Lazarus Group gebruikt LayerZero om gestolen crypto te wassen na rsETH-hack

De wassing van de opbrengsten uit de rsETH-hack van afgelopen zaterdag, ter waarde van $290 miljoen, is in volle gang. De Noord-Koreaanse staatssponsorende hackgroep Lazarus Group wordt verdacht van de aanval, mede omdat de gestolen fondsen vermengd worden met andere hacks gelinkt aan de groep, zoals die bij BTC Turk en ByBit.

Net als bij eerdere incidenten gebruiken de daders grote volumes om geld te verplaatsen via blockchain-bruggen. Een van de gebruikte tools is LayerZero, het protocol waarvan de $290 miljoen rsETH oorspronkelijk werden gestolen. Recentelijk werden nog $500.000 verplaatst via LayerZero, zoals gedocumenteerd door blockchain-analist Specter.

De wassing begon kort na de reddingsactie van Arbitrum’s Security Council, die meer dan 30.000 ether (ETH) terugbracht. Hierdoor daalde de gerealiseerde winst van de hackers van $245 miljoen naar ongeveer $175 miljoen. Specter meldt dat in de eerste 12 uur al meer dan 1.600 transacties via 370 adressen werden uitgevoerd – gemiddeld één transactie per 25 seconden.

Tot nu toe is er al $116 miljoen gewassen naar bitcoin (BTC), terwijl een andere wallet nog $61 miljoen bevat.

Reacties uit de sector

De betrokken projecten reageren verschillend op de illegale geldstromen door hun systemen. Het privacyprotocol Umbra erkende dat $800.000 aan ETH via hun systeem was gegaan. Hoewel Umbra benadrukte geen controle te hebben over de autonome smart contracts, zette het de eigen gehoste frontend in onderhoud.

THORChain, dat zich profileert als een permissionless en censuurbestendig protocol, nam een andere houding aan. Het team stelde dat er geen enkele persoon of entiteit de controle heeft over het netwerk, dat wordt bestuurd door 95 nodes wereldwijd. Toch blijkt uit onderzoek dat 99% van de gewassen fondsen via THORChain stroomde. Op dinsdag alleen al verdiende het protocol meer dan $100.000 aan affiliate-fees, wat meer dan het dubbele is van de jaaropbrengst tot nu toe.

Blockchain-onderzoeker Tanuki42 wees erop dat THORChain jarenlang een admin key heeft gehad, wat in tegenspraak is met de bewering van het team dat het protocol volledig gedecentraliseerd is. Critici, waaronder onderzoeker ZachXBT, vragen zich af of deze informatie ooit in een rechtszaak zal opduiken.

Gevolgen voor DeFi

De DeFi-sector kampt deze maand met twee grote hacks, met een gezamenlijk verlies van meer dan $500 miljoen. De rsETH-hack is slechts een van de recente voorbeelden van hoe hackers hun buit snel en efficiënt wassen via gedecentraliseerde systemen. Experts waarschuwen voor verdere risico’s, zolang er geen adequate controles zijn op dergelijke geldstromen.