Yicong Wang, ein chinesischer OTC-Händler, wäscht seit 2022 gestohlene Kryptowährungen für die berüchtigte nordkoreanische Hackergruppe Lazarus Group.
Wang ist dafür bekannt, Pseudonyme wie Seawang, Greatdtrader und BestRhea977 zu verwenden, und hat dazu beigetragen, gestohlene Kryptowährungen im Wert von mehreren zehn Millionen Dollar durch Banküberweisungen in cash umzuwandeln.
Der On-Chain-Ermittler ZachXBT deckte Wangs Beteiligung auf, nachdem sich ein Opfer Anfang des Jahres gemeldet hatte, dass sein Konto nach Abschluss einer P2P-Transaktion mit dem Kriminellen gesperrt worden sei. Sie stellten Zach außerdem eine von Wang verwendete TRON -Wallet-Adresse zur Verfügung, die einem WeChat-Gespräch entnommen wurde.
Wangs Rolle beim Waschen gestohlener Kryptowährungen
Zachs Recherchen ergaben, dass Yicong Wang das Waschen gestohlener Gelder aus Lazarus-bezogenen Hacks wie denen von Alex Labs, EasyFi, Bondly und dem Mitbegründer von Irys ermöglichte.
Konkret konsolidierte eine von Wang kontrollierte Adresse 17 Millionen US-Dollar aus diesen Hacks, wobei 374.000 USDT im November 2023 von Tether auf die schwarze Liste gesetzt wurden. Nach dieser schwarzen Liste wurden die restlichen Gelder schnell an Tornado Cash , den berüchtigten Krypto-Mixer, übertragen.
Zwischen November und Dezember 2023 wurden 13 Transaktionen zu je 100 ETH abgehoben und an eine andere Ethereum -Adresse verschoben. Später im Dezember wurden 45.000 US-Dollar an TRON überwiesen und landeten schließlich in Wang-Wallets.
Trotz der Versuche von Tether, diese Gelder auf die schwarze Liste zu setzen, transferierte er das Geld effizient über Krypto-Mischdienste.
Der Angriff von Lazarus auf Alex Labs im Mai 2024 führte zu einem Verlust von 4,5 Millionen US-Dollar. Kurz darauf hinterlegte eine der gehackten Adressen 470 ETH in einem Datenschutzprotokoll.
Der gleiche Betrag wurde innerhalb weniger Stunden abgehoben und an zwei neue Adressen überwiesen. Weitere 449 ETH folgten dem gleichen Muster zwischen dem 27. und 28. Juni dieses Jahres und landeten auf Wangs Konten.
Weitere gestohlene Kryptowährungen wurden gewaschen
Im Juli startete die Lazarus Group einen weiteren Angriff, diesmal gegen den Irys-Mitbegründer. Sie nutzten eine Spear-Phishing-E-Mail-Kampagne, um Kryptowährungen im Wert von 1,3 Millionen US-Dollar zu stehlen. Die gestohlene ETH folgte dem gleichen Weg wie zuvor, wobei Wang den Geldwäscheprozess erleichterte.
Am 31. Juli wurden die gestohlenen 70,8 ETH in einem Datenschutzprotokoll hinterlegt, gefolgt von weiteren 338 ETH. Auch hier wurden diese Gelder an mehrere Adressen gesendet, bevor sie in Wangs TRON -Wallets landeten.
Bis zum 13. August hatte Wang weitere 1,5 Millionen USDT durch die Hacks der Lazarus Group gewaschen. Während dieser Zeit wurden Gelder von Ethereum an TRON weitergeleitet und direkt mit seinen Konten verknüpft.
Untersuchungen dieser Transaktionen ergaben, dass eine von Tether im August auf die schwarze Liste gesetzte Ethereum Adresse mit 948.000 USDT ebenfalls mit Wang verbunden war.
Bevor er auf die schwarze Liste gesetzt wurde, wurden 746.000 USDT an eine seiner Adressen überwiesen. Wang gab nicht auf, selbst nachdem er wegen Geldwäsche von großen Plattformen wie Paxful und Noones ausgeschlossen wurde.
Obwohl seine Konten unter den Pseudonymen geschlossen wurden, führte Wang weiterhin Offsite-Transaktionen durch und unterstützte die Lazarus Group bei der Geldwäsche.
Lazarus‘ anhaltende Bedrohung für die Kryptoindustrie
Mit Stand vom 23. Oktober 2024 bleibt die Lazarus Group eine der gefährlichsten Bedrohungen für die Kryptoindustrie. Sie führen weiterhin hochkarätige Hacks durch, die auf zentralisierte und dezentrale Plattformen abzielen.
Ihre Methoden werden immer ausgefeilter und nutzen Social-Engineering-Kampagnen wie die „Eager Crypto Beavers“, um Blockchain-Profis zum Herunterladen von Malware zu verleiten. Diese Schadsoftware stiehlt dent und den Zugriff auf Krypto-Wallets, was es für Lazarus einfacher macht, Gelder abzuschöpfen.
Allein im Jahr 2024 war die Hackergruppe für viele große Hacks verantwortlich. Im Juli drangen sie in die indische Krypto-Börse WazirX ein und verursachten Verluste in Höhe von über 235 Millionen US-Dollar.
Sie zielten auch auf zentralisierte Plattformen wie Stake.com, das im September 2023 41 Millionen US-Dollar verlor, und Deribit, das im November 2022 einen Verlust von 28 Millionen US-Dollar erlitt.
Während die Strafverfolgung einige Fortschritte gemacht hat, war die Wiederbeschaffung gestohlener Gelder eine Herausforderung. Das US-Justizministerium (DOJ) arbeitet aktiv daran, von Lazarus gestohlene Kryptowährungen trac und wiederherzustellen, aber die Geldwäschemethoden der Gruppe erschweren dies.
Anfang dieses Monats reichte das Justizministerium Klagen ein, um gestohlene digitale Vermögenswerte im Wert von über 2,67 Millionen US-Dollar im Zusammenhang mit den Deribit- und Stake.com-Hacks zurückzugewinnen. Doch diese Bemühungen stellen nur einen Bruchteil der Gesamtsumme dar, die Lazarus gestohlen hat.