Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 196Kompromittierung privater Schlüssel

Lykke Exchange Kollaps

22 Mio. $ (158 BTC, 2.161 ETH, plus LTC/BCH) aus Lykke abgezogen durch Private-Key-Kompromiss, den die UK-Börse vertuschen wollte; Lazarus zugeschrieben.

Datum
Opfer
Lykke
Chain(s)
BitcoinEthereumLitecoin
Status
Mittel entwendet
Zurechnung
Lazarus Group (DPRK)

Am 4. Juni 2024 erlitt die in der Schweiz gegründete, in Großbritannien ansässige Börse Lykke einen Private-Key-Kompromiss, der rund 22 Millionen $ über BTC, ETH, LTC und BCH abzog. Die Börse machte den Einbruch zwei Tage lang nicht öffentlich; die Geschichte brach, als der On-Chain-Ermittler SomaXBT am 6. Juni die Wallet-Bewegungen in den sozialen Medien veröffentlichte. Lykke stellte den Betrieb innerhalb von Monaten ein. Das britische Finanzministerium schrieb den Angriff später Nordkoreas Lazarus Group zu.

Was geschah

Lykke hielt Kundenreserven über Hot Wallets auf mehreren Chains. Am 4. Juni erlangte ein Angreifer Signaturbefugnis über diese Wallets und führte koordinierte Abflüsse durch:

  • 158 BTC (~11 Mio. $)
  • 2.161 ETH (~8 Mio. $)
  • Eine Mischung aus LTC und BCH (zusammen ~3 Mio. $)

Das Kompromittierungsmuster — gleichzeitiger Multi-Chain-Drain, kein Smart-Contract-Bug, sofortiges Cross-Chain-Bridging in anonymisierende Routen — entsprach Lazarus' Standard-CEX-fokussiertem Vorgehen, dokumentiert bei Atomic Wallet, Stake.com und später Phemex und Bybit.

Das ungewöhnliche Merkmal von Lykkes Fall war der anfängliche Vertuschungsversuch: Die Börse benachrichtigte die Kunden bis zum 6. Juni nicht, zwei Tage nach dem Einbruch, und erst nachdem On-Chain-Ermittler die unbefugten Abflüsse öffentlich identifiziert hatten. Mehrere Medien stellten fest, dass Lykkes Kommunikation in diesem Zeitraum aktiv irreführend war — den Nutzern wurde gesagt, die Plattform habe "technische Schwierigkeiten" anstelle eines Sicherheitsvorfalls.

Folgen

  • Lykke stoppte den Handel am 6. Juni und nahm den normalen Betrieb nicht wieder auf.
  • Das Unternehmen schloss später im Jahr 2024 und wickelte das Geschäft effektiv ab.
  • Das britische Finanzministerium schrieb den Angriff in einer sanktionsbezogenen Offenlegung etwa ein Jahr später formell der Lazarus Group zu.
  • Keine öffentlichen Rückgewinnungen aus den Wallets des Angreifers.

Warum es wichtig ist

Der Vorfall bei Lykke veranschaulichte zwei sich überschneidende Versäumnisse, die bei kleinen bis mittelgroßen CEXs üblich sind:

  1. Hot-Wallet-Hygiene, die nicht zum operativen Profil eines ernsten Gegners passt. Lazarus wählt Ziele nicht nach Größe; sondern nach Leichtigkeit der Kompromittierung. Lykke hatte Berichten zufolge minimale HSM-isolierte Signatur-Infrastruktur für eine Börse seiner Größe, was sie zu einem vergleichsweise weichen Ziel machte.
  2. Offenlegungsversäumnis als sekundärer Einbruch. Einen Sicherheitsvorfall 48 Stunden lang vor Kunden zu verbergen — während Angreifer die gestohlenen Mittel wuschen — gibt dem Angreifer das maximal mögliche Zeitfenster, um Erlöse in nicht nachverfolgbare Formen umzuwandeln. Schnelle öffentliche Offenlegung ist selbst eine defensive Maßnahme, sowohl weil sie börsenkoordinierte Sperren auslöst als auch weil sie community-geführte On-Chain-Forensik aktiviert.

Lykke ist das kleinere Spiegelbild des größeren Musters von 2024-2025: eine unterbestückte Börse, ein gut ausgestatteter staatlich angegliederter Angreifer, eine langsame öffentliche Reaktion und eine schließliche vollständige Schließung.

Quellen & On-Chain-Belege

  1. [01]dlnews.comhttps://www.dlnews.com/articles/defi/little-known-crypto-exchange-suffers-22-million-dollar-hack/
  2. [02]cryptonews.comhttps://cryptonews.com/news/british-exchange-lykke-loses-22-million-in-cyberattack/
  3. [03]ccn.comhttps://www.ccn.com/news/technology/north-korea-lazarus-lykke-crypto-heist/

Verwandte Einträge