Im August 2016 stahl ein Hacker 119.754 Bitcoin von einer Kryptowährungsbörse namens Bitfinex. Am Dienstag erschien in Manhattan ein junges Ehepaar, Ilya Lichtenstein und Heather Morgan, vor einem Bundesgericht, angeklagt wegen versuchten Waschens der Erträge aus diesem Verbrechen. Als die Börse gehackt wurde, war das gestohlene Bitcoin etwa einundsiebzig Millionen Dollar wert. Heute beträgt sein Wert mehr als fünf Milliarden Dollar. Kurz vor ihrer Verhaftung könnte man argumentieren, dass Lichtenstein und Morgan – zumindest auf dem Papier – reicher waren als Peter Thiel, der PayPal gründete.
Lichtenstein ist ein 34-Jähriger mit doppelter russisch-amerikanischer Staatsbürgerschaft, der sich auf Medium als „Tech-Unternehmer, Entdecker und gelegentlicher Zauberer“ bezeichnet. Er nennt sich „Niederländisch“. Sein Twitter-Feed (@unrealdutch) ist ein Strom unnahbarer Kommentare zu Kryptowährung, Web 3.0 und nicht fungiblen Token. An Silvester retweetete er Edward Snowdens Bild vom Feuerwerk über dem Kreml. Morgan, der einunddreißig ist, hat letztes Jahr Lichtenstein geheiratet. Sie ist unter anderem Journalistin. In ihrer Biografie für Forbes, für die sie bis letztes Jahr schrieb, beschreibt sich Morgan als „internationale Ökonomin, Serienunternehmerin und Investorin“ und „Expertin für Überzeugungsarbeit, Social Engineering und Spieltheorie“. „Wenn sie nicht gerade Schwarzmärkte rekonstruiert, um bessere Wege zur Bekämpfung von Betrug und Cyberkriminalität zu finden“, heißt es in ihrer Biografie, „macht sie sich daran, Streetwear-Mode zu rappen und zu designen.“
Morgan scheint das Rappen wirklich zu genießen. Sie spuckt Bars als Razzlekhan aus und nennt sich selbst das „Krokodil der Wall Street“. Der Grundstein von Razzlekhans Œuvre ist ein Track namens „Versace Bedouin“, ein Lobgesang auf die Kultur und die Finanzspekulation, in dem Morgan auf ihre Karriere mit vielen Bindestrichen hinweist. („Ich bin vieles: ein Rapper, ein Ökonom, ein Journalist, ein Schriftsteller, ein CEO und ein dreckiges, dreckiges, dreckiges, dreckiges Hurensohn.“) Im Video zu „Versace Bedouin“ trägt Morgan ein goldenes Lamé Jacke und eine Baseballkappe mit dem Slogan „ØFCKS“. Gedreht wurde an der Wall Street selbst, wo das Paar auch wohnt, in einer gemieteten Zwei-Zimmer-Eigentumswohnung.
Morgan und Lichtenstein wurden letzte Woche wegen Verschwörung zur Geldwäsche und Verschwörung zum Betrug der Vereinigten Staaten angeklagt. Die meisten nachfolgenden Medienberichterstattungen über den Fall konzentrierten sich natürlich auf ihre farbenfrohe Online-Persönlichkeit. (Ich bin nicht immun. In meinem Haus wurde „Versace Bedouin“ wiederholt.) Aber die Details des Falls sind ebenso faszinierend, weil sie auf das Potenzial und die Fallstricke digitaler Währungen für kriminelle Aktivitäten hinweisen.
Der Fall gegen Morgan und Lichtenstein, wie in der eidesstattlichen Erklärung beschrieben, beschreibt ein großes Verbrechen, gefolgt von einer Reihe von Frustrationen. Nach dem Hack von Bitfinex im Jahr 2016 wurde das gestohlene Bitcoin in eine externe Brieftasche transferiert. Die Regierung hat nicht gesagt, dass Lichtenstein und Morgan die Börse gehackt haben; Sie werden nur beschuldigt, die Erlöse aus dem Hack gewaschen zu haben. Aber es scheint, dass das Paar nie versucht hat, die meisten der gestohlenen Münzen zu waschen – 94.636 Bitcoin oder etwa achtzig Prozent der gesamten Beute haben die erste Brieftasche nie verlassen. Der Grund? Das Waschen digitaler Währungen ist schwierig. Und der Schwierigkeitsgrad steigt, je größer die Summen werden.
