Bitfinex Bitcoin Hack Details

Schlechte Reime und verräterische Excel-Tabellen

Das “Krokodil der Wall Street” soll mit ihrem Mann an einem milliardenschweren Bitcoin-Diebstahl beteiligt gewesen sein. Eine Kryptoschnitzeljagd führte zur Verhaftung.

Von Eike Kühl

9. Februar 2022, 19:59 Uhr 31 Kommentare Artikel hören

Das hier ist die Geschichte von Dutch und Razz. Nein, dabei handelt es sich nicht um zwei legendäre Posträuber im Wilden Westen und auch nicht um gefürchtete Mobster, die einst New York unsicher machten. Dutch und Razz sind ein junges Ehepaar, das mutmaßlich Bitcoin im Wert von 4,5 Milliarden US-Dollar erbeutet haben soll. Beim Versuch, das digitale Geld zu waschen und auszugeben, sind sie schließlich erwischt worden. Nun drohen ihnen wegen Verschwörung und Geldwäsche bis zu 20 Jahre Haft.

Die Geschichte ist schon aufgrund der Geldsumme besonders. Dabei soll es sich um Bitcoin handeln, die im Jahr 2016 von Kunden der Kryptobörse Bitfinex in Hongkong gestohlen wurden. Angreifern war es damals gelungen, in die Systeme der Handelsplattform einzudringen und knapp 120.000 Bitcoin von den Kundenkonten auf ein eigenes Konto abzuzweigen. Zum damaligen Zeitpunkt waren die gestohlenen Bitcoin umgerechnet rund 72 Millionen US-Dollar wert, derzeit wären es etwa 4,5 Milliarden. Der Bitfinex-Hack gilt bis heute als einer der größten Angriffe auf eine Kryptobörse.

Jetzt, sechs Jahre später, könnte die Tat aufgeklärt werden. Zumindest gibt es mit Dutch und Razz zwei mutmaßliche Täter – auch wenn unklar ist, ob sie selbst für den Bitfinex-Hack verantwortlich sind oder auf anderem Weg an die gestohlenen Bitcoins gelangt sein könnten.

“The Crocodile of Wall Street”

Ilya “Dutch” Lichtenstein und Heather “Razzlekhan” Morgan sind beide Anfang 30 und leben in New York. Lichtenstein, der sowohl die russische als auch US-Staatsbürgerschaft besitzen soll, bezeichnet sich selbst als “Techunternehmer, Programmierer und Investor” mit Interesse an Blockchain-Anwendungen. Im Internet war er bislang eher zurückhaltend, allerdings soll er, wie die New York Times schreibt, seiner jetzigen Frau im Jahr 2019 einen Heiratsantrag in Form einer großangelegten Marketingaktion gemacht haben, die in unzähligen Postern innerhalb der Stadt und schließlich einem Werbeplakat auf dem Times Square mündete.

Heather Morgan bezeichnet sich auf ihrer Website selbst als das “Crocodile of Wall Street“, offenbar eine Anspielung auf das Buch und den gleichnamigen Film The Wolf of Wall Street, das die Geschichte eines Börsenmaklers und dessen zunehmend ausschweifenden Lebensstils in New York erzählt. Unter dem Künstlernamen Razzlekhan fungiert sie zudem als Influencerin, Rapperin und Künstlerin für “Sexy Horror Comedy”. Sowohl ihr YouTube- als auch Instagram-Konto sind inzwischen deaktiviert, es finden sich aber noch Kopien ihrer Musikvideos, in denen sie mit wenig Gefühl für Tempo und schlechten Reimen über ihren vermeintlichen Reichtum spricht. In einem Song rappt sie “I spearfish your password / all your funds are transferred” – ich klau dein Passwort und überweise all deine Gelder.

Nicht nur aufgrund von Morgans Selbstinszenierung ist die Schadenfreude in den sozialen Netzwerken groß. Sie war in der Vergangenheit auch Gastautorin für Medien wie Forbes und Inc.com, wo sie unter anderem einen Artikel schrieb, wie man sein Unternehmen vor Cyberkriminellen schützen kann. Noch im Dezember twitterte sie über “dubiose Kryptomaschen” und fragte sich, wann die Blase wohl platzen würde – all das, während sie und ihr Mann mutmaßlich selbst auf Bitcoin im Wert mehrerer Milliarden saßen, wie aus der Anklage des US-Justizministeriums hervorgeht.

