Nachdem vergangene Woche 197 Millionen US-Dollar von der Lending-Plattform Euler gestohlen wurden, scheinen die Hacker einen Deal aushandeln zu wollen. “Wir wollen es allen Betroffenen leicht machen. Wir haben nicht die Absicht, zu behalten, was uns nicht gehört”, so die Hacker in einer Nachricht, die in einer Ethereum-Transaktion eingebettet war. Zuvor hatte die Plattform ein Ultimatum gestellt und ein Kopfgeld von einer Million Dollar ausgesetzt. Euler ging auf das Gesprächsangebot in einer separaten Ethereum-Transaktion ein. In den kommenden Tagen könnte es zu einer Einigung kommen.

Flash-Loan-Angriff lässt Euler kollabieren

Bei dem Angriff auf die Kreditplattform Euler wurden insgesamt 197 Millionen US-Dollar in Kryptowährungen gestohlen – der bislang schwerste DeFi-Hack in diesem Jahr. Die “Blitzkredit-Attacke”, bekannt als Flash-Loan-Angriff, nutzte Liquiditätsprobleme im Smart Contract aus. Es kam zu fehlerhaften Umwandlung von geliehenen in besicherte Krypto-Assets. Durch eine Verkettung von Transaktionen war es dem Angreifer möglich, das Vielfache vom eingezahlten Betrag abzuziehen.

Im Austausch für die gestohlenen Token bot Euler dem Hacker zunächst zehn Prozent der Beute als Handgeld. Der Hacker reagierte nicht, Euler setzte für Hinweise eine Belohnung von einer Million Dollar aus. Zur Spurenverwischung wurden Teile der gestohlenen Gelder daraufhin über den Krypto-Mixer Tornado Cash transferiert.

Verbindungen nach Nordkorea?

On-Chain-Daten zeigen nun, dass 100 Ether aus dem Euler-Hack an eine Adresse verschickt wurden, die zuvor Gelder aus dem Angriff auf die Ronin-Bridge erhielt. Bei der Attacke auf die Ethereum-Sidechain im März letzten Jahres wurden über 600 Millionen US-Dollar gestohlen. Blockchain-Auswertungen ergaben, dass die Attacke von Nordkoreas Hacking-Kollektiv Lazarus orchestriert wurde.

“Dies könnte auch bedeuten, dass der Euler Finance-Hack ebenfalls von der Lazarus Group durchgeführt wurde”, meint das Blockchain-Sicherheitsunternehmen Chainalysis. Ob es eine Verbindung nach Nordkorea gebe, lasse sich aber zurzeit noch “nicht mit Sicherheit sagen”. Zudem bestünde die Möglichkeit, “dass es sich bei dieser Geldbewegung um den Versuch einer Irreführung durch eine andere Hackergruppe handelt.”