Die Hacker, die hinter dem Angriff auf die Ronin-Brücke steckten, bei dem im März 625 Millionen US-Dollar gestohlen wurden, haben inzwischen den Großteil des Geldes von Ether (ETH) in Bitcoin (BTC) transferiert. Dazu haben sie renBTC und die Bitcoin-Tools Blender und ChipMixer benutzt. 

Die Aktivitäten des Hackers wurden vom On-Chain-Ermittler ₿liteZero nachverfolgt, der für SlowMist arbeitet und am Blockchain-Sicherheitsbericht 2022 des Unternehmens mitgewirkt hat. Sie konnten den Transaktionspfad des gestohlenen Geldes seit dem Angriff am 23. März nachvollziehen und darlegen.

Der Großteil des gestohlenen Geldes wurde ursprünglich in ETH umgewandelt und an den inzwischen sanktionierten Ethereum-Kryptomixer Tornado Cash geschickt. Daraufhin wurde es über das Ren-Protokoll in das Bitcoin-Netzwerk übergeführt und in BTC umgewandelt.

Dem Bericht zufolge haben die Hacker, bei denen es sich vermutlich um die nordkoreanische Gruppe von Cyberkriminellen Lazarus Group handelt, am 28. März zunächst nur einen Teil des Geldes, genauer gesagt 6.249 ETH, an zentrale Börsen (CEXs) überwiesen. An Huobi gingen davon 5.028 ETH und an FTX 1.219 ETH.

Bei den CEXs wurden die 6.249 ETH in BTC umgewandelt. Die Hacker haben dann 439 BTC oder 20,5 Millionen US-Dollar über das Bitcoin-Tool Blender laufen lassen. Auch dieses wurde am 6. Mai vom US-Finanzministerium sanktioniert. Der Analyst schrieb dazu:

"Ich habe die Antwort in Blender-Sanktionsadressen gefunden. Die meisten Blender-Sanktionsadressen sind Blender-Einlagenadressen, die von den Ronin-Hackern verwendet werden. Sie haben ihr ausgezahltes Geld über Blender laufen lassen, nachdem sie diese von den Börsen abgehoben haben.

Der Großteil des gestohlenen Geldes, nämlich 175.000 ETH, wurden zwischen dem 4. April und 19. Mai in Stückelungen an Tornado Cash geschickt.

Die Hacker haben anschließend die dezentralen Basen Uniswap und 1inch verwendet, um rund 113.000 ETH in renBTC (eine "wrapped"-Version von BTC) umzuwandeln. Über die dezentrale Cross-Chain-Brücke von Ren haben sie das Geld dann von Ethereum auf das Bitcoin-Netzwerk übertragen und die renBTC in BTC umgewandelt.

Von dort aus wurden rund 6.631 BTC an mehrere zentrale Börsen und dezentrale Protokolle verteilt:

Auf diese Plattformen haben die Hacker BTC transferiert. Quelle: SlowMist.

Im Bericht heißt es auch, dass die Ronin-Hacker 2.871 BTC von 3.460 BTC oder 61,6 Millionen US-Dollar über das Bitcoin-Tool ChipMixer abgehoben haben.

BTC-Guthaben auf Plattformen, nachdem die Hacker das Geld abgehoben haben. Quelle: SlowMist.

₿liteZero erklärte auf Twitter abschließend, der Ronin-Hack sei ein "zu untersuchendes Mysterium" und man weitere Fortschritte machen müsse.