Lazarus-Gruppe: Neuer Kryptodiebstahl auf Solana und Geldwäsche mit Tornado Cash

Das Ökosystem der Kryptowährungen ist weiterhin mit hochentwickelter Cyberkriminalität konfrontiert. Die berüchtigte Lazarus-Gruppe, die mit Nordkorea in Verbindung gebracht wird, hat ihre Fähigkeiten erneut mit einem bedeutenden Diebstahl unter Beweis gestellt. Am 16. Mai 2025 wurden schätzungsweise 3,2 Millionen US-Dollar illegal aus mehreren Solana-Wallets abgezogen. Dies unterstreicht die anhaltenden Schwachstellen innerhalb der dezentralen Finanzlandschaft (DeFi) und die fortwährende Herausforderung für Regulierungsbehörden und Sicherheitsexperten, staatlich geförderte Cyberangriffe zu bekämpfen.

Nach der Sicherheitsverletzung wurden die gestohlenen digitalen Vermögenswerte schnell von Solana auf die Ethereum-Blockchain umgewandelt und überbrückt. Die anschließende Analyse zeigte einen methodischen Geldwäscheprozess, bei dem erhebliche Teile der Gelder über Tornado Cash, einen dezentralen Mischdienst, geleitet wurden. Am 25. und 27. Juni wurden zwei separate Tranchen von jeweils 400 ETH, insgesamt etwa 1,6 Millionen US-Dollar, bei Tornado Cash eingezahlt. Diese Taktik entspricht den etablierten operativen Verfahren der Lazarus-Gruppe zur Verschleierung von Transaktionsspuren und zur Legitimierung gestohlener Gelder.

Untersuchung und Verbleib der Gelder

Blockchain-Ermittler, darunter ZachXBT, waren maßgeblich an der Aufdeckung des Exploits beteiligt. Ihre forensischen Bemühungen verfolgten die Bewegung der Gelder von der Solana-Adresse „C4WY…e525“ über einen Brückenmechanismus zu einem Netzwerk von Ethereum-Wallets. Während ein erheblicher Teil der Gelder gewaschen wurde, verbleiben etwa 1,25 Millionen US-Dollar in einer Kombination aus DAI und ETH auf der Ethereum-Adresse „0xa5…d528“. Analysten gehen davon aus, dass diese Gelder vorübergehend geparkt werden, um zukünftige Geldwäscheversuche abzuwarten, oder ruhend gehalten werden, um eine sofortige Entdeckung zu vermeiden.

Die Lazarus-Gruppe: Taktiken und Geschichte

Die Lazarus-Gruppe ist seit 2017 eine prominente und hartnäckige Bedrohung in der Cyberkriminallandschaft. Sie wurde durch Nordkorea-Sanktionen offiziell als Advanced Persistent Threat (APT) mit Verbindungen zum militärischen Geheimdienst Pjöngjangs eingestuft. Im Laufe der Jahre soll die Gruppe schätzungsweise Milliarden von Dollar in Kryptowährungen gestohlen haben, wobei sie eine Vielzahl von Taktiken einsetzte, darunter Phishing, Malware-basierte Infiltrationen und die Ausnutzung von Smart-Contract- oder Wallet-Schwachstellen. Sobald Vermögenswerte erworben sind, werden sie schnell in liquide Formen umgewandelt, auf zahlreiche Wallets fragmentiert und über verschiedene Blockchain-Netzwerke mittels Mixer wie Tornado Cash und Diensten gewaschen, die sofortige Swaps ohne Know-Your-Customer-Anforderungen (KYC) ermöglichen.

Regulatorisches Dilemma: Der Fall Tornado Cash

Die anhaltende Abhängigkeit von Tornado Cash durch Gruppen wie Lazarus verdeutlicht ein komplexes regulatorisches Dilemma. Obwohl das US-Finanzministerium Tornado Cash im Jahr 2022 sanktioniert hat, ermöglichten dessen dezentrale Hosting und unveränderliche Natur weitgehend die Vermeidung einer dauerhaften Abschaltung. Bemerkenswerterweise hob ein US-Berufungsgericht diese Sanktionen im Januar 2025 unter Berufung auf die Meinungsfreiheit auf, selbst wenn Beweise den Mixer mit laufenden illegalen Aktivitäten von Entitäten wie der Lazarus-Gruppe in Verbindung bringen. Dieses rechtliche Ergebnis stellt eine erhebliche Herausforderung für die globalen Bemühungen zur Bekämpfung der Geldwäsche im Bereich der digitalen Vermögenswerte dar, da es die Fähigkeit von Regulierungsbehörden und Börsen erschwert, verdächtige Adressen effektiv einzufrieren oder zu kennzeichnen. Die Geschwindigkeit und Raffinesse dieser Geldwäsche-Pipelines stellen weiterhin gewaltige Hürden für die Finanzsicherheit und die Regulierungsaufsicht dar.