Koude douche voor degenen die hoopten ooit het laatste woord te hebben over de roerige Mt.Gox-hack, destijds in 2014 beschouwd als de grootste crypto-diefstal ooit.
De vrijlating medio februari van Alexander Vinnik – hij is te zien op deze video, met een kopje thee in de hand op de internationale luchthaven Vnukovo in Moskou – in ruil voor Marc Fogel, de Amerikaanse leraar die door Moskou werd opgesloten voor een paar gram cannabis (en verdacht werd van spionage), komt niet als een verrassing.
Zijn naam circuleerde namelijk al vorig jaar tijdens een eerste gevangenenruil tussen de Verenigde Staten en Rusland. Maar het zal waarschijnlijk elke kans om deze zaak tot op de bodem uit te zoeken, tenietdoen. "Er zal waarschijnlijk geen verdere gerechtelijke vooruitgang zijn met betrekking tot de betrokken personen en de exacte omstandigheden van de hack," betreurde Kim Nilsson, een 42-jarige Zweedse informaticus die de hack met succes onderzocht, tegenover The Big Whale.
Van de drie personen die door het Amerikaanse rechtssysteem in deze zaak zijn aangeklaagd, was de 44-jarige Rus feitelijk de enige die in de Verenigde Staten werd gearresteerd. Beschuldigd van het zijn van een van de witwassers, pleitte hij uiteindelijk schuldig voor het Amerikaanse rechtssysteem in mei 2024 voor zijn rol in BTC-e.
Dit dubieuze handelsplatform, gelanceerd in juli 2011, werd beschouwd als een van de grootste witwassers ter wereld. Met weinig oog voor zijn klanten – er was geen ID vereist – opereerde het via vouchers, waardoor de traceerbaarheid van de uitgewisselde crypto-activa werd doorbroken.
In februari 2014 was het drie jaar geleden dat Mt.Gox werd geleid door de Fransman Mark Karpelès. De inmiddels beroemde, in Japan gevestigde beurs was oorspronkelijk bedoeld als portaal voor ruilkaarten van het spel "Magic: The Gathering", vandaar de naam. Het zou abrupt instorten na het uitlekken van een intern document.
Online geplaatst door "Twobitidiot", het pseudoniem van Messari-oprichter Ryan Selkis, rapporteert dit elf pagina's tellende crisismanagementconcept het verdwijnen van 744.408 BTC van de beurs. Ofwel 6% van de BTC in omloop op dat moment, berekende de New York Times. Het totaal aan verloren bitcoins zou uiteindelijk oplopen tot ongeveer 850.000 BTC.
>> Lees ook: Mark Karpelès: "Ik ga Tether onderzoeken"
Het eerste dossier van een opkomende start-up: Chainalysis
Boze klanten eisen tevergeefs hun crypto's op. Zoals Kolin Burges, de beroemde man met de muts en het bord "Mt.Gox, waar is ons geld?" die Mark Karpelès, met koffiemok in de hand, confronteert aan de voet van het kantoor van het bedrijf. Vervolgd door het Japanse rechtssysteem, een van de grootste faillissementen in het crypto-universum eindigde met de Franse baas die ten onder ging. In maart 2019 werd hij uiteindelijk vrijgesproken van verduistering, maar veroordeeld tot een voorwaardelijke gevangenisstraf van tweeënhalf jaar wegens het vervalsen van computergegevens, een veel mildere straf dan de tien jaar onvoorwaardelijk die door het Openbaar Ministerie was geëist.
Vanaf het begin van het politieonderzoek zal de crypto-gemeenschap proberen de interne werking van deze fenomenale hack te begrijpen.
YouTube / Patrick nsabimana
Met de steun van de baas van de Kraken-beurs zou de zaak zelfs het eerste dossier worden voor een start-up opgericht door een Deense informaticus, Michael Gronager: Chainalysis. Allereerst is er de hypothese van interne malversatie.
Op het Bitcointalk-forum schetste een internetgebruiker in maart 2014 een complot. Te amateuristisch, Mark Karpelès, destijds een van de hoofdverdachten in het verhaal, zou er niet in geslaagd zijn zijn platform effectief te beschermen tegen hackers. Hij zou vervolgens geprobeerd hebben het gat te dichten door crypto's te kopen om de verliezen te compenseren, onder meer met behulp van een robot, Willy.
De activiteit van deze account en een andere genaamd Markus zou worden uiteengezet in een post, het "Willy Report", gepubliceerd eind mei 2014, een analyse van een interne database die uitlekte op Pirate Bay. Het ruikt naar massale fraude.