Wie ich letztes Jahr entdeckte, als ich über staatlich geförderte nordkoreanische Hacker berichtete, kommt es mit alarmierender Regelmäßigkeit zu Diebstählen von digitalen Währungsbörsen. Nordkoreanische Agenten hacken besonders gerne digitale Börsen in Südkorea. Bis letzten April wurde eine Börse, Bithumb, viermal überfallen. Börsen sind angreifbar, weil sie oft Treuhandkonten mit Coins in sogenannten Hot Wallets führen, die mit dem Internet verbunden sind. (Die sicherere, aber umständlichere Art, Coins aufzubewahren, ist in einer „Cold Wallet“, die nicht mit dem Internet verbunden ist; die Schlüssel zur Wallet werden an anderer Stelle aufgeschrieben oder auswendig gelernt.) Durch einige oft geniale Tricks, wie z Indem sie sich als vertrauenswürdiger Geschäftspartner ausgeben, um Malware auf dem Computer eines Börsenmitarbeiters zu installieren, finden Kriminelle Wege, die Schlüssel zu Hot Wallets zu erbeuten und Münzen zu stehlen.
Letztes Jahr erklärte mir Tom Robinson, Chefwissenschaftler des Blockchain-Analyseunternehmens Elliptic, den Reiz dieser Art von Verbrechen. „Sobald die Gelder die Börse verlassen haben, können Sie diese Transaktionen nicht mehr rückgängig machen, wie Sie es vielleicht bei einer traditionellen Bankzahlung können“, sagte Robinson. „Sobald sie weg sind, sind sie weg. Und es gibt keinen Vermittler, es gibt keinen Kontrolleur von Bitcoin, zu dem Sie gehen und sagen können: „Diese Gelder sind gestohlen. Gib sie mir zurück.« Es ist komplett dezentralisiert. Es kann auch ziemlich anonym sein – Sie müssen das Schema nicht über Konten in Kraft setzen, die mit Ihrer Identität verknüpft sind.“
Aber wenn die digitale Währung Gelegenheiten für Diebe schafft, stellt sie auch riesige Hindernisse dar. Der gewünschte Endpunkt der meisten Tauschbörsen-Hacks besteht darin, gestohlene digitale Währung in Fiat-Währung – Pfund, Euro, Dollar – umzuwandeln. Das ist schwierig, wenn die Börsen über angemessene Know-your-Customer (KYC)- oder Anti-Geldwäsche (AML)-Strukturen verfügen. Wenn Sie einer seriösen Börse Bitcoin im Wert von einer Milliarde Dollar zu Füßen legen und als Antwort um Dollar bitten, sollte das AML-Team einige schwierige Fragen stellen.
Geldwäscher müssen sich auch damit auseinandersetzen, dass Münzen rückverfolgbar sind. Das Ledger, auf dem Trades stattfinden, ist unveränderlich. Es sollte immer möglich sein, gestohlene Beute über ihren digitalen Fußabdruck zu verfolgen. Das Problem des Umgangs mit gestohlenen Bitcoins ist dem Schmuggel eines Picassos im Kofferraum Ihres Autos nicht unähnlich. Jeder weiß, dass es ein Picasso ist, weil es wie ein Picasso aussieht und Picassos Unterschrift trägt. Das Gemälde zu stehlen ist eine Sache; einen monetären Gewinn dafür zu realisieren, ist eine andere.
Morgan und Lichtenstein scheinen einen Teil des gefährlichen Terrains der Kryptowäsche verstanden zu haben. Die eidesstattliche Erklärung behauptet, dass das Paar neben anderen Techniken einen Teil der Bitcoins aus der Holding-Wallet bewegt hat, indem es „eine Reihe kleiner, komplexer Transaktionen über mehrere Konten und Plattformen hinweg“ verwendet hat, und fügt hinzu, dass „dieses Mischen, das eine umfangreiche Anzahl von Transaktionen erzeugt hat , schien darauf ausgelegt zu sein, den Weg der gestohlenen BTC zu verschleiern, was es den Strafverfolgungsbehörden erschwert, die Gelder aufzuspüren.“ Diese atomisierte Übertragung wird manchmal als Ablösekette bezeichnet. Letztes Jahr zeigte mir Robinson, der Elliptic-Wissenschaftler, eine Visualisierung einer Peel-Kette. Das Diagramm sah aus wie eine Streckenkarte eines Fluglinienmagazins, in der mehrere Linien von einem Punkt ausgehen und dann an einem anderen zusammenlaufen.
