Der achte Februar 2022 ist in die Geschichte des US-Justizministeriums eingegangen. Behörden konnten rund 3,6 Milliarden US-Dollar in Bitcoin beschlagnahmen, die bereits 2016 bei einem massiven Hack im Jahr 2016 von der Kryptobörse Bitfinex gestohlen wurden.

Die Ankündigung der Bundespolizei und der Staatsanwaltschaft enthüllte ein sechsjähriges Schachspiel, um die Schuldigen hinter dem Diebstahl von 119.754 Bitcoin von der Kryptowährungsbörse Bitfinex zu finden. Die Erlöse – damals 72 Millionen, heute 4,5 Milliarden US-Dollar wert – wurden von den Konten von einzelnen Usern in eine einzige Krypto-Wallet umgeleitet.

„Kryptowährung kein sicherer Hafen für Kriminelle“

„Die heutigen Verhaftungen und die bisher größte finanzielle Beschlagnahmung der Abteilung zeigen, dass Kryptowährung kein sicherer Hafen für Kriminelle ist“, sagte die stellvertretende Generalstaatsanwältin Lisa O. Monaco in einer offiziellen Stellungnahme. „In dem vergeblichen Versuch, die digitale Anonymität zu wahren, haben die Angeklagten gestohlene Gelder durch ein Labyrinth von Kryptowährungstransaktionen gewaschen. Dank der akribischen Arbeit der Strafverfolgungsbehörden hat das Department wieder einmal gezeigt, wie es das Geld verfolgen kann und wird, egal in welcher Form es auftaucht.“ Der 34-jährige Ilya Lichtenstein und seine Frau Heather Morgan, 31, beide aus New York wurden als die vermeintlichen Täter ausgeforscht und verhaftet.

Man kann nicht sagen, dass die Krypto-Diebe unvorsichtig waren: Jahrelang blieb der Großteil des entwendeten Geldes in der Wallet unberührt. Doch als es langsam aus dem Portemonnaie in das herkömmliche Bankensystem verschwand, konnten die Ermittler die Transaktionen zu Personen in der realen Welt zurückverfolgen.

So begann die Bitfinex-Odyssee

Zu den Anfängen: Nicht lange nach dem Auftauchen von Bitcoin wurden Stimmen laut, dass sich die Kryptowährung zu einem Werkzeug für Drogendealer oder Steuerhinterzieher entwickeln würde. Es war und ist das dezentrale und unregulierte Wesen der Währung, das für Viele den Reiz darstellt. Genau diese Eigenschaften machen Bitcoin allerdings auch anfällig. Wie zum Beispiel 2014 als die erste Bitcoin-Börse Mt. Gox nach einem Hack zusammenbrach und Diebe 500 Millionen US-Dollar in Kryptowährung entwenden konnten.

Zwei Jahre später startete der Krypto-Coup, der bald als Doku-Reihe auf Netflix zu sehen sein wird. Durch eine Sicherheitslücke wurden damals rund 2.000 Transaktionen von Accounts anderer User genehmigt. Mit dem Ergebnis, dass Bitcoins auf eine einzige Wallet verschickt wurden. Damals im Wert von 72 Millionen US-Dollar.

Als dann Anfang 2017 kleine Geldbeträge die Wallet über Alphabay verließen, einer „Currency Exchange“, die im Dark Net häufig für den Handel mit Waffen und Drogen genutzt wurde, schien es so, als ob die Spur des Geldes auf der Blockchain kalt werden würde. So die Befürchtung der Ermittler. Allerdings kam es noch im selben Jahr zur Schließung der Plattform, was die Täter veranlasste, das Geld über den russischsprachigen Marktplatz Hydra zu leiten.

Drei Jahre später schoss der Bitcoin-Wert in die Höhe und die Geldwäscher setzten auf „Coinjoin“, eine Art von Transaktion, und griffen dabei auf die „Wasabi Wallet“ zurück. Eine „Geldbörse“, die dazu entwickelt wurde, um eine Rückverfolgung in der Blockchain zu verhindern.

„Labyrinth von Kryptowährungstransaktionen“

Laut der stellvertretenden Generalstaatsanwältin der USA, Monaco, nutzten Liechtenstein und Morgan diese Darknet-Dienste in Verbindung mit einer Reihe komplizierter Manöver, die einem „Labyrinth von Kryptowährungstransaktionen“ gleichkamen. Einschließlich der Eröffnung von Konten unter falschen Namen und der Verschiebung von Geldern in Tausenden von kleinen, separaten Transaktionen, die per Computer automatisiert wurden, um unter dem Radar der Finanzaufsichtsbehörden durchzukommen.

