Für die Strafverfolgung ist es eine Herausforderung, illegale Aktivitäten, die über digitale Währungen durchgeführt werden, aufzuspüren und zu verfolgen. Der Prozess kann sehr zeit- und ressourcenintensiv sein. Darüber hinaus erfordert die Sicherstellung von Anklagen und Festnahmen sowie anschließenden Verurteilungen häufig die starke Unterstützung traditioneller Beweisquellen, wie z. B. Zeugenaussagen und elektronische Kommunikation. Dennoch ist die Blockchain-Analyse eine Schlüsselkomponente für die Fähigkeit der Regierung, solche Fälle zu verfolgen.
Am 12. März befand eine Jury des US-Bezirksgerichts für den District of Columbia Roman Sterlingov wegen Geldwäsche-Verschwörung, sogenannter „Sting“-Geldwäsche, Betrieb eines nicht lizenzierten Geldtransfergeschäfts und Verstößen gegen das DC Money für schuldig Sendergesetz. Wir haben hier über die erste Strafanzeige gegen Sterlingov gebloggt. Sterlingov hat angeblich 400 Millionen US-Dollar über Bitcoin Fog gewaschen, einen Bitcoin-Mischdienst, der dazu genutzt werden kann, die Ursprünge von Kryptowährungstransaktionen zu verschleiern.
Kurz vor dem Prozess und den Schuldsprüchen erließ das Gericht einen Beschluss, der sich mit der Zulässigkeit von Expertenaussagen im Zusammenhang mit Blockchain-Analysesoftware unter den in der Entscheidung des Obersten Gerichtshofs festgelegten Faktoren befasste Daubert gegen Merrell Dow Pharmaceuticals, Inc. um die Zuverlässigkeit von Sachverständigenaussagen gemäß Federal Rule of Evidence 702 zu beurteilen. Dieser Blogbeitrag konzentriert sich auf diese Anordnung.
Insbesondere befasste sich das Gericht mit der proprietären Software Chainalysis Reactor („Reactor“), die von der privaten Forensikfirma für digitale Vermögenswerte Chainalysis verwendet wird, und mit der Frage, ob Expertenaussagen von Zeugen der Regierung – Luke Scholl („Scholl“) vom FBI und Elizabeth Bisbee – vorliegen („Bisbee“) von Chainalysis – konnte sich auf Reactor verlassen Daubert. Reactor ist eine Software zur Analyse von Bitcoin-Transaktionen, die Techniken wie die Co-Spend-Analyse nutzt, um mehrere Adressen zu einer einzigen Entität zu verbinden. Die Verteidigung äußerte erhebliche Bedenken hinsichtlich der Zuverlässigkeit von Reactor.
Das Gericht hielt die Sachverständigenaussage für zulässig Daubert. Wichtig ist, dass das Gericht auch feststellte, dass Reactor zwar wichtig für den Fall der Regierung war, aber nicht die einzige Grundlage für die Theorien der Staatsanwaltschaft darstellte. Auch andere Beweise, etwa in Sterlingovs Besitz gefundene Materialien, Beiträge in Online-Foren, IP-Analysen und die traditionelle Blockchain-Rückverfolgung, stützten die Anklage.
Die Entscheidung des Gerichts hat möglicherweise erhebliche Auswirkungen auf zukünftige Fälle, in denen es um Kryptowährungstransaktionen und Straftaten im Zusammenhang mit digitalen Währungen geht. Es schafft einen Präzedenzfall hinsichtlich der potenziellen Zulässigkeit von Beweisen, die aus solchen Softwaretools stammen, und unterstreicht die sich entwickelnden Herausforderungen und Komplexitäten bei der Untersuchung von Finanzkriminalität im digitalen Zeitalter.
Bitcoin und Reaktor
Bitcoin ist für Transaktionen auf kryptografischen Schutz und ein Peer-to-Peer-Netzwerk angewiesen. Vereinfacht ausgedrückt beinhalten Bitcoin-Transaktionen eine Sendeadresse, eine Empfangsadresse und einen privaten Verschlüsselungsschlüssel. Diese Transaktionen werden in der Blockchain, einem dezentralen und öffentlichen Hauptbuch, aufgezeichnet. Jeder Adresse ist ein öffentlicher Schlüssel zugeordnet, der von einem privaten Schlüssel abgeleitet ist, wobei Transaktionen eine Kette bilden, die durch digitale Signaturen verifiziert werden kann. Wenn eine Transaktion stattfindet, muss sie den Bitcoin-Betrag, die Sende- und Empfangsadresse sowie den öffentlichen Schlüssel des Absenders enthalten. Die Experten der Regierung nutzten in diesem Fall Reactor, um über 900.000 Adressen zu identifizieren, die mit Bitcoin Fog in Verbindung stehen, und verfolgten erhebliche Mengen an Bitcoin-Transaktionen von und nach Sterlingov sowie zu mehreren Darknet-Marktseiten.
