Im November 2022 erschütterte der Zusammenbruch der Kryptobörse FTX die Finanzwelt. Doch inmitten des Chaos ereignete sich ein weiterer Vorfall von immenser Tragweite: Ein unbekannter Hacker entwendete digitale Vermögenswerte im Wert von 477 Millionen US-Dollar. Dieser massive Diebstahl, der sich genau in dem Moment vollzog, als FTX Insolvenz anmeldete, wirft bis heute Fragen auf und verdeutlicht die komplexen Herausforderungen der Geldwäsche im Bereich der Kryptowährungen. Der Dieb verlor in den Tagen nach dem Hack 94 Millionen US-Dollar, als er versuchte, die Gelder über dezentrale Börsen (DEXs), Cross-Chain-Brücken und Mixer zu waschen. Ein signifikanter Teil der gestohlenen Assets, nämlich 74 Millionen US-Dollar, wurde dabei über RenBridge transferiert, einen Dienst, der interessanterweise im Besitz der FTX-Schwestergesellschaft Alameda Research war. Viele der gestohlenen Vermögenswerte blieben lange Zeit unberührt, bis kurz vor dem Beginn des Prozesses gegen Sam Bankman-Fried, und sind seitdem weiterhin in Bewegung. Es ist alarmierend, dass einige der gestohlenen Assets mit Bitcoins kombiniert wurden, die von Russland-verbundenen kriminellen Gruppen gewaschen werden – ein beunruhigender Hinweis auf die Vernetzung der digitalen Unterwelt. Für weitere Informationen zum Umgang mit digitalen Währungen in rechtlichen Grauzonen, können Sie sich über die Risiken und Mechanismen des Krypto-Glücksspiels informieren.
Am 11. November 2022 meldete die auf den Bahamas ansässige Kryptowährungsbörse FTX Insolvenz an, und ihr CEO Sam Bankman-Fried wurde anschließend verhaftet und wegen Veruntreuung von Kundengeldern in Milliardenhöhe angeklagt. Später am selben Tag, inmitten des Zusammenbruchs des Unternehmens, wurden Kryptowährungs-Assets, die von der Börse kontrolliert wurden – im Wert von Hunderten von Millionen Dollar – gestohlen. Die Identität des Diebes bleibt bis heute ein Rätsel, selbst während die gestohlenen Vermögenswerte weiterhin auf der Blockchain verschoben und gewaschen werden.
Der Dieb schlug erstmals am Abend des 11. November um 21:22 Uhr zu und verschob 9.500 ETH (damals 15,5 Millionen Dollar wert) von einer FTX gehörenden Wallet auf eine neue Wallet. In den nächsten Stunden wurden Hunderte weiterer Krypto-Assets aus den Wallets der Börse entnommen, in Transaktionen, die sich schließlich auf 477 Millionen Dollar beliefen. Der Dieb hätte sogar noch mehr stehlen können, wäre da nicht die schnelle Reaktion des FTX-Personals und der Insolvenzberater gewesen, denen es gelang, über 300 Millionen Dollar an Assets zu sichern, bevor der Dieb darauf zugreifen konnte.
Dem Geldstrom auf der Blockchain folgen
Der Dieb machte sich sofort an die Arbeit, um die Gelder zu waschen und sicherzustellen, dass sie von den Behörden nicht beschlagnahmt werden konnten. Von den gestohlenen Krypto-Assets waren 434 Millionen Dollar Stablecoins und andere Token, von denen viele von ihren Emittenten unter bestimmten Umständen, in denen sie als gestohlen gelten, eingefroren werden können. Genau das ist passiert: So konnte der Stablecoin-Emittent Tether beispielsweise 31,5 Millionen Dollar gestohlenes USDT in den Stunden nach dem Hack einfrieren.
Um weitere Beschlagnahmungen zu verhindern, begann der Dieb, die gestohlenen Token gegen „native Assets“ wie die Ether-Kryptowährung zu tauschen. Jede Blockchain verfügt über ein natives Asset, das von keiner zentralen Partei ausgegeben wird und daher von keinem Emittenten eingefroren werden kann.
Würde ein Dieb versuchen, gestohlene Krypto-Assets an einer zentralisierten Börse wie Coinbase zu tauschen, wäre es wahrscheinlich, dass seine Gelder beschlagnahmt werden – stattdessen greifen Diebe typischerweise auf dezentrale Börsen (DEXs) zurück. Ein Dieb kann gestohlene Token an DEXs frei gegen native Assets tauschen, ohne dass seine Gelder von einer Compliance-Abteilung markiert und eingefroren werden.
