert von 1,5 Milliarden US-Dollar bei Bybit illegal abzuschöpfen. Dabei wurden die Bybit-Verantwortlichen bei einer Routine-Transaktion getäuscht, sodass das Guthaben nicht in einem Wertespeicher von Bybit landete, sondern an eine unbekannte Adresse umgeleitet wurde. Bei dem Hack wurden demnach 401'000 Währungseinheiten Ethereum entwendet.

«Der Bybit-Hack war ein sehr ausgeklügelter Angriff, bei dem mehrere Taktiken, Techniken und Verfahren zum Einsatz kamen, die mit der Handschrift anderer Operationen der Demokratischen Volksrepublik Nordkorea übereinstimmen», erklärte Chainalysis am Donnerstag.

Dieser Angriff zeige auch das klassische Vorgehen der Nordkoreaner auf, die komplizierte Geldwäschemethoden anwendeten, um gestohlene Gelder unentdeckt zu verschieben. Die Gelder aus der Bybit-Attacke wurden nach dem Hack auch in bestimmte virtuelle Geldbörsen (Wallets) verschoben, die bereits Gelder aus anderen bekannten Angriffen mit Nordkorea-Bezug enthalten.

Bei Kryptowährungen wie Bitcoin oder Ethereum laufen Transaktionen entgegen einem gängigen Vorurteil nicht anonym ab, sondern sind in der öffentlichen einsehbaren Blockchain-Datenbank nachzuvollziehen. Der Blockchain-Analyse von Chainalysis zufolge verteilten die Täter nach dem Angriff die gestohlenen Werte über zahlreiche Zwischenadressen.

Dabei seien auch sogenannte No-KYC-Soforttauschdienste zum Einsatz gekommen, die auf eine Identifikation ihrer Kunden – «Know Your Customer» (KYC) – verzichten. Ein erheblicher Teil der Kryptowährungen sei aber zunächst ungenutzt geblieben. «Dies ist eine bekannte Strategie nordkoreanischer Hacker. Sie warten oft Wochen oder Monate, bevor sie die Gelder weiterbewegen.»

Der spektakuläre Diebstahl in Dubai ist nicht nur der grösste Krypto-Coup aller Zeiten, sondern stellt auch den grössten analogen Bankraub in der Geschichte in den Schatten. Im Jahr 2003 bereicherte sich am Vorabend des Irakkrieges der irakische Diktator Saddam Hussein persönlich um einen Grossteil der nationalen Währungsreserve der irakischen Zentralbank.

Am 18. März 2003, nur wenige Stunden vor Beginn der von den USA angeführten Invasion, ordnete Hussein in einer handschriftlichen Notiz unrechtmässig die Abhebung von 920 Millionen US-Dollar in bar an. Sein Sohn Qusay Hussein beaufsichtigte die Operation persönlich, bei der das Geld in der Zentralbank in Bagdad auf drei Lastwagen verladen wurde. Während ein Teil des Geldes später wieder entdeckt wurde, werden bis heute rund 350 Millionen Dollar vermisst.