Een eerste account dreef zo de Bitcoin-prijs op door regelmatig crypto's te kopen, terwijl een tweede "tonnen BTC verzamelde zonder een cent uit te geven". Mark Karpelès bevestigde tijdens zijn proces in juli 2017 dat hij achter deze operaties zat, die bedoeld waren om het groeiende gat van het platform te verbergen. Een inmiddels bekend gebrek aan nauwkeurigheid.
Getuige bijvoorbeeld deze 200.000 BTC gevonden na het faillissement van de beurs in een wallet. De private key was blijkbaar op een vel papier geprint en vervolgens uit onachtzaamheid vergeten, verzekerden journalisten Jack Adelstein en Nathalie Stucky ons in hun boek "J'ai vendu mon âme en bitcoin" ("Ik heb mijn ziel verkocht in bitcoin"). Zij zijn nu de laatste hoop voor benadeelde gebruikers om hun verliezen terug te krijgen.
Na de ontdekking van deze zoekgeraakte wallet zijn er dus nog ongeveer 650.000 ontbrekende BTC.
Kim Nilsson: "Mt.Gox was technisch insolvent sinds minstens 2012"
In Tokio zet Kim Nilsson zijn zoektocht voort. In april 2015 dateert hij het begin van de discrepantie tussen verwachte en werkelijke crypto-activa op augustus 2011. De gigantische diefstal zou in feite het resultaat zijn van een lek dat jarenlang onopgemerkt bleef, vrijwel vanaf het begin van het platform.
"Mt.Gox was technisch insolvent sinds minstens 2012," merkte hij op. Vervolgens schetste hij de meest waarschijnlijke methode van de dieven: toegang tot de private keys van de hot wallet, opgeslagen op het wallet.dat-bestand, om de crypto's in handen te krijgen.
Voorloper, de beurs had ernstige beveiligingslekken. Er zijn inderdaad sporen gevonden van meerdere hacks. Allereerst zijn er de twee lekken gelinkt aan Liberty Reserve, het in Costa Rica gevestigde handelsplatform dat in mei 2013 door de Amerikaanse justitie werd gesloten.
Na het hacken van een server zijn er ook de 80.000 munten, die sindsdien niet zijn verplaatst, al ontbrekend bij de overdracht in april 2011 tussen Mt.Gox-oprichter Jed McCaleb en Mark Karpelès.
Daarna was er de diefstal van 300.000 bitcoins in mei 2011, een buit die de hacker zou teruggeven voor een commissie van 3.000 bitcoins, "waarschijnlijk omdat hij niet erg voorzichtig was geweest", merkte Kim Nilsson op. Tot slot leidde in juni 2011 het hacken van het admin-account van Jed McCaleb tot het wegsluizen van 2.000 BTC en een spectaculaire marktcrash, waarbij bitcoin tot enkele centen werd gereduceerd.
Er zijn echter geen aanwijzingen gevonden voor de enkele honderdduizenden bitcoins die tussen september 2011 en medio 2013 verdwenen. Tot 25 juli 2017.
Op zijn blog is Kim Nilsson opgetogen. Een zekere Alexander Vinnik is zojuist gearresteerd in Griekenland. Deze arrestatie klinkt als de bekroning van jarenlang geduldig werk. Deze Rus is "onze hoofdverdachte", vertrouwt hij toe.
Vinnik hoofdwitwasser, maar voor wie?
Na de exfiltratie van gestolen crypto's op Mt.Gox was de onderzoeker inderdaad uitgekomen bij "Mr Bitcoin", zoals de verdachte in de Griekse pers zou worden genoemd.
Het grootste deel van de gestolen tokens (ongeveer 300.000) werd witgewassen via BTC-e. Een doodlopende weg vanwege de ondoorzichtigheid van het platform. Maar een ander deel van de tokens keerde terug naar Mt.Gox... Een vergissing.
Deze accounts op de Japanse beurs zullen namelijk worden gelinkt aan een zekere "WME". Nu is er op het forum BitcoinTalk iemand met dezelfde gebruikersnaam die eind oktober 2011 meldde bitcoins te willen ruilen voor elke valuta. Hij deelde ook even later een reeks screenshots waarin hij een geschil tegen CryptoXchange uiteenzette. Zonder zich te realiseren dat hij daarbij per ongeluk zijn echte identiteit had gelekt, een fout die met name werd opgemerkt door Kim Nilsson in de zomer van 2016.
Maar er waren er meer. In zijn boek "Tracers in the Dark" beschrijft journalist Andy Greenberg de vreugde van Tigran Gambaryan, de beroemde Internal Revenue Service-onderzoeker, die erin slaagde de Mt.Gox-zaak aan WME te koppelen dankzij een gemeenschappelijk IP-adres.