Kryptowährungen sind nicht so anonym, wie viele glauben

Wie die Behörden dem Ehepaar auf die Schliche gekommen sind, geht aus einem detaillierten Ermittlungsbericht hervor. Zwar ist unklar, wie der Hack an Bitfinex vonstattenging, also ob Lichtenstein direkt daran beteiligt war und ob er seine jetzige Frau damals überhaupt schon kannte. Doch was anschließend mit den erbeuteten Bitcoin geschah, lässt sich recht genau nachverfolgen. Der Fall zeigt, weshalb Kriminelle es teilweise schwer haben, aus großen Summen Profit zu schlagen. Denn ganz so anonym, wie Kryptowährungen gemeinhin gelten, sind sie nicht. Vor allem nicht, wenn die Auszahlung des Vermögens ansteht.

Überweisungen von Bitcoin (oder anderen Kryptowährungen) geschehen zwischen sogenannten Wallets, digitalen Geldbörsen. Diese enthalten streng genommen aber nur den kryptografischen Schlüssel, um auf die eigenen Bitcoin zugreifen und diese empfangen und versenden zu können. Die Bitcoin selbst befinden sich als Blöcke in der sogenannten Blockchain, quasi dem öffentlichen Kassenbuch jeder Kryptowährung. Wann immer eine Summe X über eine Wallet A an eine Wallet B überwiesen wird, ist diese Transaktion in der Blockchain für alle online einsehbar. Der Unterschied zu Banküberweisungen: Statt über Namen und Kontonummern läuft alles über kryptografische Adressen; niemand weiß deshalb, wem eine Wallet gehört. Aber man kann sehen, wohin das Geld fließt.

Im Bitfinex-Hack gingen alle abgezwackten Bitcoin zunächst an eine einzelne anonyme Wallet, schreiben die Ermittler in ihrem Bericht. Von dort aus wurde in den vergangenen sechs Jahren ein Teil des erbeuteten Vermögens nach und nach aufgeteilt. Wie bei der klassischen Geldwäsche haben die Täter versucht, die Herkunft des Geldes zu vertuschen. Bei großen Summen ist das gar nicht so leicht, denn je größer die Transaktion ist, desto eher fällt sie im Heuhaufen der Bitcoin-Überweisungen auf. Erst recht, wenn Behörden und auf Blockchain-Analyse spezialisierte Firmen wie Elliptic genau verfolgen, was mit gestohlenen Bitcoin geschieht. Deshalb wurde auch berichtet, dass sowohl im April 2021 als auch vergangene Woche, also nur wenige Tage vor der Verhaftung der mutmaßlichen Täter, jeweils große Teile der Bitfinex-Beute bewegt wurden.

Von der ursprünglichen Wallet aus wurden Teile des Kryptovermögens zunächst über den inzwischen stillgelegten Darknet-Marktplatz AlphaBay verschleiert. Dieser fungierte damals auch als sogenannter Coin-Mixer: Dabei werden Bitcoin aus vielen verschiedenen Wallets zusammengemischt und anschließend wieder an neue Wallets überwiesen: Am Ende hat zwar jeder Nutzer ungefähr wieder die gleiche Summe in seiner (neuen) Wallet wie zuvor, allerdings ist nicht mehr nachvollziehbar, von welcher Adresse das Geld vor dem Durchmischen genau kam. Die Spur in der Blockchain wurde verwischt. Mixer sind deshalb ein beliebter Weg, um gestohlene Bitcoin zu “waschen”.

