Uit een onderzoek die uitgevoerd werd door blockchain-analisten is gebleken dat gestolen tokens tegen gereduceerde prijzen worden verkocht, deze tokens zijn afkomstig van het recente hacks bij prominente cryptocurrency-beurzen. De verkopers zijn vermoedelijk ook gelinkt aan een operatie voor het witwassen van cryptocurrency.
Match Systems doet onderzoek naar de verschillende inbreuken
Het blockchain-beveiligingsbedrijf Match Systems vertelt dat, door het onderzoek naar verschillende grote inbreuken met vergelijkbare methode de afgelopen maanden, hebben geleid naar de de persoon dat naar verluidt de gestolen cryptocurrency-tokens verkoopt via peer-to-peer-transcaties.
De onderzoekers slaagden erin een individu op Telegram te identificeren en contact met hem te leggen, waarbij gestolen activa werden aangeboden. Het team bevestigde dat de gebruiker controle had over een adres met meer dan $6 miljoen aan cryptocurrencies, nadat ze een kleine transactie hadden ontvangen van het overeenkomstige adres.
De uitwisseling van gestolen activa vond vervolgens plaats via een speciaal gecreëerde Telegram-bot, die een korting van 3% op de marktprijs van de token aanbood. Na aanvankelijke gesprekken meldde de eigenaar van het adres dat de aanvankelijke activa waren verkocht en dat nieuwe tokens ongeveer drie weken later beschikbaar zouden zijn:
“Terwijl we contact onderhouden, heeft deze persoon ons op de hoogte gesteld van het begin van de verkoop van nieuwe activa. Op basis van de beschikbare informatie is het logisch om aan te nemen dat dit geld is afkomstig van CoinEx of Stake-bedrijven.”
Het team van Match Systems heeft het individu niet volledig kunnen identificeren, maar heeft zijn locatie kunnen beperken tot de Europese tijdzone op basis van verschillende screenshots die ze hadden ontvangen en het tijdstip van de gesprekken. De onderzoekers geloven dat de verkoper geen deel uitmaakt van het kernteam, maar dat die er mee geassocieerd wordt.
Eerder zag een ander blockchain-beveiligingsbedrijf de verplaatsing van gestolen fondsen
Blockchain-beveiligingsbedrijf CertiK beschreef eerder de beweging van gestolen fondsen uit de Stake-heist, waarbij ongeveer $4,8 miljoen van de totale $41 miljoen werd witgewassen via verschillende tokenbewegingen en cross-chain swaps.
De FBI identificeerde later Noord-Koreaanse hackers van de Lazarus Group als de daders van de Stake-aanval, terwijl cyberbeveiligingsbedrijf SlowMist ook de $55 miljoen CoinEx-hack koppelde aan de Noord-Koreaanse groep.
Dit staat in lichte tegenstelling tot de informatie van Match Systems, wat suggereert dat de daders van de CoinEx- en Stake-hacks enigszins verschillende kenmerken hadden in hun methodologie.
Hun analyse benadrukt dat eerdere witwasinspanningen van de Lazarus Group geen betrokkenheid van landen uit het Gemenebest van Onafhankelijke Staten (GOS), zoals Rusland en Oekraïne, bevatten, terwijl de hacks van de zomer van 2023 gestolen fondsen actief in deze rechtsgebieden hebben witgewassen.
Social engineering is eveneens geïdentificeerd als een vooraanstaand aanvalsmechanisme in de zomerhacks, terwijl de Lazarus Group zich concentreerde op “mathematische zwaktes”.
Uiteindelijk merkt het bedrijf op dat Lazarus-hackers doorgaans Tornado Cash gebruikten om gestolen cryptocurrency te verdoezelen, terwijl recente voorvallen hebben gezien dat fondsen werden vermengd via protocollen zoals Sinbad en Wasabi. Belangrijke overeenkomsten blijven significant. Alle hacks maakten gebruik van BTC-wallets als de primaire opberglocatie voor gestolen activa, evenals de Avalanche Bridge en mixers voor het verbergen van tokens.
Blockchain-gegevens die aan het einde van september 2023 zijn beoordeeld, wijzen erop dat Noord-Koreaanse hackers dit jaar naar schatting $47 miljoen aan cryptocurrency hebben buitgemaakt, waaronder $42,5 miljoen aan BTC en $1,9 miljoen aan ETH.