Bitfinex hack: spraakmakende verdachten gearresteerd met ruim €3,5 miljard aan BTC

De Amerikaanse autoriteiten hebben twee personen gearresteerd op verdenking van het witwassen van de fondsen die werden gestolen bij de Bitfinex hack in 2016. Er werd ruim 94.000 BTC teruggevonden; het gros van de gestolen fondsen. De verdachten blijken een spraakmakend koppel: een jonge tech-ondernemer en een kleurrijke Forbes-schrijfster en amateur-rapper met de alias 'Razzlekhan'.

In augustus van 2016 werd de exchange Bitfinex gehackt. Het was één van de grootste hacks: zo'n 120.000 BTC aan klantfondsen werd buitgemaakt, destijds met een waarde van ruim €60 miljoen euro. Om insolvabiliteit te voorkomen verdeelde Bitfinex de verliezen over alle klantaccounts, die ieder met 36% werden gekort. Ter compensatie ontvingen gebruikers een token die als een soort tegoedbon diende.

Wat er daarna gebeurde is niet helemaal duidelijk. Jarenlang werden de gestolen bitcoins via blockchainanalyse in de gaten gehouden door exchanges, bitcoiners en de autoriteiten. Verkopen via een exchange was daardoor praktisch onmogelijk, of op zijn minst een enorme uitdaging.

Een klein deel van de gestolen fondsen werd in 2019 door Justitie teruggevonden. Later dat jaar werden in Israël ook twee mannen opgepakt die achter phishing-oplichting zaten en met de gestolen fondsen in verband werden gebracht.

94.000 BTC

Nu blijkt dat het gros van de gestolen bitcoins terecht kwam bij een jong Amerikaans stel. De Amerikaanse Justitie maakte bekend dat de twee zijn gearresteerd en in het bezit waren van ruim 94.000 BTC afkomstig uit de hack. Tegen de huidige koers vertegenwoordigt dat een waarde van ruim €3,5 miljard euro. De twee worden verdacht van het witwassen van de gestolen fondsen, maar het is niet duidelijk of zij ook verdacht worden van de daadwerkelijke hack.

Ze zouden zo'n 25.000 BTC via ingewikkelde methodes hebben witgewassen. Ze gebruikten daarbij onder andere fictieve identiteiten om de fondsen op accounts bij exchanges en dark markets te storten en weer op te nemen, en ook probeerden ze het spoor te verhullen door de fondsen via andere blockchains te verplaatsen. De autoriteiten kregen hen in het vizier omdat ze met bitcoin geschenkbonnen kochten, waarmee ze producten bestelden en op hun woonadres lieten bezorgen.

Een restant van 94.000 BTC bleek nog in hun bezit. De autoriteiten vonden de gestolen fondsen via een account van de verdachte bij een clouddienst, waar een bestand stond opgeslagen met daarin de private keys van de wallets met de gestolen bitcoins.

Het is de grootste vangst ooit. "De arrestaties van vandaag, en de grootste financiële confiscatie van het departement ooit, tonen dat cryptovaluta geen veilige haven is voor criminelen", zei plaatsvervangend procureur-generaal Lisa Monaco. "In een tevergeefse poging om hun digitale anonimiteit te behouden, hebben de verdachten fondsen witgewassen via een doolhof aan cryptovaluta-transacties. Dankzij het zorgvuldige handhavingswerk toont het departement opnieuw hoe het geldsporen kan en zal volgen, ongeacht welke vorm het aanneemt."

Opmerkelijkheden

Het is een opmerkelijke zaak. De twee verdachten zijn namelijk een kleurrijk koppel. Hij blijkt een weinig opzienbarende jonge tech-ondernemer maar de vrouw van het stel schreef onder ander voor Forbes, gaf lezingen over _social engineering_ en profileerde zichzelf op social media als de rapper 'Razzlekhan' - een zelfverklaarde 'crocodile of Wall Street'. De absurdistische social media-uitingen verspreidden zich al snel onder de bitcoincommunity.

Daar reageerde men vooral verbaasd, want het duo voldoet niet bepaald aan het stereotype beeld van hackers. Velen twijfelen of de twee de technische vaardigheden hebben om een succesvolle hack op een bitcoinexchange uit te voeren. Die twijfels worden versterkt omdat de private keys werden opgeslagen in een bestand bij een clouddienst, in plaats van bijvoorbeeld een hardware wallet. Er gaan geruchten rond dat het bestand bovendien onversleuteld was, maar dat lijkt niet aan de orde.

Sommigen speculeren dat de oorspronkelijke hackers de fondsen mogelijk hebben doorverkocht aan derden.

Social engineering?

Wellicht schuilt er meer achter het verhaal. 'Razzlekhan' profileerde zich in haar video's als een welhaast komisch karikatuur, maar daarnaast schreef ze ook artikelen voor Forbes met tips over hoe jezelf te beschermen tegen cybercriminelen. Op internet circuleert ook een video van een presentatie die ze gaf over 'social engineering'.

Dat is een vorm van sociaal 'hacken' waarbij mensen met leugens en bedrog worden gemanipuleerd om veiligheidsmaatregelen te omzeilen. Tijdens de lezing gaf ze tips en enkele voorbeelden van een aantal van haar 'successen'. Sommigen wijzen erop dat BitGo, een bedrijf dat samenwerkte met Bitfinex, in het verleden al eens aangaf dat de hack niet alleen systemen betrof, maar ook mensen. Opmerkelijk genoeg bleek dat de verdachte bij datzelfde bedrijf in 2020 nog een presentatie gaf over hoe bedrijven zichzelf en hun klanten kunnen beschermen tegen cybercrime.

Exacte details over de aard van de hack zijn echter nog altijd onbekend. Paolo Ardoino, CTO van Bitfinex, liet weten dat veel informatie pas kan worden vrijgegeven wanneer de zaak is afgerond. Wel is het volgens hem een bijzonder verhaal. "Ooit zal er waarschijnlijk iemand zijn die een boek schrijft over de precieze gebeurtenissen, interessante details, achter de schermen, etc.", twitterde hij erover.

Tokens

Als de gestolen fondsen worden teruggegeven dan ontvangt Bitfinex ze waarschijnlijk en niet de klanten van wie ze ooit waren. Zij kregen in het verleden tokens ter compensatie en volgens de regeling worden teruggevonden fondsen gebruikt om de tokens terug te kopen van de markt. Zo zou het geld alsnog terugvloeien. Toch hebben veel getroffenen hun compensatie-tokens waarschijnlijk in het verleden reeds van de hand gedaan en zijn veel van de tokens tegenwoordig in handen van handelaren.

Bitcoin en criminelen

Bitcoin lijkt aantrekkelijk voor criminelen, maar in de praktijk blijkt dat erg tegen te vallen. Op de blockchain laten transacties namelijk een permanent spoor achter, dat zelfs voor de meest ervaren bitcoiners zeer lastig te verhullen is. Er bestaan trucs maar nauwelijks garanties en een enkele misstap is genoeg om op de radar terecht te komen. Zodra gestolen fondsen eenmaal in het vizier zijn, zijn zowel de risico's als de pakkans erg groot.