Wie dieser millionenschwere Krypto-Hacker auch ein Jahr später weiterhin frei auszahlen kann

Am 31. Oktober 2025 transferierte der Radiant-Angreifer etwa 5.411,8 ETH zu Tornado Cash, ein Vorgang im Wert von rund 20,7 Millionen US-Dollar.

Neun Tage zuvor hatte derselbe Cluster etwa 2.834,6 ETH, entsprechend 10,8 Millionen US-Dollar, bewegt, nachdem die Gelder kettenübergreifend und durch Swaps vor dem Mixer gestaged wurden.

Keiner der beiden Transfers wirkte überstürzt. Beide sahen nach einem vorsichtigen Betreiber aus, der Liquidität und Compliance-Timing testete und Einzahlungen in gängige Tornado-Denominationen aufteilte, die günstig zu mischen und mühsam nachzuverfolgen sind.

Wie der Radiant-Hack ablief

Die Geschichte von Radiant beginnt am 16. Oktober 2024, als seine Lending Pools auf Arbitrum und BNB Chain um etwa 50 Millionen bis 58 Millionen US-Dollar geleert wurden. Frühe technische Post-Mortems kamen zu einem einfachen, aber verheerenden Punkt.

Der Vorfall war auf einen operativen Kompromiss zurückzuführen, bei dem Schlüsselinhaber und Genehmigungen es einem Angreifer ermöglichten, bösartige Transaktionen durch einen Multi-Signatur-Prozess zu schleusen. Sicherheitsfirmen beschrieben, dass Unterzeichner dazu gebracht wurden, die falschen Aufrufe zu genehmigen.

Das Projekt hatte ein Drei-von-Elf-Schema für sensible Aktionen. Diese breite Unterzeichnergruppe verbesserte die Verfügbarkeit, vergrößerte aber auch die Angriffsfläche für Gerätekompromittierung und Social Engineering. Analysen von Halborn und anderen rekonstruierten, wie Genehmigungen und Gerätesicherheit Fenster schufen, die der Angreifer ausnutzte, während Radiants eigene Vorfall-Updates den Zeitrahmen und das Ausmaß festlegten.

Spätere Berichte deuteten darauf hin, dass eine staatlich unterstützte Gruppe sich durch Identitätsdiebstahl Zugang verschaffte – eine Behauptung, die Radiant nach Abklingen des Vorfalls bestätigte.

CryptoSlate berichtete damals über die Folgen aus der Perspektive eines Kriminalitätstrends. Der Bericht stellte fest, dass die Gesamtschäden durch Exploits im Oktober auf etwa 116 Millionen US-Dollar sanken und dass der Radiant-Vorfall fast die Hälfte dieses monatlichen Betrags ausmachte, was einen überproportionalen Anteil des Schadens an einer Stelle konzentrierte.

Diese Einordnung ist wichtig, weil sie zeigt, wie ein einziger kettenübergreifender Angriff das Risikoprofil eines Monats erheblich beeinflussen kann, selbst wenn das Gesamtumfeld ruhig erscheint.

Was im folgenden Jahr geschah, setzte das heute sichtbare Muster. Gelder wurden aus L2s abgezogen und über Bridges zurück zu Ethereum transferiert, wo die Liquidität am größten ist. Swaps konsolidierten die Guthaben in ETH, um den Mixing-Prozess vorzubereiten.

Die Tranche vom 22.–23. Oktober 2025 liefert ein klares Beispiel. CertiK markierte 2.834,6 ETH in Tornado-Einzahlungen und stellte fest, dass 2.213,8 ETH über die Arbitrum-Bridge von EOA 0x4afb kamen, der Rest stammte aus DAI-Konvertierungen.

Die Welle vom 31. Oktober erhöhte die laufende Summe um weitere 5.411,8 ETH, mit modularen Einzahlungen, die den Tornado-Pool-Normen entsprechen. Die Kette ist öffentlich, der Weg vorhersehbar, und die Anreize fördern Geduld statt Spektakel.

Was die neuen Geldwäsche-Wellen offenbaren

Die jüngsten Mixer-Aktivitäten lesen sich wie eine Strategie des langsamen Ausblutens statt eines einzigen Exits. Bridge-Hops von Arbitrum oder BNB Chain bringen Guthaben in die tiefsten Pools auf dem Mainnet. DEX-Rotationen stellen das Inventar in ETH für die effizientesten Tornado-Einträge bereit.

Das Batching in Standard-Denominationen zerlegt den öffentlichen Graphen in Fragmente, deren Zusammenführung teuer ist. Compliance-Teams sehen trotzdem viel. Sie clustern Adressen anhand gemeinsamer Gas-Muster und Zeitfenster, ordnen Einzahlungen den Auszahlungsfenstern zu und achten auf verräterische Peel-Chains, die klein beginnen, sich weit verzweigen und dann in der Nähe eines Zielorts aggregieren.

Die Herangehensweise ist pragmatisch, weil das rechtliche Umfeld Pragmatismus belohnt. Gerichte haben die weitreichendsten Theorien der Regierung zur Sanktionierung dezentraler Software eingeschränkt. Staatsanwälte haben in verschiedenen Fällen im Zusammenhang mit Mixern gewonnen und verloren.

Das Ergebnis ist eine Grauzone, in der Privacy-Tools weiterhin funktionieren und Börsen auf verhaltensbasierte Kontrollen statt pauschale Labels setzen. Ermittlungen fangen weiterhin Exits ab. Die Reibung verlagert sich nur von der Software auf den Prozess.

Für Nutzer und Entwickler ist die Lektion konkret. Designentscheidungen haben finanzielle Folgen. Bridges und Router konzentrieren Wert und Ausfallmodi – genau deshalb nutzen Angreifer sie beim Abzug. Multi-Chain-Apps erfordern Routine für Stopps, Allowlist-Änderungen und Liquiditäts-Snapshots, statt Improvisation in der Stunde nach einem Angriff.

Radiants Dokumentation zeigt, wie die Reaktion im Laufe der Zeit straffer wurde. Die Kosten dieser Lernkurve waren real, weil der Angreifer die Initiative hatte. Die aktuellen Flüsse durch Tornado Cash sind das Ende derselben Verteilung.

Der Betreiber bewegt sich weiter, weil die Schienen weiterhin funktionieren. Die richtige Antwort sind gehärtete Verfahren für Schlüsselinhaber, engere Genehmigungen, Echtzeit-Bridge-Monitoring und eine Kultur, die Signer-Geräte wie Kronjuwelen behandelt.

Der Radiant-Angreifer wird wahrscheinlich weiterhin dasselbe Vorgehen anwenden, bis sich die Bedingungen ändern. Weitere Tornado-Einzahlungen werden in bekannten Größen erfolgen. Weitere Bridge-Aktivitäten werden von Adressen erscheinen, die mit den Pfaden vom Oktober 2024 verbunden sind. Ein sauberer Exit wird schließlich eine regulierte Plattform erreichen, und Desks werden Timing und Heuristiken gegen Kundenerzählungen abwägen.

Die Konsequenz für den Markt ist vorhersehbar. Jeder geduldige Exit wie dieser verringert das Vertrauen in kettenübergreifende Abstraktionen und drängt Teams dazu, nicht nur Code, sondern auch Abläufe zu prüfen. Nutzer jagen Renditen über Netzwerke hinweg, weil sich die Erfahrung nahtlos anfühlt. Die geschicktesten Diebe wissen genau, wo diese Naht verborgen ist.

Der Beitrag How this millionaire crypto hacker continues to freely cash out a year later erschien zuerst auf CryptoSlate.