Im Fall des FTX-Diebstahls nutzte der Hacker unmittelbar nach dem Diebstahl DEXs wie Uniswap und PancakeSwap, um Kryptowährungen im Wert von Hunderten von Millionen Dollar auszutauschen.
Cross-Chain-Geldwäsche: Die Spuren verwischen
Nachdem diese gestohlenen Vermögenswerte nun vor der Beschlagnahmung sicher waren, begann der Dieb, sie auf verschiedene Blockchains zu verschieben. Dies hilft, die Blockchain-Spur zu unterbrechen, wodurch es schwieriger wird, Gelder zurückzuverfolgen, und ermöglicht den Zugang zu Diensten auf Blockchains, die weitere Geldwäsche erleichtern.
Auch dies könnte über eine zentralisierte Börse erfolgen, aber ein Dieb riskiert die Beschlagnahmung der Vermögenswerte. Stattdessen werden typischerweise dezentrale Dienste, sogenannte Cross-Chain-Brücken, verwendet, um Gelder von einer Blockchain auf eine andere zu verschieben – und genau das tat der Dieb.
Zuerst wurden gestohlene Vermögenswerte auf den Binance Smart Chain- und Solana-Blockchains auf das Ethereum-Konto des Diebes übertragen und mit den anderen gestohlenen Vermögenswerten kombiniert, wobei die Cross-Chain-Brücken Multichain und Wormhole zum Einsatz kamen.
Zu diesem Zeitpunkt waren drei Tage seit Beginn des Hacks vergangen, und der Dieb hatte 245.000 ETH auf einem einzigen Ethereum-Konto angesammelt, das nun rund 306 Millionen Dollar wert war. Die Beute des Diebes war zu diesem Zeitpunkt bereits erheblich geschrumpft, aufgrund der Kosten für den Austausch von Assets und der Beschlagnahmung einiger der gestohlenen Token durch ihre Emittenten.
Die ETH-Bestände blieben fünf Tage lang unberührt, und dann, am 20. November, wurden 65.000 ETH über die RenBridge-Cross-Chain-Brücke auf die Bitcoin-Blockchain übertragen. Recherchen von Elliptic haben bereits gezeigt, dass RenBridge für die Wäsche von über einer halben Milliarde Dollar illegaler Vermögenswerte genutzt wurde. Erstaunlicherweise gehörte das Unternehmen hinter RenBridge zu Alameda Research – so wurden Gelder, die von FTX gestohlen wurden, über einen Dienst gewaschen, der praktisch einer Schwestergesellschaft gehörte.
Krypto-Mixer: Die ultimative Anonymisierung
Warum der Aufwand und die Kosten, Ether in Bitcoin umzuwandeln? Erlöse aus Hacks werden oft auf Bitcoin übertragen, weil dort Mixer verfügbar sind, Dienste, die dabei helfen, die Blockchain-Spur zu maskieren, indem sie Ihre Kryptowährung mit der von anderen Personen mischen.
Und genau das tat der Dieb: Von den 4.536 Bitcoins, die bei RenBridge von Ether umgewandelt wurden, wurden 2.849 BTC durch Mixer geschickt, hauptsächlich über einen Dienst namens ChipMixer. Die Rückverfolgung dieser Vermögenswerte wird dadurch schwieriger, jedoch wurden mindestens 4 Millionen Dollar an Börsen transferiert, wo sie möglicherweise ausgezahlt wurden.
Es war jetzt der 12. Dezember 2022 – einen Monat nach Beginn des Diebstahls.
Visualisierung des FTX Krypto-Hacks und Geldwäschepfads
Ein Screenshot von Elliptic Investigator, der zeigt, wie die gestohlenen Vermögenswerte über dezentrale Börsen in ETH umgewandelt, dann zu Bitcoin überbrückt und durch ChipMixer gesendet werden.
Eine neunmonatige Pause
Die 180.000 ETH, die nicht über RenBridge in Bitcoin umgewandelt wurden, blieben bis in die frühen Morgenstunden des 30. September 2023 unberührt – zu diesem Zeitpunkt waren sie 300 Millionen Dollar wert.
Die gleiche Geldwäschetechnik – die Umwandlung von Ether in Bitcoin und das anschließende Passieren durch einen Mixer – wurde weiterhin angewendet, doch im Krypto-Ökosystem hatte sich in den dazwischenliegenden neun Monaten viel verändert.
