CertiK linkt $63 miljoen in Tornado Cash met hack van $282 miljoen op 10 januari

Blockchaingegevens laten zien dat gestolen Bitcoin werd overgezet naar Ethereum, waarna het vervolgens werd opgeplitst over meerdere wallets. Daarna werd het doorgesluisd naar Tornado Cash.

Volgens de gegevens wordt er ongeveer $63 miljoen in verband gebracht met de grote cryptodiefstal van 10 januari, waarbij er ongeveer $282 miljoen werd buitgemaakt.

Blockchainbeveiligingsbedrijf CertiK meldde op X dat hun monitoringsystemen verdachte interacties met Tornado Cash hebben vastgesteld. Deze transacties zijn direct te koppelen aan de hack. Het incident krijgt veel aandacht, omdat het om een groot bedrag gaat en de fondsen in hoog tempo zijn verplaatst.

Volgens het beveiligingsbedrijf werd een deel van de gestolen Bitcoin overgezet naar het Ethereum-netwerk. Daar werd de Bitcoin omgewisseld voor Ether vervolgens verdeeld over meerdere wallets.

In totaal werd er minstens 686 BTC via een cross-chain swap gebridged, wat resulteerde in ongeveer 19.600 ETH op één Ethereum-adres.

Na deze omzetting werden de fondsen opgesplitst. Vanuit elk adres werd enkele honderden ETH doorgestuurd, voordat het geld uiteindelijk in Tornado Cash terechtkwam. Dit protocol is ontworpen om transacties te anonimiseren.

Het bedrag van 63 miljoen dollar vormt slechts een deel van het totale verlies. Toch laat deze geldstroom duidelijk zien hoe de aanvaller probeert het spoor te verbergen na de eerste cross-chain overdrachten.

Volgens de CEO van blockchainbeveiligingsbedrijf FearsOff, Marwan Hachem, volgens deze aanpak een bekend patroon. Dit geldt vooral voor grootschalige diefstallen waarbij meerdere blockchains betrokken zijn.

Hackem legde uit de het gebruik van THORswap voor het omzetten van Bitcoin naar Ether een standaardstap is. Het daarna opsplitsen van de fondsen in blokken van ongeveer 400 ETH verkleint de aandacht. Tegelijk wordt het terughalen van het geld aanzienlijk moeilijker. Hachem gaf het onderstaande aan:

Zodra fondsen in een mixer terechtkomen, is de kans op herstel in de meeste gevallen vrijwel nul. Opties om schade te beperken zijn daarna zeer beperkt en vaak weinig effectief.

Eerder werd er gemeld dat de aanval begon met een social engineering-truc. Het slachtoffer werd misleid om zijn seed phrase prijs te geven.

Blockchainonderzoeker ZachXBT stelde vast dat de aanvaller zich voordeed als medewerker van wallet-ondersteuning. Hierdoor kreeg hij volledige toegang tot de wallet. Deze bevatte ongeveer 1.459 Bitcoin en meer dan 2 miljoen Litecoin.

Een deel van de gestolen fondsen werd omgezet in privacy-gerichte cryptovaluta. Beveiligingsbedrijf ZeroShadow meldde dat ongeveer 700.000 dollar in een vroeg stadium kon worden opgespoord en bevroren. Het grootste deel van het geld is echter inmiddels onvindbaar.