In Russland wird ein Kriminalfall untersucht, in dem es um eine enorme Menge Bitcoin geht, aber einige der Beweise für das Verbrechen scheinen von unbekannten Parteien an Krypto-Börsen verlagert zu werden, wie das Blockchain-Geheimdienstunternehmen Crystal Blockchain herausgefunden hat.
Die lange und verworrene Geschichte handelt von einem in Ungnade gefallenen Polizeibeamten in Moskau, gegen den ermittelt wird, weil er angeblich Bitcoin von Hackern erpresst hat, berichteten russische Medien im Juni.
Marat Tambiev, 35, ein mittlerer Beamter des russischen Untersuchungsausschusses, verhaftete im Januar 2022 mehrere Mitglieder der Infraud Organization, der berüchtigten russischen Cyberkriminellengruppe. (Zwei Mitglieder von Infraud wurden 2021 in den USA zu fünf bis zehn Jahren Gefängnis verurteilt, weil sie mit gestohlenen persönlichen Daten, Kreditkarteninformationen, Malware und anderen illegalen Gütern gehandelt hatten.)
Die in Moskau festgenommenen Hacker Tambiev, Mark und Konstantin Bergman und Denis Samokutyayevsky, zahlten laut der russischen Zeitung Kommersant angeblich ein Bestechungsgeld in Höhe von 1.032 BTC, damit Tambiev nicht alle ihre Kryptowährungen beschlagnahmte. Im Juni ließ ein anonymer russischsprachiger Telegram-Kanal ein Fragment eines Gerichtsdokuments durchsickern, aus dem hervorgeht, dass 1.032 BTC beschlagnahmt wurden, mit teilweise geschwärzten Blockchain-Adressen.
Die Hacker sagten jedoch aus, dass sie Tambiev mehr als doppelt so viel Krypto – 2.718 BTC – geschickt hätten, wie die Zeitung Arguments and Facts berichtete. Die Gelder seien über den Hacker-Anwalt Roman Meyer überwiesen worden, heißt es in der Veröffentlichung. Der höhere Bestechungsbetrag scheint von einem Anwalt, Vadim Bagaturya, bestätigt worden zu sein, der in derselben Anwaltskanzlei wie Tambievs Anwalt arbeitet. Bagaturya veröffentlichte Gerichtsdokumente in seinem Telegram-Kanal, aus denen die anfängliche Bestechungssumme von 2.718 BTC hervorgeht.
Und während die offiziell beschlagnahmten 1.032 BTC vom Untersuchungsausschuss zur Beweissicherung eingelagert wurden, ist unklar, was mit dem Rest des Bestechungsgeldes oder den 1.686 BTC passiert ist, die die Hacker angeblich Tambiev gegeben haben.
Nur drei Monate nach der Festnahme der Hacker wurde Tambiev selbst wegen Bestechung verhaftet und sein Laptop mit Bitcoin beschlagnahmt.
Die Geschichte aus Sicht der Hacker ist detaillierter. Zwei Tage nach der Festnahme der Hacker übermittelte ihr Anwalt laut dem Protokoll von Konstantin Bergmans Verhör ein Angebot von Tambiev, dass er ihnen den Rest zurückgeben würde, wenn sie sich bereit erklärten, ihm die Hälfte der Bitcoins zu geben, die sie besaßen. Die Hacker stimmten dem Angebot zu und am selben Tag ließ ein Moskauer Bezirksgericht die drei Männer gegen Kaution frei.
Am selben Abend um 21 Uhr trafen die drei Hacker Tambiev im Büro des Untersuchungsausschusses und verbrachten Stunden damit, ihre Krypto-Wallets zu durchsuchen. Um 7 Uhr morgens stellten sie fest, dass sie zusammen insgesamt 5.212,9 BTC hatten. Sie zahlten Tambiev 2.718,66 BTC und behielten den Rest.
Im März 2022 wurde Tambiev verhaftet und seine Wohnung in Moskau durchsucht. Auf seinem MacBook fanden Tambievs Kollegen eine Datei mit dem Titel „Ruhestand“ mit Fotos handgeschriebener Notizen, die Startphrasen für zwei Geldbörsen enthielten.
In diesen Geldbörsen fanden die Ermittler 931,1 BTC und 100 BTC. Danach wurden die Bitcoins beschlagnahmt, mit der Ledger Nano X-Hardware-Wallet an eine andere Adresse geschickt und zu Beweiszwecken in einem sicheren Tresor aufbewahrt, schrieb Kommersant.