Die eidesstattliche Erklärung beschreibt auch, wie das Paar andere, ausgefeiltere Waschtechniken verstanden hat. Einer ist als Chain-Hopping bekannt. Dies ist der Fall, wenn eine Münzsorte gegen eine andere getauscht wird – zum Beispiel Bitcoin gegen Ethereum –, um ihre Herkunft zu verschleiern. Das Blockchain-Forensik-Unternehmen Chainalysis hat kürzlich einen Bericht veröffentlicht, der den zunehmenden Einsatz von Chain-Hopping, insbesondere durch nordkoreanische kriminelle Gruppen, detailliert beschreibt. Die bevorzugte Methode ist die Verwendung einer sogenannten DeFi-Plattform (dezentralisierte Finanzen), die Währungen tauscht, ohne jemals die Gelder zu verwahren. DeFis müssen keine Know-Your-Customer-Verfahren haben. Laut Chainalysis nutzten nordkoreanische Hacker im Jahr 2020 eine DeFi namens Uniswap, um die Erlöse aus einem 275-Millionen-Dollar-Diebstahl von der KuCoin-Börse zu waschen – einem der größten Hacks aller Zeiten.
Morgan und Lichtenstein haben angeblich auch Coins zu AlphaBay verschoben, einem Dark-Web-Marktplatz, der 2017 von der Polizei geschlossen wurde. Mit digitaler Währung im Dark Web können Sie so ziemlich alles kaufen, was Sie wollen, und niemand kümmert sich darum, woher Sie Ihr Geld haben. Aber es scheint, dass die Summen, die Morgan und Lichtenstein waschen wollten, zu unhandlich waren, um sie durch den Kauf von Produkten auszuzahlen. AlphaBay war einfach ein Kanal für die gestohlenen Münzen. Das Paar soll seine Gelder über den Dark-Web-Marktplatz und zurück in andere Münzbörsen verschoben haben, was sie in die gleiche missliche Lage brachte wie zu Beginn: mit einem Haufen digitaler Währung, die sie nicht ausgeben konnten. Als sie versuchten, sieben neue Konten an einer Börse mit gefälschten Identitäten zu eröffnen, konnte die Börse die Konten nicht verifizieren und fror ihre Gelder ein.
Das Paar rannte in eine verschlossene Tür nach der anderen. Sie gaben einen Teil der Münzen für NFTs aus und einen Teil für eine 500-Dollar-Geschenkkarte von Walmart. Sie haben kleine Beträge mit Goldhandel und anderen Techniken ausgezahlt. Gurvais Grigg, ein ehemaliger FBI-Agent, der jetzt Chief Technical Officer des öffentlichen Sektors für Chainalysis ist, sagte mir, dass die Versuche von Morgan und Lichtenstein, ihre Bitcoins zu waschen, gezeigt hätten, dass sie „ziemlich raffiniert“ seien. Aber sie haben nie einen Weg gefunden, die Beute im Wert von Milliarden von Dollar wiedergutzumachen, die ein Loch in ihre digitale Tasche brennt. „Irgendwann“, sagte Grigg, „müssen Sie es an einen Ort oder eine Börse oder ein OTC bringen [over-the-counter trader] das kann dir helfen.“
Als ich die eidesstattliche Erklärung las, fragte ich mich: Wie hätten die Nordkoreaner so viele Münzen gewaschen? Sie hätten es langsam getan. Mit Nordkorea in Verbindung stehende kriminelle Gruppen lassen große Mengen an Kryptowährung jahrelang unberührt in digitalen Geldbörsen. Sie hätten auch einige der gleichen Techniken verwendet wie Morgan und Lichtenstein: Ketten abziehen und Kettenhüpfen. Aber sie hätten ihre wahren Identitäten weit entfernt von allen Konten aufbewahrt, die mit den gestohlenen Münzen umgehen. (Sie hätten niemals einen echten Führerschein verwendet, um ihre Identität zu überprüfen, oder ihre eigene Wohnadresse für einen Goldhandel verwendet, wie es Lichtenstein tat.) Sicherlich hätten sie einen Weg gefunden, große Summen auszuzahlen, wahrscheinlich über eine Börse in einer lockeren Rechtsprechung.
