Waar is de $650 miljoen van de Ronin hack?

Eind maart werd bekend dat er een half miljard euro aan ethereum en USDC munten is buitgemaakt bij een hack van het Ronin netwerk. Het Ronin netwerk is van het Axie Infinity (Axie Infinity stuk digitaal land verkocht voor $2,5 miljoen ) project en is gemaakt zodat gebruikers makkelijk ether van het ethereum netwerk kunnen gebruiken tijdens het spelen van Axie Infinity. Dit omwisselen van coins op verschillende blockchains wordt ‘Bridgen’ genoemd, dit is omdat er sprake is van een brug tussen twee netwerken. In het verleden is er al vaak kritiek geweest op bridges vanwege de veiligheidsrisico’s die ze met zich meebrengen (Crypto Bridge Hacks Have Stolen $1 Billion in Little Over a Year). De Ronin hack laat zien dat de kritiek niet onterecht is.

Op 14 april wees het Amerikaanse Office of Foreign Assets Control (OFAC) de Noord-Koreaanse hackersgroep ‘Lazarus’ aan als de dader van de hack (North Korea’s Lazarus Group Identified as Exploiters Behind $540 Million Ronin Bridge Heist). Deze groep bestaat uit individuen en wordt gestuurd door Noord-Korea. De meest bekende aanval van de Lazarus groep is waarschijnlijk de Wannacry ransomware-aanval in 2017 (WannaCry ransomware has links to North Korea, cybersecurity experts say), bij deze aanval werden Windows-computers geïnfecteerd met ransomware die bestanden op de computer versleutelde. Slachtoffers kregen het bericht te zien dat ze voor 300 dollar in bitcoin hun bestanden weer terug konden kopen. Na het overmaken van het bitcoinbedrag werden de bestanden echter niet vrijgegeven.

Een half miljard als buit, wat nu?

Elliptic, een bedrijf dat de blockchain analyseert laat weten dat er op 14 april 18% van de buit is witgewassen, ofwel verdwenen. Het ether bedrag dat is gestolen is na de hack overgemaakt naar een ethereum-wallet die vervolgens op een internationale sanctielijst is gezet. Dit betekent dat veel grote partijen zoals exchanges geen transacties aannemen die afkomstig zijn of een link hebben met het ethereum adres dat op de sanctielijst staat. Om toch iets met de buit te kunnen zullen de hackers dus manieren moeten vinden om de sporen van hun buit uit te wissen. TornadoCash speelt hierbij een belangrijke rol. Dit is een smart-contract dat ETH stortingen accepteert die vervolgens opgenomen kunnen worden door een ander adres. Dit adres hoeft geen ETH te bezitten waardoor de opname niet gelinkt kan worden aan de storting, hierdoor wordt volledige privacy verzekert (Tornado.Cash.)

Op de etherscan (https://etherscan.io/address/0xa0e1c89Ef1a489c9C7dE96311eD5Ce5D32c20E4B) is de activiteit en de balans te zien van de adressen die op de internationale sanctielijst staan. Op de etherscan is ook te verifiëren dat een deel van de buit al succesvol is witgewassen omdat het volledige bedrag niet is terug te vinden. TornadoCash heeft ondertussen de adressen van de sanctielijst die worden toegeschreven aan de hack geblokkeerd op TornadoCash:

Tornado Cash uses @chainalysis oracle contract to block OFAC sanctioned addresses from accessing the dapp.
Maintaining financial privacy is essential to preserving our freedom, however, it should not come at the cost of non-compliance.https://t.co/tzZe7bVjZt

— 🌪️ Tornado.cash 🌪️ (@TornadoCash) April 15, 2022

Ze laten weten dat dat ze financiële privacy hoog in het vaandel hebben staan maar dat dit niet ten koste mag gaan van de financiële regelgeving. Dit is een slag voor de hackers omdat veruit het grootste gedeelte is witgewassen via TornadoCash. Via de etherscan kunt u zelf ook op de hoogte blijven van de reis die de buit maakt vanaf nu.