Wie das Gericht erklärte, arbeitet Reactor mit drei primären Heuristiken. Eine „Heuristik“ bezieht sich auf eine Rechenfunktion oder -technik, die zur Lösung von Problemen oder zur Entscheidungsfindung auf der Grundlage verfügbarer Informationen verwendet wird. Im Wesentlichen handelt es sich dabei um eine Methode, um eine Lösung zu finden, die vielleicht nicht perfekt, aber praktisch und effizient ist. Heuristiken werden verwendet, um Kryptowährungsadressen zu gruppieren, indem Muster oder Merkmale in den Blockchain-Daten identifiziert werden, die darauf hindeuten, dass sie von derselben Entität kontrolliert werden. Diese Heuristiken helfen dabei, Beziehungen zwischen Adressen zu identifizieren und sie bestimmten Entitäten oder Aktivitäten zuzuordnen. Dies ist im Hinblick auf die Rückverfolgung von entscheidender Bedeutung, da das Wissen, dass eine Krypto-Transaktion eine bestimmte Adresse beinhaltet, keine konkreten Rückschlüsse zulässt WHO ist mit dieser Adresse verknüpft.
Die erste Heuristik, bekannt als Heuristik 1, basiert auf der Co-Spend- oder Common-Spend-Funktion der Blockchain, bei der mehrere Eingabeadressen in einer einzigen Transaktion verwendet werden. Diese Heuristik geht davon aus, dass mehrere Adressen, die eine einzelne Transaktion finanzieren, von einer einzigen Entität kontrolliert werden, da die gemeinsame Nutzung privater Schlüssel zwischen verschiedenen Entitäten höchst unwahrscheinlich ist.
Die zweite Heuristik, Heuristik 2, beobachtet und verfolgt spezifische Verhaltensweisen und Muster in der Kette, die für einzelne Entitäten einzigartig sind, und ermöglicht die Clusterung von Adressen basierend auf diesen Mustern.
Die dritte Heuristik, Heuristik 3, nutzt Off-Chain-Informationen aus Quellen wie Datenlecks, Gerichtsdokumenten und Austausch, um Adressen bestimmten Entitäten zuzuordnen.
Rechtliche Standards
Regel 702 regelt die Zulassung von Sachverständigengutachten. Zu den Kriterien gemäß Regel 702 gehört der Nachweis, dass die Kenntnisse des Sachverständigen dem Sachverständigen dabei helfen, die Beweise zu verstehen oder einen strittigen Sachverhalt festzustellen; Sicherstellen, dass die Aussage auf ausreichenden Fakten oder Daten basiert; die Bestätigung der Aussage beruht auf zuverlässigen Grundsätzen und Methoden; und Sicherstellen, dass das Gutachten des Sachverständigen eine zuverlässige Anwendung dieser Grundsätze und Methoden auf den Sachverhalt des Falles widerspiegelt.
Unter DaubertZu den vier flexiblen Faktoren zur Beurteilung der Zuverlässigkeit von Expertenaussagen gehören: ob die Theorie oder Technik des Experten getestet wurde; einer Peer-Review und Veröffentlichung unterzogen; weist eine bekannte oder potenzielle Fehlerquote auf; und hat in der relevanten wissenschaftlichen Gemeinschaft Akzeptanz gefunden.
Zuverlässigkeit gemäß Regel 702(c)
Die Anfechtung der Zuverlässigkeit von Reactor durch die Verteidigung konzentrierte sich auf Regel 702(c) und machte geltend, dass Reactor nicht einer Peer-Review unterzogen worden sei und keine bekannte Fehlerquote aufweise. Folglich ist jede auf Reactor basierende Aussage nicht das „Produkt verlässlicher Prinzipien und Methoden“. Trotz der Bedenken der Verteidigung befand das Gericht, dass die Zuverlässigkeit von Reactor durch ausreichende bestätigende Beweise gestützt wurde.
Das Gericht verwies auf Scholls umfangreiche Erfahrung als Cybersicherheitsspezialist beim FBI und seine derzeitige Rolle als leitender Rückverfolgungsanalyst für das National Cryptocurrency Enforcement Team des Justizministeriums. Scholl beschrieb in verschiedenen Untersuchungen detailliert seinen umfangreichen Einsatz von Reactor seit 2016 und attestierte dessen hohe Zuverlässigkeit anhand realer Anwendungen. Konkret erläuterte Scholl, wie die Clusterbildung von Reactor routinemäßig durch rechtliche Verfahren, wie etwa Vorladungen an Börsen, validiert wurde. Er beschrieb einen systematischen Prozess, bei dem die Zuordnung von Bitcoin-Adressen durch Chainalysis konsistent mit den Börsenaufzeichnungen abgeglichen wurde und dadurch die Clustering-Genauigkeit von Reactor bestätigt wurde. Laut Scholl unterstreicht diese Validierung, die täglich in der Blockchain-Analyse erfolgt, die Zuverlässigkeit von Reactor bei der Zuordnung von Adressen zu bestimmten Entitäten oder Aktivitäten.