Een "verlichting", vertelde de onderzoeker aan de Amerikaanse journalist. "Maar natuurlijk! Wat is een betere manier om een fortuin in bitcoins wit te wassen dan je eigen handelsplatform te lanceren?"
De rol van Alexander Vinnik, een expert in beurzen – getuige bijvoorbeeld zijn periode bij WebMoney, een Russische elektronische betaaldienst gelanceerd in 1998 – was echter waarschijnlijk beperkt tot het witwassen van de hack.
"Misschien was hij een hackgenie," grapt Kim Nilsson. Maar mijn gevoel zegt meer dat hij connecties had met hackergroepen, die zelfs vóór deze hack zo'n witwasdienst nodig zouden hebben gehad."
Kim Nilsson, tijdens zijn keynote "Cracking Mt.Gox" in september 2017 (zie video)
Getraceerd via het Instagram-account van zijn vrouw
Hoe dan ook, door het spoor te volgen verzamelen Amerikaanse onderzoekers een aanzienlijke hoeveelheid belastend bewijs tegen hun verdachte, die een welvarende levensstijl tentoonspreidt, van zijn appartement in Moskou ter waarde van ongeveer 3 miljoen dollar tot zijn luxe vakanties in Griekenland en Dubai.
Voor het Openbaar Ministerie is het BTC-e-platform, naar verluidt gevestigd in Bulgarije en verbonden aan een brievenbusfirma in Londen, Always Efficient LLP, in werkelijkheid gecontroleerd door Canton Business Corporation. Een bedrijf gevestigd op de Seychellen waarvan Alexander Vinnik de belangrijkste begunstigde is.
Hij is ook degene die de controle heeft over de BTC-e-accounts waarop 300.000 bitcoins uit de diefstal arriveerden, "Vamnedam", "Grmbit", "Petr" en "WME". Een ander deel van de fondsen (ongeveer 191.000 bitcoins) werd door dezelfde WME omgewisseld voor Amerikaanse dollars op de TradeHill-beurs. Achter hen stond Alexander Vinnik, die een kopie van zijn paspoort naar de beurs had gestuurd.
Onderzoekers koppelden ook een van de Apple-computers die door de Rus waren gekocht aan zijn Gmail-adres. In juni 2016 gaf Google informatie door over de verdachte accounts. Hun doelwit gebruikte deze doorgaans achter een Nederlandse proxy om zijn echte IP-adres te maskeren. Op 23 juli 2017 maakte Alexander Vinnik echter een fout.
Hij logde in op zijn [email protected]-account vanaf hetzelfde Griekse IP-adres dat eerder die dag was opgemerkt bij een verbinding met het Instagram-account van zijn vrouw. De Rus werd twee dagen later gearresteerd, een arrestatie die synoniem stond voor het einde van de ruil.
Veroordeeld in Frankrijk voordat hij werd uitgeleverd aan de Verenigde Staten
De uitlevering van Alexander Vinnik aan de Verenigde Staten zal echter via een omweg via Frankrijk verlopen. Nadat hij de rechters had verzekerd dat hij slechts een beursoperator was die niet op de hoogte was van de identiteit van zijn echte werkgevers, werd hij in Frankrijk veroordeeld tot vijf jaar gevangenisstraf voor het witwassen van de door de Locky-ransomware afgeperste ransomware.
Vervolgens, bijna een jaar nadat hij voor het eerst in de Verenigde Staten werd vastgehouden, werden in augustus 2022 de identiteiten van twee andere Russen die betrokken waren bij de hack en het witwassen van de Mt.Gox-buit onthuld.
Een aankondiging die toen werd geïnterpreteerd als een erkenning van falen. Het is immers onwaarschijnlijk dat zij nu Rusland zullen verlaten, een land dat zijn onderdanen niet uitlevert. De twee verdachten zijn Aleksandr Verner en Alexey Bilyuchenko. Destijds respectievelijk 29 en 43 jaar oud, zijn zij ook twee van de kopstukken van BTC-e, aangeklaagd door de Amerikaanse justitie in juni 2023.
Volgens journalist Andrey Zakharov, auteur van een boek (niet vertaald) over het onderwerp, is de eerste een programmeur met de bijnaam "ne0n". De tweede is een specialist in domeinnaamkaping. Twee mannen die al voor BTC-e met elkaar verbonden waren, zoals met dit portaal voor het Starcraft II-videospel, de site Smallarena.com.
In een artikel voor de BBC beschreef deze journalist hoe Bilyuchenko, een voormalig IT-manager voor een winkelketen in Novosibirsk, West-Siberië, naar verluidt ternauwernood aan de klopjacht in Griekenland ontsnapte. Ook op vakantie op Kreta op dat moment, maar buiten het vizier van de Amerikaanse justitie, werd de man met de bijnaam "de rode admin", verwijzend naar de kleur van zijn BTC-e-gebruikersnaam, naar verluidt door zijn moeder gewaarschuwd voor de arrestatie van Alexander Vinnik en nam hij onmiddellijk het eerste vliegtuig naar Moskou.
De procedure levert nieuwe details op over het circuit voor het witwassen van de 647.000 bitcoins die van Mt.Gox zijn gestolen.
Tussen maart 2012 en april 2013 vond er onder het mom van een vals advertentiecontract een overdracht plaats van $6,6 miljoen van een New Yorkse bitcoinmakelaar, vermoedelijk de tegenpartij voor een deel van de 300.000 BTC die naar BTC-e gingen. De naam van het bedrijf wordt niet vermeld.
Een ander gerechtelijk document, een samenvatting van de financiële onderzoeken van het Department of Homeland Security, stelt dat tussen april en november 2013 ook $2,5 miljoen via een rekening in Letland werd overgemaakt, van Memory Dealers – het voormalige bedrijf van Roger Ver, alias "Bitcoin Jesus" – en BitInstant – ooit geleid door Charlie Shrem, de voormalige voorzitter van de Bitcoin Foundation – naar Canton Business Corporation.
Ook dit in ruil voor internetadvertentiediensten waarvan onderzoekers geen spoor hebben gevonden.
In hetzelfde document melden Amerikaanse onderzoekers een totaal van $90 miljoen waarvan wordt vermoed dat het via Nieuw-Zeelandse banken is witgewassen. In 2020 verwelkomde de lokale politie deze inbeslagname, de grootste in haar geschiedenis.
Een deel van het geld, waar de schuldeisers van Mt.Gox op azen, zou via de FX Open-beurs zijn binnengekomen. Een handelsplatform onder controle van Aliaksandr Klimenka. Gepresenteerd als een van de leiders van BTC-e, werd deze man, beschuldigd van witwassen, zonder dat de Mt.Gox-hack werd genoemd, in december 2023 gearresteerd in Letland en vervolgens begin 2024 uitgeleverd aan de Verenigde Staten.
Het spoor van het van Mt.Gox gestolen geld eindigt daar. Het is waarschijnlijk dat alle fondsen al lang zijn weggesluisd.
Russische inlichtingendiensten betrokken bij BTC-e?
"Deze jongens hielden geen tokens achter in de hoop dat bitcoin zou stijgen, ze wilden gewoon zo snel mogelijk het geld terug," gelooft Kim Nilsson. De BTC-e-beurs liet ondertussen een schat achter – Chainalysis meldde in november 2022 de verplaatsing van het equivalent van $165 miljoen in bitcoin – waar men van gaat watertanden.
Journalist Andrey Zakharov beschreef hoe Alexey Bilyuchenko's poging om na de val van BTC-e een nieuwe beurs, Wex, op te richten, op niets uitliep.
Uiteindelijk veroordeeld door de Russische justitie tot drieënhalf jaar gevangenisstraf in september 2023 wegens verduistering, beweerde hij dat hij was gedwongen de wallets die aan de Amerikaanse inbeslagname waren ontsnapt, over te dragen aan een zogenaamd fonds van de FSB, de binnenlandse inlichtingendienst van Rusland.
En dit onder druk van een zekere Konstantin Malofeyev, een Russische oligarch die deze beschuldigingen betwistte en sprak van een campagne om hem in diskrediet te brengen. Een soort inlichtingenconnectie, echter, al eerder gezien.
De specialist in blockchainonderzoek Elliptic meldde namelijk het gebruik van het platform door hackers van "Fancy Bear", een groep gelinkt aan de GRU, de militaire inlichtingendienst van Rusland.
Beschuldigd van het hacken van het Democratic National Committee in juni 2016, voorafgaand aan de Amerikaanse presidentsverkiezingen, zouden deze hackers $100.000 aan bitcoins op BTC-e hebben gekocht. "Gerechtigheid zal eindelijk geschieden," hoopte acht jaar geleden Mark Karpelès na de arrestatie van Alexander Vinnik.
Het happy end lijkt nu ver weg.
>> Lees ook - Crypto-mixers: exclusief rapport over hun gebruik en bijdrage aan witwassen
Meer dan tien jaar na de spectaculaire ineenstorting van Mt.Gox blijft de zaak een raadsel. Doet de uitlevering van Alexander Vinnik aan Moskou definitief de hoop vervliegen om het mysterie van een van de grootste raadsels uit de geschiedenis van Bitcoin te ontrafelen? Een onderzoek naar de vertakkingen, die zelfs tot de Russische inlichtingendiensten zou kunnen leiden..
%201.png)
%201.png)
%201.png)
%201.png)
%201.png)
