Balancer-Hacker wäscht 2.000 ETH über Tornado Cash

Der Balancer-Exploit nimmt eine neue Wendung. Der Angreifer hinter dem 117-Millionen-Dollar-Hack hat damit begonnen, große Mengen gestohlener Ethereum-Bestände über Tornado Cash zu waschen. Blockchain-Beobachter registrierten am 15. November eine neue Welle an Aktivitäten. Sie zeigt, dass der Balancer-Hacker innerhalb einer Stunde 2.000 ETH – rund 6,36 Mio. USD – in das Privacy-Protokoll verschoben hat. Dieser Schritt deutet klar darauf hin, dass der Angreifer jede Chance auf eine White-Hat-Einigung aufgegeben hat.

Hacker wandelt gestohlene Token um und startet Geldwäsche

In den vergangenen Tagen hat der Balancer-Hacker kontinuierlich ETH-Liquid-Staking-Token (LSTs) und andere Nicht-ETH-Assets gegen reines ETH getauscht. Diese Umwandlungsphase markierte eine entscheidende Verhaltensänderung. Sie signalisierte, dass sich der Angreifer auf einen Cash-out vorbereitete. Anstatt mit Balancer zu kommunizieren oder eine Einigung auszuhandeln.

Laut Monitoring-Accounts wurden inzwischen nahezu alle gestohlenen Token in ETH konsolidiert. Frühere Updates zeigten, dass der Balancer-Hacker rund 25.300 ETH kontrollierte – knapp 92 Mio. USD. Mit jedem weiteren Swap stiegen die Erwartungen, dass die Geldwäschephase bald beginnt. Jetzt ist es so weit.

Der Hacker nutzte Tornado Cash in Tranchen von jeweils 100 ETH pro Transaktion. Dutzende Einzahlungen wurden in schneller Folge on-chain verzeichnet. Sie überschwemmten den Tornado-Cash-Router mit neuen Zuflüssen. Jede Einzahlung enthielt geringe Gasgebühren – ein klar erkennbares, sorgfältig geplantes Verteilungsmuster zur Reduzierung der Nachverfolgbarkeit. Sobald die Mittel innerhalb von Tornado gemischt werden, ist ihre Wiederbeschaffung extrem schwierig.

Über 5.000 ETH verbleiben trotz gewaschener Beträge in Wallets

Obwohl bereits 2.000 ETH über Tornado Cash gewaschen wurden, hält die als „Balancer Exploiter 7“ markierte Wallet zum Zeitpunkt der Beobachtung noch mehr als 1.700 ETH. Frühere Bewegungen zeigten Zuflüsse aus anderen verbundenen Exploiter-Wallets. Das deutet auf eine koordinierte Vermögensverteilung über mehrere vom Angreifer kontrollierte Adressen hin.

Diese Multi-Wallet-Struktur ist bei großen Exploits üblich. Sie hilft Angreifern, Risiken zu streuen und die Nachverfolgung zu erschweren. Zudem bleiben andere hackbezogene Adressen aktiv. Sie senden ETH hin und her, bevor weitere Tranchen an Tornado Cash weitergeleitet werden. Diese Muster zeigen, dass der Waschvorgang in den kommenden Stunden und Tagen weitergehen dürfte.

Stakewise holt Teilbeträge zurück, doch der Hack bleibt gravierend

Anfang des Monats konnte Stakewise über einen Contract Call 5.041 osETH im Wert von knapp 19,3 Mio. USD vom Angreifer zurückholen. Dieser Teilerfolg reduzierte die Gesamtsumme der vom Balancer-Hacker entwendeten Vermögenswerte von 117 Mio. USD auf rund 98 Mio. USD. Dennoch wurden mehr als die Hälfte der gestohlenen Assets in ETH umgewandelt. Die beschleunigten Geldwäscheaktivitäten zeigen, dass der Angreifer kein Interesse mehr an einer möglichen Belohnung oder Rückgabe hat. Das unterscheidet den Fall klar von anderen prominenten Exploits, bei denen Angreifer bereit waren, zu verhandeln.

Community beobachtet, wie Tornado Cash zum Endspiel wird

Da der Angreifer nun aggressiv ETH über Tornado Cash wäscht, sieht die Community dies als die finale Phase des Balancer-Exploits. Sobald die ETH verteilt sind, wird die Spur praktisch kalt. Für Balancer und betroffene Nutzer bleiben nur wenige Optionen zur Wiedererlangung der Mittel. Ermittler werden die Muster weiter verfolgen. Doch aktuell scheint der Balancer-Hacker entschlossen, seine Gewinne mitzunehmen – eine 100-ETH-Transaktion nach der anderen.