Während seiner elfjährigen Tätigkeit im Untersuchungsausschuss verdiente Tambiev ein Gesamtgehalt von rund 134.300 US-Dollar, wie aus den Anklageunterlagen der Generalstaatsanwaltschaft hervorgeht, die online durchgesickert sind. Sein Verdienst entspricht etwa einem Viertel des Wertes der Bitcoins in seinen Geldbörsen.
Die Ermittlungen dauern an und Tambievs Schuld wurde vor Gericht nicht festgestellt. Mittlerweile wurde er von seinem Job entlassen und kämpft derzeit vor Gericht gegen seine Entlassung.
Crystal Blockchain hat die Wallets, die das Bestechungsgeld enthielten, anhand von Adressfragmenten gefunden, die in den durchgesickerten Gerichtsdokumenten aufgeführt sind, sagte das Blockchain-Datenforschungsunternehmen gegenüber CoinDesk. Die Wallets, die im Juli 2022 100 BTC und 932 BTC erhalten haben, sind jetzt beide leer, ihr Inhalt wurde im November 2022 in die Obhut der Strafverfolgungsbehörden in die Wallet geschickt.
„Wir haben die mit der 1.032 BTC-Adresse verbundenen Transaktionen überprüft und eine zusätzliche Zahlung von 1.032 festgestellt [BTC]sowie die restlichen 654 [BTC]. Wir gehen davon aus, dass diese Zahlungen wahrscheinlich an andere Beamte geleistet wurden, die nicht zur Rechenschaft gezogen wurden, aber Verbindungen zu in Russland ansässigen Cyberkriminalitätsgruppen haben“, sagte Nick Smart, Direktor für Blockchain-Informationen bei Crystal Blockchain, gegenüber CoinDesk.
Er fügte hinzu, dass Crystal weitere, bisher nicht gemeldete Wallets der Infraud Organization gefunden habe und diese offenbar eng mit den Darknet-Marktplätzen UniCC und LuxSocks verbunden seien.
Noch interessanter wird die Geschichte, wenn man den umstrittenen Rest des Bestechungsgeldes verfolgt. Der anfängliche Bestechungsbetrag, der mit den bekannten Infraud-Wallets verbunden war, wurde auf mehrere Wallets verteilt und dann zwischen einer Reihe von Zwischenadressen verschoben, wie aus den Daten hervorgeht, die Crystal CoinDesk zur Verfügung gestellt hat. Am 7. März landeten 1.032 BTC in den beiden von den Strafverfolgungsbehörden beschlagnahmten Wallets. Am 17. November 2022, dem Tag, an dem Tambiev verhaftet und seine Bitcoins beschlagnahmt wurden, schickten diese beiden Wallets alle ihre Bitcoins an eine neue und die Bitcoins wurden seitdem nicht mehr von dort bewegt. Dabei handelt es sich vermutlich um offizielles Geld, das von den Behörden beschlagnahmt und als Beweismittel aufbewahrt wurde.
Eine weitere Bitcoin-Wallet, die gleichzeitig mit den verhafteten Wallets 1.032 BTC erhielt, blieb bis zum 6. Dezember 2022 inaktiv. Der Rest des Bestechungsgeldes, das die Hacker nach eigenen Angaben Tambiev gegeben hatten, könnte in einer dritten Wallet aufbewahrt worden sein Laut Crystal sind 654,1 BTC darin. Im Jahr 2022 wanderten die meisten dieser Gelder zu zentralisierten Krypto-Börsen, nämlich Huobi, WhiteBit und einer wenig bekannten, in Estland registrierten Börse Bitexbit, wie Daten von Crystal zeigen.
Vladimir Nosov, CEO von WhiteBit, sagte gegenüber CoinDesk, dass die Inhaber der von Crystal aufgespürten Bitcoins einen außerbörslichen (OTC) Service für die Auszahlung nutzten und dieser Service wiederum WhiteBit nutzte. Die Transaktionen sahen nicht verdächtig aus und hätten einen niedrigen Risikowert, fügte Nosov hinzu.
Transaktionsverfolgungsdienste wie Crystal kennzeichnen Wallets auf der Grundlage von Daten von Strafverfolgungsbehörden oder öffentlichen Berichten als riskant oder kriminell verbunden. Allerdings lassen sich Wallet-Besitzer ihre Kryptowährungen oft von Börsen auszahlen, bevor der kriminelle Zusammenhang bekannt wird, oder nutzen kleine OTC-Dienste, die viel weniger Wert auf „Know-Your-Customer“- und Anti-Geldwäsche-Prüfungen legen als größere Börsen.
Huobi und Bitexbit haben zum Redaktionsschluss keinen Kommentar abgegeben.