Gestern Abend veröffentlichte das Justizministerium der Vereinigten Staaten von Amerika eine Mitteilung, die bekannt gab, dass es den Strafverfolgungsbehörden gelungen ist, knapp 94.000 BTC im Gegenwert von rund 3,6 Milliarden US-Dollar zu beschlagnahmen. Die Summe und zwei in diesem Zuge verhaftete Personen sollen in Verbindung mit dem Hack der Kryptowährungsbörse Bitfinex im Jahr 2016 stehen. Die Gesamtsumme des Hacks beläuft sich sogar auf etwa 4,5 Milliarden US-Dollar und zählt damit zu den größten Diebstählen in der Geschichte der Kryptowährungen, auch wenn der Gegenwert zum Zeitpunkt des Hacks nur rund 70 Millionen US-Dollar betrug.
Was war geschehen?
Im August des Jahres 2016 gelang es Angreifern in das System der relativ beliebten Kryptowährungsbörse Bitfinex einzudringen. Zum damaligen Zeitpunkt war Bitfinex die größte Dollar-basierte Krypto-Exchange der Welt. Die Hacker konnten anschließend mehr als 2000 nicht autorisierte Transaktionen initiieren und die gestohlenen BTC auf eine eigene Wallet transferieren. Damals wurde vermutet, dass ein neues Multi-Signaturverfahren von Bitfinex in Kooperation mit deren Partner BitGo die Schwachstelle des Hacks war. Dies ist jedoch bis heute unbestätigt und die genaue Vorgehensweise der Angreifer noch immer nicht bekannt.
New Yorker Ehepaar verhaftet
Bei den beiden verhafteten Personen handelt es sich laut der Gerichtsdokumente um den 34-jährigen Ilya Lichtenstein und seine drei Jahre jüngere Ehefrau, Heather Morgan. Das Ehepaar steht im Verdacht der (versuchten) Geldwäsche der insgesamt 119.754 BTC, die von der Plattform gestohlen wurden. In der Anklage wird Lichtenstein und Morgan vorgeworfen, zahlreiche ausgeklügelte Geldwäschetechniken angewandt zu haben, darunter die Verwendung fiktiver Identitäten zur Einrichtung von Online-Konten, die Nutzung von Computerprogrammen zur Automatisierung von Transaktionen, Einzahlung der gestohlenen Gelder auf Konten bei einer Vielzahl von Kryptowährungsbörsen und Darknet-Märkten und anschließende Abhebung der Gelder, wodurch die Spur des Transaktionsverlaufs verwischt wird, indem der Geldfluss unterbrochen wird. Auch die Umwandlung von Bitcoin in sogenannte "Privacy Coins" war eines der gewählten Mittel.
Im Laufe der vergangenen fünf Jahre gelang es den beiden über diese komplizierten Geldwäsche-Wege etwa 25.000 BTC in US-Dollar umzuwandeln und auf Bankkonten auszubezahlen, die in Besitz von Lichtenstein und Morgan waren. Die übrigen rund 94.000 BTC verblieben auf der Wallet.
Atypische Hacker
Ilya Lichtenstein und Heather Morgan sind in der Tat nicht das, was man sich unter "typischen Hackern" vorstellt, die im Besitz von Bitcoins im Wert von mehreren Milliarden US-Dollar sind und möglichst unter dem Radar der Öffentlichkeit leben. Besonders Morgan war für extravagante und ausgeflippte Auftritte in ihren eigenen Musikvideos (sie ist nebenberuflich Rapperin) sowie ihren Tiktok-Videos bekannt. Darüber hinaus war sie eine angesehene Speakerin, galt als Serien-Entrepreneurin und schrieb sogar für das renommierte Forbes-Magazin. Bei Twitter hat sie mehr als 20.000 Follower.
Tatsächlich ist auch noch nicht einwandfrei geklärt, ob es sich bei den beiden um die Hacker oder lediglich um die Geldwäscher handelt. Eigentlich ist nicht einmal genau bekannt, ob es überhaupt einen Hack im technischen Sinne gab. Da Morgan eine Expertin für sogenanntes "Social Engineering" ist und damals sogar mit BitGo über Sicherheitsstrategien diskutierte, könnten die beiden New Yorker auch anderweitig in Besitz der BTC gelangt sein. Dies wird im Zuge des anlaufenden Prozesses sicherlich bald geklärt werden können.
Zugriff der Strafverfolger
Durch jahrelange akribische Arbeit gelang es den US-Behörden letzten Endes doch, die verschleierten Geldwäsche-Wege nachzuverfolgen. Aber auch deutsche Kolleginnen und Kollegen waren an dem Fall beteiligt. Wie das US-Justizministerium mitteilte, half die Polizeiinspektion Ansbach ebenfalls bei den Ermittlungen.
Nachdem die Geldflüsse zu den Konten des besagten Ehepaares nachverfolgt werden konnten, beantragten und vollstreckten die Ermittler schließlich Durchsuchungsbefehle für die Wohnräume und Online-Konten der Verdächtigen. In diesem Zuge stießen die Spezialagenten der IRS-Criminal Investigations Cyber Crimes Unit auf in einem Cloud-Konto gespeicherte Dateien, welche die privaten Schlüssel für die Wallet mit den insgesamt 94.000 BTC enthielten.
Für Experten ist es wohl kaum nachzuvollziehen, wieso ein Verbrecher die Schlüssel für gestohlene Bitcoins in Milliarden-Wert auf einem Online-Konto und nicht etwa sicher und offline in physischer Form verwaltet. Gleichwohl war eben diese Tatsache ausschlaggebend für den Erfolg der Strafverfolger sowie die schlussendliche Beschlagnahmung der Gelder und Verhaftung von Lichtenstein und Morgan.
"Die heutigen Verhaftungen und die größte finanzielle Beschlagnahmung, die das Ministerium je durchgeführt hat, zeigen, dass Kryptowährungen kein sicherer Hafen für Kriminelle sind."
- Lisa O. Monaco, Generalstaatsanwältin
Den Angeklagten droht laut Aussagen des Justizministeriums eine Haftstrafe von 20 bis 25 Jahren wegen des Tatbestands der "Verschwörung zur Geldwäsche".
Was geschieht mit den gestholenen BTC?
Wie mit den beschlagnahmten BTC nun im Detail weiter verfahren wird, ist noch nicht genau bekannt. Ersten Berichten zufolge wird Bitfinex das Geld wohl zurückerhalten. Das Unternehmen selbst will das Geld nach eigenen Aussagen für den Rückkauf und das "Burning" des eigenen Token (UNUS SED LEO) verwenden.
"Wenn Bitfinex die gestohlenen Bitcoins wiedererlangt, wie im Whitepaper zu UNUS SED LEO beschrieben, wird Bitfinex innerhalb von 18 Monaten nach Erhalt der Wiedererlangung einen Betrag in Höhe von 80 % der wiedererlangten Nettogeldmittel für den Rückkauf und das Burning ausstehender UNUS SED LEO-Token verwenden. Diese Token-Rückkäufe können durch Transaktionen am offenen Markt oder durch den Erwerb von UNUS SED LEO im außerbörslichen Handel, einschließlich des direkten Handels von Bitcoin gegen UNUS SED LEO, erfolgen."
- Bitfinex