Denn, es gelangten Gelder auf traditionellere Finanzkonten der beiden Verdächtigen, die das Geld für Gold, NFTs und Walmart-Geschenkkarten ausgaben oder Uber-Dienste und eine Playstation bezahlten, wie aus den Anklagedokumenten hervorgeht. Eine riesige Menge an Bitcoin – im Wert von mehreren hundert Millionen Dollar – wurde in „echtes Geld“ umgewandelt. Rund 80 Prozent des Geldes, das nach dem Hack in die ursprüngliche Krypto-Wallet eingezahlt wurde, blieb dort aber bis zum 31. Januar.

Das Imperium schlägt zurück…

Während die Täter also verschiedene Techniken nutzten, um das Geld zu verschieben, wachten die Behörden in den USA langsam auf. Kryptowährungsbörsen mit Sitz in den USA fielen in den Zuständigkeitsbereich des Finanzministeriums, das von ihnen verlangte, Anti-Geldwäsche-Programme (AML) und KYC-Protokolle (Know-Your-Customer) zu erstellen, um anonymen Nutzern den Geldtransfer zu erschweren.

Zwischenzeitlich entwickelten Kryptoforscher und Programmierer Tracking-Tools. TRM Labs zum Beispiel erfand ein Werkzeug zur Bekämpfung von „Chain-Hopping“, einer Reihe von Aktionen, bei denen Geldwäscher schnell Gelder über verschiedene Blockchains verschieben (wie die Umwandlung von Bitcoin in Ethereum in Solana).

Elliptic hat in ähnlicher Weise automatisierte Verfolgungstechniken entwickelt, um Geld über „Peeling Chains“ zu verfolgen, bei denen Kryptowährungen durch eine Vielzahl von Adressen geleitet werden.

Protokolle brachten Bitfinex-Fall ins Rollen

Doch der eigentliche Clou, der schlussendlich zum Erfolg führen sollte, lag in der „Exekutierung“ von Alphabay. Jene gab Strafverfolgungsbehörden Zugang zu den internen Transaktionsprotokollen des Dienstes, was den Beamten half, einen konkreten Konnex zwischen der mit dem Hack von 2016 verbundenen Wallet und den gewaschenen Konten herzustellen.

Nachdem dieser Schachzug möglich geworden ist, haben Beamte, Verbindungen zwischen den kleineren Shell-und den Bankkonten finden können, die Lichtenstein und Morgan gehörten. Durch einen Durchsuchungsbefehl für ein Cloud-Speicherkonto, das dem 34-Jährigen gehörte, fanden Ermittler dort eine Liste von Wallet-Adressen, die mit dem Hack in Verbindung standen, sowie deren Passwörter. In einer dieser Wallets befand sich schließlich der Großteil des gestohlenen Vermögens: 94.000 Bitcoins. Mit Lichtensteins Passwörtern in der Cloud verschafften sich die Jäger Zugang zu dem Konto und beschlagnahmten das Geld.

Eine Warnung an Kryptokriminelle

Dieser Ermittlungserfolg hat eine enorme Bedeutung. Nicht nur, dass man zwei Kriminellen Jahre nach ihrem Coup auf die Schliche gekommen ist – man hat ein Beispiel geschaffen, dass Kryptowährungsdelikte durchaus strafbar verfolgbar sind, wie auch „Assistant Attorney General“ Kenneth A. Polite Jr. von der Strafabteilung des US-Justizministeriums betont.

Er sagt: „Heute zeigt die Strafverfolgung auf Bundesebene einmal mehr, dass wir Geld über die Blockchain verfolgen können und dass wir nicht zulassen werden, dass Kryptowährungen ein sicherer Hafen für Geldwäsche oder eine Zone der Gesetzlosigkeit innerhalb unseres Finanzsystems werden. Die heutigen Verhaftungen zeigen, dass wir entschlossen gegen diejenigen vorgehen werden, die angeblich versuchen, virtuelle Währungen für kriminelle Zwecke zu nutzen.“

Auch Finanzexperte Niko Jilch scheint einen kleinen Paradigmenwechsel in Sachen Kryptokriminalität zu sehen, wenn er sagt: „Die Geschichte ist verrückt und wir werden noch viel davon hören. Es zeigt aber auf jeden Fall: Die Nachvollziehbarkeit von Bitcoin-Transaktionen ist bei der Strafverfolgung ein großer Vorteil. Kriminelle werden sich zweimal überlegen, ob sie Bitcoin wirklich nutzen wollen.“