RenBridge hatte nach dem Zusammenbruch von FTX den Betrieb eingestellt, und so wandte sich der Dieb stattdessen einer anderen Cross-Chain-Brücke zu: THORSwap. Rund 72.500 ETH (jetzt 120 Millionen Dollar wert) an gestohlenen Vermögenswerten wurden auf diese Weise in Bitcoin umgewandelt. THORSwap setzte seine Schnittstelle am 6. Oktober aus und begründete dies mit „der potenziellen Bewegung illegaler Gelder durch THORChain und insbesondere THORSwap“. Der Dieb nutzte jedoch weiterhin die zugrunde liegende THORChain-Brücke auf andere Weise.
Ein Großteil dieser Bitcoins wurde dann durch einen Mixer geschickt. Im April 2023 wurde ChipMixer – der zuvor bevorzugte Mixer des Diebes – in einer internationalen Strafverfolgungsaktion beschlagnahmt, wobei der Plattform vorgeworfen wurde, 3 Milliarden Dollar aus Ransomware und anderen illegalen Quellen gewaschen zu haben. Stattdessen begann der Dieb, Sinbad zu nutzen, einen weiteren Mixer, der Ende 2022 eingeführt wurde.
Recherchen von Elliptic deuten darauf hin, dass Sinbad ein Rebranding von Blender ist, einem Mixer, der vom US-Finanzministerium aufgrund seiner Nutzung durch die nordkoreanische Lazarus Group sanktioniert wurde. Sinbad wurde auch stark genutzt, um die Erlöse aus Hacks, die von der Lazarus Group durchgeführt wurden, zu waschen, obwohl trotz dessen keine Sanktionen gegen Sinbad verhängt wurden. Es zeigt, wie wichtig es ist, solche Aktivitäten zu verfolgen, um Betrug und Geldwäsche mit Kryptowährungen im Glücksspiel und anderen Sektoren zu bekämpfen.
Wer steckt hinter dem FTX-Diebstahl? Die Verdächtigen
Fast ein Jahr nach dem Diebstahl von Krypto-Assets im Wert von 477 Millionen Dollar von FTX ist die Identität des Diebes weiterhin unbekannt.
Eine Möglichkeit ist ein Insider-Job. Einige FTX-Mitarbeiter hätten Zugang zu den Krypto-Assets des Unternehmens gehabt, um sie aus operativen Gründen zu verschieben. Im Chaos rund um die Insolvenz und den Zusammenbruch des Unternehmens könnte es einem internen Akteur möglich gewesen sein, diese Assets zu entwenden.
Ein Verdächtiger könnte Sam Bankman-Fried selbst sein, obwohl sein begrenzter Internetzugang jegliche Geldwäschebemühungen behindern würde. Am 4. Oktober 2023 um 15:41 Uhr EST wurden 15 Millionen Dollar der gestohlenen Kryptowährung verschoben – zu diesem Zeitpunkt befand sich Bankman-Fried Berichten zufolge vor Gericht, ohne Internetzugang.
Die laxen Sicherheitsmaßnahmen von FTX könnten es auch einem externen Akteur relativ einfach gemacht haben, die Assets zu stehlen. Der neue CEO von FTX enthüllte, dass private Schlüssel, die den Zugang zu den Krypto-Assets des Unternehmens ermöglichen, unverschlüsselt gespeichert wurden, und ein ehemaliger Mitarbeiter gab bekannt, dass über 150 Millionen Dollar von Alameda Research aufgrund schlechter Sicherheit gestohlen wurden.
Die Nutzung des Sinbad-Mixers könnte auf die Beteiligung der nordkoreanischen Lazarus Group hindeuten, die für einige der größten Krypto-Diebstähle verantwortlich ist. Die spezifischen Methoden, die zur Wäsche der gestohlenen Vermögenswerte verwendet wurden, sind jedoch im Vergleich zu denen, die typischerweise von Lazarus eingesetzt werden, anders und weniger raffiniert.
Ein Russland-bezogener Akteur scheint eine stärkere Möglichkeit zu sein. Von den gestohlenen Assets, die über ChipMixer nachvollzogen werden können, werden erhebliche Beträge mit Geldern von Russland-verbundenen kriminellen Gruppen, einschließlich Ransomware-Banden und Darknet-Märkten, kombiniert, bevor sie an Börsen gesendet werden. Dies deutet auf die Beteiligung eines Maklers oder anderen Vermittlers mit einem Bezug zu Russland hin.