In ähnlicher Weise betonte Bisbee, gestützt auf ihre früheren Erfahrungen bei der Drug Enforcement Agency und aktuelle Erfahrungen bei Chainalysis, die konsistente Clustering-Genauigkeit von Reactor über zahlreiche Untersuchungen hinweg. Laut Bisbee sind die Ergebnisse von Reactor aufgrund seines konservativen Ansatzes tendenziell nicht inklusiv, was seine Zuverlässigkeit durch den eher vorsichtigen Ansatz unterstreicht.
Die Regierung lieferte eine zusätzliche Bestätigung der Zuverlässigkeit von Reactor und verwies auf die Überprüfung der geclusterten Adressen durch einen vertraulichen kooperierenden Angeklagten. Diese Überprüfung ergab eine Genauigkeitsrate von 99,9146 %, was die Effektivität von Reactor bei der Adresszuordnung bestätigt.
Darüber hinaus wurde die Leistung von Reactor in diesem Fall durch verdeckte Transaktionen mit Bitcoin Fog validiert, bei denen Reactor Adressen korrekt zuordnete, was durch eine von Scholl durchgeführte manuelle Nachverfolgung bestätigt wurde. Diese sorgfältige manuelle Nachverfolgung diente als konkrete Bestätigung der Clustering-Genauigkeit von Reactor und untermauerte seine Zuverlässigkeit in praktischen Ermittlungsszenarien.
Das Gericht stellte fest, dass die Zuverlässigkeit von Reactor durch die von der Verteidigung vorgelegten Beweise weiter untermauert wurde. Sterlingovs vorgerichtliche Aussage, in der er die Genauigkeit von Reactor bei der Verknüpfung von Bitcoin Fog mit seinen Konten bestätigte, stimmte mit den Erkenntnissen der Regierung überein und untermauerte die Zuverlässigkeit von Reactor weiter. Schließlich stellte das Gericht fest, dass die Verteidigung von der Regierung umfassende Informationen über die Funktionsweise von Reactor erhalten hatte und Gelegenheit hatte, die Ergebnisse zu überprüfen.
Analyse von Daubert Faktoren
In einer detaillierten Analyse ging das Gericht auf das Argument der Verteidigung ein, dass die Reactor-Software die Anforderungen nicht erfüllte Daubert Faktoren. Das Gericht betonte, dass die Daubert Faktoren sind keine endgültige Checkliste und die Feststellung der Zuverlässigkeit liegt im Ermessen des Richters. Letztendlich hielt das Gericht die von der Regierung vorgelegten Sachverständigenbeweise für zulässig und betonte dabei die Rolle des Kreuzverhörs und möglicherweise gegenteiliger Beweise der Verteidigung.
Bezüglich des ersten Faktors kam das Gericht zu dem Schluss, dass das Clustering von Reactor getestet werden kann und wurde, und führte Beispiele manueller Nachverfolgung und Verwendung von Konkurrenzsoftware an, die zu ähnlichen, aber leicht unterschiedlichen Ergebnissen führten, was die Testbarkeit der Methodik von Reactor bestätigte.
Was den zweiten Faktor anbelangt, der Peer-Review und Veröffentlichung berücksichtigt, räumte das Gericht ein, dass Reactor selbst keinem Peer-Review unterzogen wurde. Dennoch betonte das Gericht die breite akademische Zustimmung zu den zugrunde liegenden Techniken und verwies insbesondere auf die akademische Anerkennung der Co-Spend-Heuristik von Reactor. Darüber hinaus stellte das Gericht fest, dass die einzigartigen, auf bestimmte Fälle zugeschnittenen Algorithmen von Reactor natürlich nicht zum traditionellen Modell der Peer-Review passen würden.
Bezüglich des dritten Faktors, der sich auf die Fehlerquote der Methode konzentrierte, stellte das Gericht fest, dass Reactor aufgrund seines konservativen Ansatzes zwar keine kompilierte Fehlerquote aufweist, das Gericht jedoch das Fehlen falsch positiver Ergebnisse betonte, was durch die Clusterung von Ergebnissen anderer Methoden bestätigt wurde.
Schließlich bewertete das Gericht den vierten Faktor, der die allgemeine Akzeptanz in der wissenschaftlichen Gemeinschaft berücksichtigt. Das Gericht unterstrich die weit verbreitete Einführung von Blockchain-Tracing-Tools wie Reactor sowohl im Strafverfolgungs- als auch im Unternehmensbereich und verwies auf Chainalysis als ein branchenübliches Standardtool, das von verschiedenen Regierungsbehörden und Finanzinstituten verwendet wird.
[View source.]