Im Jahr 2018 wurde eine Börse für digitale Währungen in Hongkong von einer nordkoreanischen Gruppe gehackt. Etwa 10.800 Bitcoin wurden gestohlen. Heute wären die Bitcoins fast eine halbe Milliarde Dollar wert. Laut einer Anklageschrift aus dem Jahr 2020 wurden diese Münzen dann über Abziehketten an zwei chinesische Staatsbürger, Tian Yinyin und Li Jiadong, umgeleitet, die mit gefälschten Bildern und falschen Namen erfolgreich Konten an anderen Börsen eröffnet hatten. Tian und Li ließen sich dann über eine chinesische Bank auszahlen. Nach Angaben des US-Finanzministeriums bieten mehrere Finanzinstitute in China Nordkoreanern oder Scheinfirmen, die Beziehungen zu Pjöngjang unterhalten, Konten an. Im Jahr 2020 wurden Tian und Li in den Vereinigten Staaten beschuldigt, „gestohlene Kryptowährung gewaschen zu haben, um Transaktionen zugunsten von Akteuren in Nordkorea zu verschleiern“. (Die Männer wurden in Abwesenheit angeklagt und sind immer noch auf freiem Fuß.)
Die Nordkoreaner ziehen es vor, in China auszuzahlen, aber laut den Forensikfirmen, die Kryptowährungen verfolgen, gibt es auch viele Börsen in Russland und Osteuropa, die keine unangenehmen Fragen stellen. Mehrere Börsen in Moskau – einschließlich der außerbörslichen Maklerfirma Suex, die das Finanzministerium im vergangenen Herbst sanktioniert hat – wurden in einem kürzlich erschienenen Bericht von Chainalysis als „konzertierte Bemühungen zur Bedienung einer cyberkriminellen Klientel“ bezeichnet. Mehr als die Hälfte dieser russischen Börsen teilen sich einen Moskauer Wolkenkratzer: Federation Tower. Der Chainalysis-Bericht stellte fest, dass „nichts symbolischer für das Wachstum des russischen Ökosystems der Kryptokriminalität und die Fähigkeit von Cyberkriminellen ist, scheinbar ungestraft zu agieren, als die Präsenz so vieler Kryptowährungsunternehmen, die mit Geldwäsche in einer der bemerkenswertesten Städte der Hauptstadt in Verbindung stehen Sehenswürdigkeiten.”
Es ist ein wenig Verdienst von Morgan und Lichtenstein, dass sie anscheinend nicht gewusst haben, wo sie sich auszahlen lassen sollten. Sie scheinen nicht wie Schwerverbrecher zu sein, obwohl die Gerichte sie möglicherweise als solche behandeln. In einer Akte schrieb der Anwalt des Paares: „Ms. Morgan und Mr. Lichtenstein haben keinen Grund zu fliehen, um den Anschuldigungen der Regierung zu entgehen, da die Beschwerde der Regierung erhebliche Lücken im Verfahren der Regierung gegen sie offenbart.“ Er schrieb weiter, dass „die Geldwäschevorwürfe in der Beschwerde der Regierung auf einer Reihe von Indizienschlussfolgerungen und Annahmen beruhen, die aus einem komplexen Netz von verschlungenen Blockchain- und Kryptowährungsverfolgungs-Behauptungen gezogen wurden“. Es bleibt auch die faszinierende Frage der Bitcoin, die die Regierung noch nicht gefunden hat: rund dreihundertdreißig Millionen Dollar, die sich vermutlich in Brieftaschen befinden, die von dem Paar kontrolliert werden. Man fragt sich, was mit diesem Vorrat passieren wird. Wie die meiste gestohlene Beute aus dem Bitfinex-Überfall lautet die Antwort: wahrscheinlich nichts.