Lazarus Group vermutet, dass Indodax gehackt wurde und 22 Millionen Dollar erbeutet

Die in Indonesien ansässige Kryptowährungsbörse Indodax ist das jüngste Opfer eines Angriffs. Es gibt Spekulationen, dass dieser möglicherweise von der nordkoreanischen Lazarus-Gruppe orchestriert wurde.

Von der Cybersicherheitsplattform Cyvers markiert und von anderen Plattformen wie PeckShield und SlowMist bestätigt.

Der Angriff zielte auf die Hot Wallet von Indodax und schaffte es, verschiedene Kryptowährungen im Wert von rund 22 Millionen US-Dollar abzuschöpfen, darunter Bitcoin, Ether, Polygon und Tron sowie andere Token.

Cyvers gibt an, dass der Diebstahl über 150 Transaktionen durchgeführt wurde und der Angreifer sofort damit begann, die Gelder gegen Ether einzutauschen, eine Taktik , die von Kriminellen häufig verwendet wird, um zu verhindern, dass die gestohlenen Vermögenswerte auf die schwarze Liste gesetzt werden.

Ethereum unterstützt die Änderung von Adressberechtigungen nicht. Im Gegensatz dazu können andere ERC-20-Token eine Mapping-Funktion in ihren Smart Contracts implementieren, um eine schwarze Liste von Adressen zu verwalten.

Nachdem die gestohlenen Gelder in ETH umgewandelt wurden, neigen die Angreifer dazu, die Beute über Kryptowährungs-Mixer wie Tornado Cash zu waschen.

Details des Angriffs

In diesem Fall waren bei dem Raubüberfall Bitcoin im Wert von über 1,42 Millionen US-Dollar, Tron-basierte Token im Wert von etwa 2,4 Millionen US-Dollar, verschiedene ERC-20-Token im Wert von über 14,6 Millionen US-Dollar, POL im Wert von etwa 2,58 Millionen US-Dollar und weitere 900.000 US-Dollar in ETH aus der Optimism-Blockchain beteiligt.

Laut Cyvers entstand der Angriff durch ein Leck des privaten Schlüssels der Hot Wallet, möglicherweise aufgrund einer Sicherheitslücke im Signaturgerät von Indodax – dem Gerät, das zum Signieren und Genehmigen von Transaktionen verwendet wird.

SlowMist schätzte jedoch, dass der Exploit auf eine Schwachstelle im Auszahlungssystem der Börse zurückzuführen sei, die es dem Angreifer ermöglichte, die Gelder aus den Hot Wallets abzuschöpfen.

Indodax hat inzwischen nach Eingeständnis des Verstoßes sämtliche Dienste auf seiner Plattform eingestellt und auch seine Website war zum Zeitpunkt der Veröffentlichung nicht erreichbar.

In einem X-Post teilte die Plattform mit, dass sie „eine vollständige Wartung durchführt“ und versicherte den Benutzern, dass ihre Gelder sicher seien.

In einem nachfolgenden Beitrag warnte die Börse die Benutzer außerdem davor, Unternehmen zu meiden, die sich als Indodax ausgeben und Dienste zur Geldrückgewinnung anbieten.

Dabei handelt es sich um eine gängige Betrugsmasche, bei der Betrüger Opfer von Sicherheitsverletzungen dazu verleiten, Geld zu senden, indem sie ihnen fälschlicherweise versprechen, ihnen bei der Wiederbeschaffung ihrer verlorenen Gelder zu helfen.

Um seinen Nutzern während der laufenden Wartungsarbeiten etwas Erleichterung zu verschaffen, hat die Börse eine Geschenkaktion angekündigt, bei der drei Gewinner jede Stunde 3 Millionen Rupien (etwa 200 US-Dollar) erhalten. Ein Schritt, der in einer solchen Situation nicht üblich ist.

Mit einem Reserveguthaben von 369 Millionen US-Dollar verfügt Indodax laut Daten von CoinMarketCap jedoch über ein beträchtliches Polster, das zur Entschädigung betroffener Anleger verwendet werden könnte.

Lazarus-Gruppe im Verdacht

Inzwischen hat Yosi Hammer, Leiter der KI-Abteilung bei Cyvers, angedeutet, dass der Angriff Ähnlichkeiten mit früheren Hackerangriffen der nordkoreanischen Lazarus Group aufweist, die für ihre ausgeklügelten Krypto-Diebstähle berüchtigt ist.

Es wurde auch spekuliert, dass die Lazarus-Gruppe hinter dem Angriff vom 18. Juli auf die indische Kryptobörse WazirX steckte. In ähnlicher Weise wurden Vermögenswerte im Wert von 230 Millionen Dollar aus den Hot Wallets der Börse gestohlen und über Tornado Cash gewaschen.

Die Schwere des Angriffs führte zu einer vollständigen Schließung der Plattform, die nun ein Singapore Scheme of Arrangement anstrebt.

Wie Invezz bereits berichtete, war die vom nordkoreanischen Staat unterstützte Hackergruppe von August 2020 bis Oktober 2023 an mehr als 25 Hackerangriffen auf verschiedene Blockchains beteiligt.