Nordkorea saugt 100 Millionen Dollar aus fremden Krypto-Wallets
Tausende Opfer, allesamt Nutzer von Atomic Wallets, melden enorme Schäden. Die Sicherheitslücke ist noch unbekannt. Atomics Reaktion fällt flach aus.
(Bild: LightField Studios/Shutterstock.com)
"Wenn Sie Ihr 12-Wort-Backup sicher aufbewahren, ist Ihr Wallet sicher", versichert Atomic Wallet. Das dürfte nicht stimmen, denn seit Anfang Juni bedienen sich Unbekannte an fremden Kryptowährungsbeständen, die mit Atomic Wallets verwaltet werden. Die Diebstähle summieren sich inzwischen auf mehr als 100 Millionen Dollar, wie die Blockchain-Analysefirma Elliptic meldet.
Elliptic glaubt, dass staatliche Hacker aus Nordkorea die Täter sind; auch der Kryptobetrugsforscher ZachXBT ist zu diesem Schluss gelangt. Mehr als 5.000 Wallets seien inzwischen entreichert. Welche Sicherheitslücke die Täter ausnutzen, ist bislang nicht bekannt. Ein Fehler bei einer bestimmten Blockchain ist höchst unwahrscheinlich, da zahlreiche Kryptowährungen betroffen sind.
Atomic Wallet hat zunächst versucht, den Schaden kleinzureden. "Im Moment sind weniger als ein Prozent der monatlich aktiven Nutzer betroffen/haben Schäden gemeldet. Die letzte Entleerungstransaktion wurde vor mehr als 40 Stunden bestätigt", behauptete Atomic am 4. Juni online. Erboste Nutzer widersprachen sofort, verwiesen auf laufende weitere Diebstähle, und forderten Wiedergutmachung. Ihre Aussichten darauf sind gering.
Atomic Wallets sind sogenannte non-custodian wallets für viele unterschiedliche Kryptowährungen. Bei solchen Kryptoportemonnaies liegen die virtuellen Münzen weder auf dem Rechner des Anwenders noch auf einem Server des Softwareanbieters, sondern in der jeweiligen Blockchain. Die Software hilft lediglich bei der Verfügung über die virtuellen Münzen, indem sie die notwendigen kryptographischen Schlüssel verwaltet. Wer diese Schlüssel kennt, kann frei über die Kryptomünzen verfügen.
Atomic warnt nicht
Wie die Täter an die Münzen so vieler Atomic-Wallet-Nutzer gekommen sind, ist die große Frage. Atomic Wallet schweigt sich dazu bislang aus. Das in Estland registrierte Unternehmen kooperiert nach eigenen Angaben mit der estnischen Polizei; Fragen kasachischer Behörden hat Atomic demnach aber nicht beantwortet, sondern einfach an die estnische Polizei weitergeleitet, berichtet Coindesk.
Atomic nahm die Software zwischenzeitlich von der eigenen Webseite, bietet den Download inzwischen aber wieder an. Eine Warnung vor deren Einsatz fehlt auf den verschiedenen Sprachversionen der Webseite völlig; im Gegenteil, Atomic Wallet bezeichnet das eigene Angebot je nach Sprachversion als "secured", "sûr", "sicuro" etc.
Dabei hat eine Sicherheitsprüfung durch Least Authority schon im Februar 2022 erhebliche Zweifel an der sicheren Gestaltung des Angebots geweckt. "Wir raten dringend von Einsatz Atomic Wallets ab", sagte Least Authority damals.
Täter waschen Beute in Russland
Elliptic versucht, die Transaktionen nachzuverfolgen und bei kooperierenden Kryptobörsen stoppen zu lassen. Auf diese Weise konnten Kryptomünzen im Gegenwert von mehr als einer Million Dollar eingefroren werden – ein Tropfen auf den heißen Stein. Dass der Erfolg nicht größer ist, liegt laut Elliptic daran, dass der Täter auf die russische Kryptobörse Garantex ausgewichen ist, um die Kryptomünzen dort zu waschen. Garantex kooperiert nicht. Der Dienst steht unter dem Vorwurf der Geldwäsche seit April 2022 auf einer Sanktionsliste des US-Finanzministeriums, arbeitet aber weiter, weil russische Behörden offenbar nichts dagegen unternehmen.
Elliptic erklärt auch, welche Hinweise es auf Täterschaft der nordkoreanischen Lazarus Group hat: Das Vorgehen bei der Geldwäsche samt genutzter Mixerdienste entspräche exakt dem früheren Vorgehen der Lazarus Group (auch bekannt als APT38). Außerdem sehe es danach aus, als würden die Täter die jetzt gestohlenen Kryptomünzen mit Beuten aus früheren Raubzügen vermengen.
Wichtige Einnahmen für Nordkoreas Atomwaffenprogramm
Die anhaltende Atomic-Wallet-Diebstahlserie ist das wertmäßig größte Verbrechen, das der nordkoreanischen Lazarus Group zugeschrieben wird, seit Juni des Vorjahres. Damals erleichterten die Diebe aus Nordkorea die Harmony Horizon Bridge um Kryptomünzen im damaligen Gegenwert von über 100 Millionen US-Dollar. Horizon schlägt eine Brücke zwischen der Harmony-Blockchain und bestimmten anderen Blockchains und erlaubt die entsprechenden Kryptowährungen zu tauschen.
Nordkorea bestiehlt seit Jahren Banken und Kryptospekulanten. Laut einem durchgesickerten Bericht an den Sicherheitsrat der Vereinten Nationen aus dem Sommer 2019 hat Nordkorea bis dahin mehr als zwei Milliarden Dollar bei Cyber-Raubzügen erbeutet, die es für seine militärische Aufrüstung samt Entwicklung von Atomwaffen nutzt.
Seither dürfte deutlich mehr Beute hinzugekommen sein. Und laut dem Sicherheitsdiensteanbieter Proofpoint hat Nordkorea seine Phishing-Kampagnen Ende des Vorjahres noch deutlich verstärkt. Hinweise auf breit angelegtes Phishing als Angriffsvektor gibt es im aktuellen Fall nicht.
(ds)