Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 194Phishing / Social Engineering

DMM Bitcoin

DPRK-Akteure kompromittierten einen Entwickler beim Wallet-Anbieter Ginco per Fake-LinkedIn-Angebot und zogen 4.502,9 BTC (305 Mio. $) von DMM Bitcoin ab.

Datum
Opfer
DMM Bitcoin
Chain(s)
Bitcoin
Status
Mittel entwendet
Zurechnung
TraderTraitor / Lazarus Group (DPRK)

Am 31. Mai 2024 verlor die japanische Kryptobörse DMM Bitcoin 4.502,9 BTC — damals rund 305 Millionen $ — durch eine einzige unautorisierte Abhebung. Die Börse stellte ihren Betrieb später im Jahr ein und übertrug verbleibende Kundenkonten an SBI VC Trade.

Was geschah

Der Breach hatte seinen Ursprung nicht bei DMM selbst. Er begann bei Ginco, dem japanischen Wallet-Software-Anbieter, dessen System DMM zur Autorisierung von Abhebungen nutzte.

Im März 2024 gab sich ein nordkoreanischer Akteur auf LinkedIn als Recruiter aus und sprach einen Ginco-Ingenieur an. Als Teil des fingierten Einstellungsprozesses teilten sie einen Python-„Skills Test" auf GitHub. Der Ingenieur führte das Skript auf einem privaten Rechner aus — und gab dem Angreifer damit Zugriff auf Session-Cookies und somit die Möglichkeit, sich auf Gincos internen Systemen als der Ingenieur auszugeben.

Zwei Monate saß der Angreifer in Gincos unverschlüsselter Kommunikation, beobachtete, wie Transaktionen autorisiert werden. Ende Mai nutzte er diesen Zugang, um eine legitime Abhebungsanfrage von DMM Bitcoin so zu manipulieren, dass die Gelder stattdessen an von ihm kontrollierte Wallets gingen. Die 4.502,9 BTC bewegten sich in einer einzigen Transaktion.

Folgen

  • Das FBI, Japans National Police Agency und das U.S. Department of Defense Cyber Crime Center schrieben den Heist gemeinsam TraderTraitor / Lazarus zu im Dezember 2024.
  • DMM Bitcoin kündigte an, im Dezember 2024 abzuschalten und Kundenkonten an SBI VC Trade zu migrieren.
  • Die gestohlenen BTC wurden über Cross-Chain-Bridges und Mixer gewaschen.

Warum es wichtig ist

DMM war das prominenteste Beispiel eines Musters, das das Jahr prägte: Nordkoreanische Akteure zielen auf die Anbieter und Entwickler rund um Kryptounternehmen statt auf die Unternehmen selbst. Dasselbe Playbook — Fake-LinkedIn-Ansprache, bösartiger „Skills Test", Session-Cookie-Diebstahl — wiederholte sich bei Munchables, Radiant Capital und schließlich bei Safe{Wallet} vor dem Bybit-Heist.

Quellen & On-Chain-Belege

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-dc3-and-npa-identification-of-north-korean-cyber-actors-tracked-as-tradertraitor-responsible-for-theft-of-308-million-from-bitcoindmmcom
  2. [02]coindesk.comhttps://www.coindesk.com/policy/2024/12/24/north-korea-blamed-for-may-s-usd305m-hack-on-japanese-crypto-exchange-dmm
  3. [03]cryptoslate.comhttps://cryptoslate.com/fbi-reveals-north-korea-used-linkedin-to-steal-305-million-from-japans-dmm-bitcoin/

Verwandte Einträge