63 miljoen dollar witgewassen na crypto-hack van 282 miljoen

Ongeveer 63 miljoen dollar aan cryptotegoeden die zijn gestolen bij de grote hack van 10 januari is in verband gebracht met Tornado Cash. Dat meldt blockchainbeveiligingsbedrijf CertiK, dat via monitoringsystemen transacties heeft geïdentificeerd die volgens het bedrijf aansluiten op de diefstal van in totaal 282 miljoen dollar.

De hack wordt door meerdere onderzoekers gevolgd vanwege de omvang van het verlies en de snelheid waarmee de fondsen na de aanval werden verplaatst. CertiK beschrijft een witwasroute waarbij een deel van de gestolen Bitcoin eerst naar het Ethereum-netwerk werd overgezet, daarna werd omgezet naar ether (ETH) en vervolgens werd verspreid over verschillende adressen.

CertiK ziet route via Ethereum en opsplitsing van fondsen

Volgens de analyse van CertiK werd minstens 686 bitcoin via een zogeheten cross-chain swap naar Ethereum verplaatst. Dat leidde tot ongeveer 19.600 ether die op één Ethereum-adres binnenkwam.

Vervolgens werden de fondsen verdeeld over meerdere wallets. Vanaf die adressen werden telkens enkele honderden ether doorgestuurd, waarna een deel uiteindelijk bij Tornado Cash terechtkwam.

Wat Tornado Cash doet en waarom dat het traceren bemoeilijkt

Tornado Cash is een mixingdienst die transacties door elkaar haalt om de herkomst en bestemming van geldstromen moeilijker te volgen. Het bedrag van 63 miljoen dollar vertegenwoordigt volgens CertiK slechts een deel van het totale verlies, maar de geldstromen laten zien hoe de aanvaller probeert het spoor te wissen na de eerste transfers.

Marwan Hachem, CEO van blockchainbeveiligingsbedrijf FearsOff, noemt de waargenomen geldstromen een bekend draaiboek voor grootschalig witwassen, vooral bij diefstallen waarbij bitcoin en litecoin via meerdere netwerken worden verplaatst.

‘Bekend draaiboek’ voor witwassen, zegt beveiligingsbedrijf

Volgens Hachem is het gebruik van THORswap voor het omzetten van bitcoin naar ether, gevolgd door het opsplitsen van de fondsen in blokken van ongeveer 400 ETH voordat ze een mixer ingaan, een effectieve manier om de aandacht af te leiden en het terugvinden van de buit na mixing aanzienlijk moeilijker te maken.

Hij stelt dat de kans op herstel in veel gevallen sterk afneemt zodra geld in een mixer terechtkomt. Ook zouden de mogelijkheden om schade te beperken na stortingen in een mixer beperkt zijn en steeds onbetrouwbaarder worden.

Aanvalsmethode en eerste pogingen om geld te bevriezen

Blockchain-onderzoeker ZachXBT verklaarde dat de aanvaller zich vermoedelijk voordeed als medewerker van wallet-ondersteuning. Op die manier zou de dader volledige controle hebben gekregen over de bezittingen van het slachtoffer.

De gecompromitteerde wallet bevatte volgens die lezing ongeveer 1.459 bitcoin en meer dan 2 miljoen litecoin. Een deel van de gestolen activa zou daarnaast zijn omgewisseld naar privacygerichte digitale activa.

Slechts klein deel van de buit veiliggesteld

Beveiligingsbedrijf ZeroShadow meldde eerder dat ongeveer 700.000 dollar aan gestolen fondsen vroeg in het witwasproces werd gemarkeerd en bevroren. Het grootste deel van de buit zou echter inmiddels buiten bereik zijn geraakt.