Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 160Kompromittierung privater Schlüssel

CoinEx Hot-Wallet-Drain

Lazarus entzog 54 Mio. USD aus CoinEx-Hot-Wallets über Ethereum, Tron, BSC und sieben weitere Chains, mit Infrastruktur des Stake.com-Hits der Vorwoche.

Datum
Opfer
CoinEx
Chain(s)
EthereumTronBNB ChainBitcoinSolanaPolygon
Status
Mittel entwendet
Zurechnung
Lazarus Group (DPRK)

Am 12. September 2023 — acht Tage nach dem Stake.com-Heist — erkannte die in Hongkong ansässige Börse CoinEx unautorisierte Outflows aus ihren Hot Wallets. Gesamtverluste: ~54 Millionen US-Dollar über mindestens zehn Blockchains. ZachXBTs On-Chain-Analyse verband die Wäschestrecken mit demselben Operator wie Stake, beide Vorfälle wurden anschließend Lazarus Group zugeschrieben.

Was geschah

CoinEx' Private Keys für mehrere Hot Wallets über mehrere Chains waren exponiert — der genaue Vektor wurde nicht öffentlich offengelegt, aber das On-Chain-Muster ist dieselbe Lazarus-Signatur, die in den DMM Bitcoin-, Phemex- und Stake.com-Operationen zu sehen war: gleichzeitige koordinierte Abhebungen über mehrere Chains, sofortiges Cross-Chain-Bridging in Mixer und Konsolidierung über eine bekannte Menge von Wäscheadressen.

SlowMists Aufschlüsselung des Verlusts:

  • ~18 Mio. USD in ETH
  • ~11 Mio. USD in TRX
  • ~6 Mio. USD in BNB
  • ~6 Mio. USD in XRP
  • ~5,9 Mio. USD in BTC
  • ~2,5 Mio. USD in SOL
  • ~5 Mio. USD über MATIC, XDAG, KDA, BCH

ZachXBTs Wallet-Analyse zeigte direkte Wiederverwendung von Wäscheadressen zwischen den CoinEx- und Stake.com-Erlösen — starker Hinweis darauf, dass derselbe Operator beide Kampagnen in denselben Wochen lief.

Folgen

  • CoinEx pausierte Abhebungen innerhalb von Stunden und kündigte 100% Entschädigung aus Unternehmensreserven an.
  • Abhebungen wurden in den folgenden zwei Wochen progressiv wiederhergestellt, als Schlüssel rotiert und Hot-Wallet-Infrastruktur neu aufgebaut wurden.
  • Die Mittel wurden über Cross-Chain-Bridges gewaschen; keine öffentlichen Rückgewinnungen.

Warum es wichtig ist

CoinEx ist ein Buchend eines engen Clusters von Lazarus-Börsen-Operationen Spätsommer 2023 — Stake.com am 4. September, CoinEx am 12. September, Mixin Network am 23. September — die kollektiv über 295 Mio. USD in drei Wochen entzogen. Der Cluster bestätigte, dass Lazarus vom primären Anvisieren von DeFi-Protokollen zur systematischen Anvisierung zentraler Börsen mit schwacher Hot-Wallet-Hygiene übergegangen war — ein Muster, das sich durch 2024 verstärkte und achtzehn Monate später im Bybit-Heist kulminierte.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-coinex-hack-september-2023
  2. [02]coindesk.comhttps://www.coindesk.com/tech/2023/09/13/north-korean-attackers-linked-to-54m-coinex-hack-blockchain-data-suggests
  3. [03]risky.bizhttps://risky.biz/north-korean-hackers-are-behind-coinex-hack/

Verwandte Einträge