Die Analysefirma Elliptic hat die Spur der Bitfinex-Bitcoins verfolgt.
Die Analysefirma Elliptic hat die Spur der Bitfinex-Bitcoins verfolgt. © Screenshot Ellipitic

Das wussten auch die mutmaßlichen Täter. Die über AlphaBay durchmischten Bitcoin deponierten sie anschließend in verschiedenen Kryptobörsen rund um die Welt. Diese Börsen sind ein Weg, um sich Kryptowährung gegen Gebühr in eine Währung wie Euro oder Dollar umtauschen, sprich auszahlen zu lassen. Ein anderer Weg, das digitale Geld auszugeben, ist Dienstleistungen zu nutzen, die direkt Kryptowährungen akzeptieren. So sollen Lichtenstein und Morgan sowohl Gutscheinkarten für die Supermarktkette Walmart und einen Hotelanbieter erworben als auch in NFTs, in digitale Kunstwerke, investiert haben.

Nutze besser keinen Cloudspeicher für Kryptobetrug!

Trotz der Vorsichtsmaßnahmen ist es den Behörden gelungen, Lichtenstein und Morgan zu identifizieren. So ist ihnen aufgefallen, dass Konten bei mehreren Börsen, die Überweisungen von AlphaBay enthielten, mit ähnlichen E-Mail-Adressen und etwa zur selben Zeit kurz nach dem Bitfinex-Hack erstellt wurden. Sie wurden zudem von derselben IP-Adresse aufgerufen. Einige Börsen fordern aufgrund von nationalen Gesetzen, dass sich die Besitzerinnen und Besitzer persönlich identifizieren. Dem kamen Lichtenstein und Morgan nicht nach, weshalb die Börsen einige Konten einfroren.

Mindestens in einem Fall führte die Spur die Ermittler aber zu einem Konto, das eindeutig mit Ilya Lichtenstein in Verbindung gebracht werden konnte, da er dort seine Identität bestätigte. Mit diesem Wissen konnten sie nach und nach weitere Wallets identifizieren, die an einem großen Geflecht an Überweisungen beteiligt waren, die allesamt auf AlphaBay und die Bitfinex-Wallet zurückgingen. Darunter auch mehrere Konten bei Kryptobörsen, die auf Heather Morgan und Firmen in ihrem Namen registriert waren. Dabei soll sie auf Nachfragen vonseiten der Börsen wiederholt falsche Angaben zur Herkunft und Verwendung der Gelder gemacht haben.

Den wohl größten Fehler aber machte am Ende Lichtenstein. Als die Ermittler ihn einkreisten, erlangten sie per Durchsuchungsbefehl Zugriff auf einen Cloudspeicher des 34-Jährigen. Dort fanden sie mehrere verschlüsselte Dateien, die geknackt werden konnten. Bei ihnen handelte es sich um Excel-Tabellen mit Zugriffsdaten, also den Schlüsseln für zahlreiche Wallets, sowie um Angaben zu falschen Identitäten, unter denen Lichtenstein auf verschiedenen Kryptobörsen aktiv war.

Lichtenstein hat offenbar eine eiserne Regel der Cybersecurity ignoriert: Speichere keine empfindlichen Daten in der Cloud, selbst wenn sie verschlüsselt sind. Dieser Fehler könnte ihm am Ende zum Verhängnis werden, wenn die Staatsanwaltschaft ihre Beweise präsentiert. Denn damit scheint belegt, dass er zumindest Zugriff auf Wallets hatte, in denen die Bitfinex-Gelder gelandet sind.

Das US-Justizministerium hat dank der entdeckten Zugriffsdaten nun 94.000 Bitcoin im Wert von rund 3,6 Milliarden beschlagnahmt. Nach Angaben des Ministeriums sei das die bis dato “größte Beschlagnahmung von Geldanlagen”. Lichtenstein und Morgan wurden am Dienstagmorgen verhaftet, sie sind nach einer ersten Anhörung derzeit aber auf Kaution frei. Wann der Prozess beginnt, steht noch nicht fest. Das letzte Kapitel in der Geschichte von Dutch und Razz ist noch nicht geschrieben.

Quelle: https://www.zeit.de/digital/internet/2022-02/bitcoin-hack-bitfinex-kryptowaehrung-razzlekhan geladen am 10.02.2022

Published by Schmitt Trading Ltd

Schmitt Trading Ltd is an international software company and develops trading robots. We want to share with you how we live our dream to become financially independent. Join us at our thrilling day-to-day adventure trip to freedom. Follow us for more information. Subscribe to our latest blog posts.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: