Rekord: Bundeskriminalamt konfisziert Bitcoins im Wert von 44 Millionen Euro
Bild von Photo Graf via flickr.com. Lizenz: Öffentliche Domäne
Das BKA hat mit ChipMixer den angeblich umsatzstärksten Bitcoin-Mixer dichtgemacht – und dabei eine ansehnliche Menge Bitcoins beschlagnahmt.
Laut den Schätzungen der Polizei hat ChipMixer seit 2017 rund 154.000 Bitcoins gewaschen, was derzeit rund vier Milliarden Euro entspricht. ChipMixer wurde im Kontext von Darknetmarktplätzen, Ransomware-Gangs und anderen Cybercrime-Spielarten verwendet.
Dieser laut Pressemitteilung größte Bitcoin-Mixer teilte die eingezahlten Bitcoins in Kleinstbeträge auf – sogenannte Chips -, die gut zu vermischen sind und so laut dem Mixer vollständige Anonymität gewährleisteten.
Nun haben das Bundeskriminalamt (BKA) und die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) die in Deutschland stationierten Server von ChipMixer konfisziert. Bei den Ermittlungen arbeiteten die deutschen Behörden eng mit dem US-Justizministerium, dem FBI und Europol zusammen. Bei der Beschlagnahmung der Server fanden die Ermittler auch sieben Terabyte an Daten vor sowie Bitcoins im Wert von 44 Millionen Euro zum Zeitpunkt der Pressemitteilung. Die Betreiber von ChipMixer sind offenbar bekannt, aber untergetaucht; das FBI und US-Justizministerium schreiben eine Belohnung für relevante Hinweise aus.
Die Pressemitteilung des BKA rühmt sich für den „erneuten Erfolg bei der Bekämpfung der Internetkriminalität“, der das Ergebnis „innovativer Bekämpfungsstrategien gegen die weltweite Cybercrime-Industrie“ sei. Geldwäschedienste wie ChipMixer seien ein wichtiger Bestandteil des Cybercrime-Ökosystem. Die Daten, die man bei ChipMixer fand, sollen dabei helfen, „weitere Cyber-Straftaten“ aufzudecken und „zu verhindern, dass deutsche Infrastrukturen zu kriminellen Zwecken mit Geldern aus illegalen Handlungen missbraucht werden.“
Details dazu, wie die Polizei die Server des im Tor-Netzwerk verborgenen Mixers aufspürte, liefert die Pressemitteilung nicht. Sie gibt maximal den Hinweis, dass auch „Transaktionen in Millionenhöhe“ vom Hydra-Marktplatz, den BKA und ZIT im April 2022 abgeschalten haben, nachzuweisen sind. Fand die Polizei, als sie die Hydra-Server beschlagnahmte, womöglich Spuren auf den Server von ChipMixer? Oder ist das nur Spekulation?
Die beschlagnahmten Bitcoins hingegen seien die „höchste bisher vorgenommene Sicherstellung von Kryptowerten durch das BKA“. Wir haben also einen Rekord. Die Coins dürften heute, eine Woche nach der Veröffentlichung der Pressemitteilung, erheblich mehr wert sein, vermutlich eher 60 als 44 Millionen Euro. Sie werden vermutlich von der Polizei bzw. der Frankfurter Staatsanwaltschaft auf Bitcoin-Marktplätzen wie Bitcoin.de verkauft werden. Das Justizministerium von Nordrhein-Westfalen hat zwar im Herbst 2021 eine eigene Seite zur Versteigerung von konfiszierten Bitcoins eingerichtet. Doch das Beispiel hat offenbar keine Schule gemacht.
Da der Verkauf von Bitcoins durch Behörden in Deutschland naturgememäß die eine oder andere Woche dauert, könnte das BKA nun gebannt Bitcoin-Kurs verfolgen und bullisch mitfiebern, ob die Preise weiter steigen. Jeder Prozent, den Bitcoin mehr wert wird, wird das Budget der Bundeskriminalpolizei stärken.
Wenn man alle Tor-Server überwacht, kann man Netzwerkverkehrsanalysen machen. ich denke die Dienste haben sicher auch eine große Menge an eigenen Tor-Servern und den Rest werden sie überwachen. Das ist sicher kein Hexenwerk. Es wurden schon mehrfach durch Tor geschützte Server ausgehoben, das habe ich öfter gelesen.
Sicher, kein Protokoll ist perfekt, aber Tor bietet schon einige ausgeklügelte Mechanismen, das zu erschweren und ich würde Betreibern solcher Services schon einiges an Verständnis zumuten.
Erstens kontrolliert der Serverbetreiber die Route zu seinem Entry Guard selbst, wird also möglichst namhafte, vertrauenswürdige Organisationen wie z.B. den CCC für seine Route auswählen, oder sogar eigene Relays aufsetzen, bei denen er zu 100% sicher sein kann, dass sie nicht loggen (natürlich kann das der Hoster immer noch am Switch). Zudem kann das Frontend als Tor Entry auf einem beliebigen VPS gehostet werden, das über entsprechende (z.B. SSH) Tunnels mit dem Backend verbunden ist, in diversen Ländern, möglichst solchen, die nicht miteinander zusammenarbeiten.
Je mehr Traffic man allerdings generiert, desto auffälliger wird die Operation und mittels Sybil Attacken kann man durchaus einiges erkennen, vor allem wenn man als Geheimdienst Zugriff auf Internetknoten hat. Meistens geht aus den Gerichtsakten aber hervor, dass die Betreiber an irgendeiner Stelle einen offensichtlichen Fehler gemacht haben, sei es das Verknüpfen von gemixten Outputs auf der Bitcoin Blockchain mit „sauberen“, die irgendwo per KYC identifizierbar sind, IP Leaks oder ähnliches.
Ich finde übrigens die Tor Alternative I2p spannender, denn sie agiert komplett abgeschottet vom Clearnet, während Tor zu >90% als Proxy ins Clearnet verwendet wird und das Ökosystem der Hidden Services sich fast nur auf illegale Angebote beschränkt, statt mit der Nutzung von Tor legitim zu einem tatsächlich dezentralen Netzwerk zu wachsen. I2p hat dadurch aber auch deutlich weniger Nutzer und ich kann nicht sagen, welches Netzwerk aktuell „sicherer“ ist, dazu habe ich mich damit zu wenig beschäftigt.