Das US-Finanzministerium hat am Freitag Sanktionen gegen den virtuellen Währungsmixer Blender.io verhängt und damit zum ersten Mal einen Mixerdienst mit einer Wirtschaftsblockade belegt.
Der Schritt ist ein Zeichen für die fortgesetzten Bemühungen der Regierung, die nordkoreanische Lazarus-Gruppe daran zu hindern, die Gelder zu waschen, die bei dem beispiellosen Hack der Ronin-Brücke Ende März gestohlen wurden.
Die neu verhängten Sanktionen des U.S. Office of Foreign Assets Control (OFAC) richten sich gegen 45 Bitcoin-Adressen, die mit Blender.io verbunden sind, sowie gegen vier neue Wallets, die mit der Lazarus Group verbunden sind, einer fortschrittlichen Organisation mit Verbindungen zur Demokratischen Volksrepublik Korea (DVRK).
„Blender wurde für die Verarbeitung von mehr als 20,5 Millionen Dollar illegaler Erlöse verwendet“, so das Finanzministerium, und fügte hinzu, dass es von der DVRK zur „Unterstützung ihrer bösartigen Cyber-Aktivitäten und Geldwäsche mit gestohlener virtueller Währung“ genutzt wurde.
Kryptowährungs-Mixer, auch Tumblers genannt, sind auf Datenschutz ausgerichtete Dienste, die es Nutzern ermöglichen, Kryptowährungswerte zwischen Konten zu verschieben, ohne eine Transaktionsspur zu hinterlassen, indem sie ihre Herkunft verschleiern.
Mixer wie Blender sind dafür bekannt, dass sie eine „dynamische“ Servicegebühr erheben, die zwischen 0,6 % und 2,5 % liegt, wenn Geld auf eine von ihnen kontrollierte Wallet-Adresse übertragen wird. Seit seinem Start im Jahr 2017 hat Blender schätzungsweise Bitcoin im Wert von mehr als 500 Millionen Dollar transferiert.
„Durch diese Dienste können Bedrohungsakteure ihr Ziel erreichen, den kriminellen Untergrund durch den Handel mit illegalen Waren und Dienstleistungen flüssig zu halten“, so Intel 471 in einem im November 2021 veröffentlichten Bericht.
Beim Ronin-Bridge-Hack hat die staatlich unterstützte Cyber-Hacking-Gruppe 540 Millionen Dollar aus einem dezentralen Protokoll gestohlen, das es Nutzern ermöglicht, ihre Kryptowährung zwischen Ethereum und dem beliebten Blockchain-Spiel Axie Infinity zu transferieren.
Am 16. April sperrte das Finanzministerium die Ethereum-Wallet-Adresse, die die gestohlene digitale Währung erhalten hatte, obwohl es der Lazarus Group bis dahin gelungen war, 18 % der gestohlenen Gelder (etwa 97 Millionen US-Dollar) über zentrale Börsen und einen Ethereum-Mischdienst namens Tornado Cash zu waschen.
In den letzten zwei Wochen wurden laut dem Blockchain-Analyseunternehmen Elliptic rund 273,9 Mio. $ Ether an vier der neu gesperrten Adressen geschickt, wobei eine dieser Adressen bereits 37 Mio. $ über Tornado Cash verschoben hat und 236 Mio. $ zurückließ.
„Bei den Transaktionen handelte es sich um Beträge, die deutlich höher waren als bei früheren Geldwäscheversuchen“, so das Unternehmen. „Die Ausweitung der Geldwäschebemühungen auf diese Weise spiegelt möglicherweise eine wachsende Verzweiflung der Hacker wider.
Außerdem ist die Sanktionierung von Blender ein Beweis dafür, dass die Lazarus Group einen Teil der gestohlenen Gelder in Bitcoin transferiert hat“, so Elliptic.
Darüber hinaus soll Blender einer Reihe von Ransomware-Gruppen aus Russland geholfen haben, ihr Geld zu waschen, darunter TrickBot, Conti (ehemals Ryuk), Sodinokibi (alias REvil) und Gandcrab.
Der jüngste Schritt der US-Regierung folgt auf die Bekanntgabe der Kryptobörse Binance vom 22. April, dass sie gestohlene Gelder im Wert von 5,8 Millionen Dollar, die auf 86 Konten verteilt waren, zurückgewinnen konnte.
Die Entwicklung kommt auch einen Monat, nachdem das Finanzministerium die virtuelle Währungsbörse Garantex sanktioniert hat, weil sie kriminellen Akteuren bei der Wäsche von über 100 Millionen Dollar an unrechtmäßig erworbenen Geldern geholfen hat.
Letztes Jahr bestrafte das Finanzministerium die beiden Kryptowährungsbörsen SUEX und CHATEX, weil sie Finanztransaktionen für Ransomware-Akteure ermöglichten und das von den Opfern erpresste Geld auszahlten.
Nordkorea wurde in den letzten Jahren mit einer Reihe von Cyber-Raubüberfällen auf Kryptowährungsbörsen und Finanzunternehmen in Verbindung gebracht, um internationale Sanktionen zu umgehen und Einnahmen für sein Atomwaffenprogramm zu erzielen.
Um die Taktik des nationalstaatlichen Akteurs zu verdeutlichen, warnten die US-Cybersecurity- und Geheimdienste kürzlich vor fortgesetzten Cyberangriffen der Lazarus Group, die es auf Blockchain-Unternehmen mit betrügerischen Kryptowährungs-Apps abgesehen hat, um Kryptowährungsgelder abzuschöpfen.
„Virtuelle Währungsmischer, die illegale Transaktionen unterstützen, stellen eine Bedrohung für die nationalen Sicherheitsinteressen der USA dar“, sagte Brian E. Nelson, Unterstaatssekretär des Finanzministeriums für Terrorismus und finanzielle Aufklärung.
„Wir gehen gegen die illegalen Finanzaktivitäten der Demokratischen Volksrepublik Korea vor und werden nicht zulassen, dass staatlich geförderter Diebstahl und seine Ermöglicher von Geldwäsche unbeantwortet bleiben.