Wer auch immer hinter dem Hack steckte, die gestohlenen Vermögenswerte werden weiterhin über die Blockchain bewegt und gewaschen. Verschiedene Cross-Asset- und Cross-Chain-Geldwäschetechniken wurden eingesetzt, um die Beschlagnahmung dieser Vermögenswerte zu vermeiden und die Geldspur zu verschleiern. Trotzdem verlor der Dieb in den ersten Tagen nach dem Hack schätzungsweise 94 Millionen Dollar – aufgrund von Beschlagnahmungen durch Token-Emittenten und der Kosten für den schnellen Austausch zwischen verschiedenen Assets und Blockchains.
Transaktionsvolumen der gestohlenen FTX-Assets über die Zeit
Tägliche Anzahl der Transaktionen mit den gestohlenen Vermögenswerten (bevor sie in Mixer eingezahlt wurden). Die ursprüngliche Geldwäsche fand zwischen dem Tag des Hacks (12. November 2022) und Mitte Dezember 2022 statt. Die Vermögenswerte blieben dann bis Ende September 2023 unberührt. Die rote Linie zeigt den Starttermin des Bankman-Fried-Prozesses an.
Es ist bemerkenswert, dass ein Großteil der gestohlenen Gelder mehrere Monate lang unberührt blieb, bis kurz vor Beginn des Bankman-Fried-Prozesses in New York. Krypto-Geldwäscher sind dafür bekannt, jahrelang zu warten, um Vermögenswerte zu bewegen und auszuzahlen, sobald die öffentliche Aufmerksamkeit nachgelassen hat – doch in diesem Fall haben sie begonnen, sich zu bewegen, just als die Aufmerksamkeit der Welt wieder auf FTX und die Ereignisse vom November 2022 gerichtet ist.
Fazit: Eine anhaltende Herausforderung für Kryptowährungen und FTX
Der FTX-Hack ist ein prägnantes Beispiel für die Komplexität und die anhaltenden Herausforderungen, die mit der Sicherheit und Rückverfolgbarkeit von Kryptowährungen verbunden sind. Trotz fortschrittlicher Blockchain-Analysetools und der Transparenz der Distributed-Ledger-Technologie gelingt es Kriminellen immer wieder, ausgeklügelte Methoden zur Verschleierung ihrer Spuren zu entwickeln. Von dezentralen Börsen über Cross-Chain-Brücken bis hin zu Krypto-Mixern – die Werkzeuge zur Geldwäsche sind vielfältig und entwickeln sich ständig weiter.
Die Tatsache, dass einige der gestohlenen Gelder mit Assets von Russland-bezogenen kriminellen Gruppen vermischt wurden, unterstreicht die Notwendigkeit einer verstärkten internationalen Zusammenarbeit im Kampf gegen Krypto-Kriminalität. Die Identität des FTX-Diebes mag zwar noch unbekannt sein, doch die kontinuierliche Verfolgung der Transaktionen auf der Blockchain liefert wertvolle Einblicke in die Funktionsweise der digitalen Unterwelt. Für Investoren und alle, die sich mit Kryptowährungen befassen, bleiben Wachsamkeit und ein tiefes Verständnis der Sicherheitsrisiken von größter Bedeutung. Der Fall FTX ist eine eindringliche Erinnerung daran, dass der digitale Raum, so innovativ er auch ist, auch ein fruchtbarer Boden für kriminelle Aktivitäten sein kann. Um sich vor solchen Risiken zu schützen und ein umfassendes Verständnis der Mechanismen zu entwickeln, ist es entscheidend, stets gut informiert zu bleiben und zuverlässige Quellen zu konsultieren.
Referenzen:
- Die FTX-Administratoren haben Gesamtverluste aufgrund „unautorisierter Überweisungen Dritter“ in Höhe von 413 Millionen Dollar gemeldet – die Diskrepanz ist wahrscheinlich auf die spätere Beschlagnahme und Rückgabe einiger der gestohlenen Vermögenswerte zurückzuführen. Der Hacker scheint sogar 53 Millionen Dollar in einem Krypto-Asset an FTX zurückgeschickt zu haben – vermutlich, um den Token für sein zugrunde liegendes Asset einzulösen.
- Dank an Blake Cohen vom OKX-Untersuchungsteam für die Identifizierung dieser Verbindung.