Bitfinex-Hacker verurteilt : 5 Jahre Haft für Bitfinex-Hacker Ilja Lichtenstein
Der spektakuläre Hack auf die Krypto-Börse Bitfinex im Jahr 2016 hat für Ilja Lichtenstein ein juristisches Ende gefunden. Mit fortschrittlichen Hacking-Methoden stahl er Bitcoin im Wert von Milliarden und verschleierte die Spuren durch ausgeklügelte Geldwäsche.
Ilja Lichtenstein wurde wegen seiner Beteiligung an einem Geldwäschesystemangeklagt, das den Diebstahl von fast 120.000 Bitcoins ermöglichte – ein Betrag, der heute über 10,5 Milliarden US-Dollar wert ist. Auch seine Frau, Heather Rhiannon Morgan, bekannte sich letztes Jahr schuldig. Beide wurden im Februar 2022 festgenommen, Morgans Urteil soll in den kommenden Tagen verkündet werden.
Laut dem US-Justizministerium hackte sich der 35-jährige Lichtenstein im Jahr 2016 in das Netzwerk der Kryptowährungsbörse Bitfinex. Mit fortschrittlichen Hacking-Methoden initiierte er über 2.000 betrügerische Transaktionen und überwies 119.754 Bitcoins auf eine von ihm kontrollierte Wallet.
Eine Analyse von TRM Labs ergab, dass Lichtenstein eine Sicherheitslücke im Multi-Signatur-System von Bitfinex ausnutzte. Dieses System erforderte damals die Genehmigung von mindestens zwei Parteien, darunter Bitfinex und dem Drittanbieter BitGo, um Abhebungen zu autorisieren. Lichtenstein schaffte es jedoch, den Genehmigungsprozess von BitGo zu umgehen und so eigenständig Abhebungen durchzuführen.
Um den Diebstahl zu verschleiern, löschte er Zugangsdaten und Protokolldateien aus dem Bitfinex-Netzwerk. Gemeinsam mit Morgan nutzte er gefälschte Identitäten, um Online-Banking-Konten einzurichten und die gestohlenen Gelder zu waschen. Sie verwendeten Darknet-Marktplätze und Kryptowährungsbörsen, um die Bitcoins zu verschleiern. Die Gelder wurden in andere Kryptowährungen umgewandelt (sogenanntes „Chain-Hopping“), über Mischdienste wie Bitcoin Fog anonymisiert, in Fiat-Währung und Goldmünzen umgetauscht und auf US-Bankkonten überwiesen.
Ilja Lichtenstein und Heather Morgan: Ein kriminelles Duo
Die Ereignisse stehen in Zusammenhang mit der Verurteilung von Roman Sterlingov, dem 36-jährigen Gründer des Bitcoin-Mischdienstes Bitcoin Fog, der zwischen 2011 und 2021 Beihilfe zur Geldwäsche geleistet hatte. Sterlingov wurde zu 12 Jahren und sechs Monaten Haft verurteilt. Anfang des Jahres hatte Ilja Lichtenstein vor Gericht ausgesagt, Bitcoin Fog mehrfach zur Geldwäsche seiner gestohlenen virtuellen Vermögenswerte genutzt zu haben.
Ein entscheidender Durchbruch in den Ermittlungen gegen Lichtenstein und seine Frau Heather Morgan war der Kauf von Walmart-Geschenkkarten mit den gestohlenen Bitcoins. Diese Geschenkkarten wurden später über die iPhone-App von Walmart eingelöst – unter einem Konto, das auf Heather Morgans Namen registriert war. Diese Spur führte die Ermittler zu einem Durchsuchungsbefehl für die Wohn- und Cloud-Speicher der beiden. Dabei entdeckten sie Dateien mit privaten Schlüsseln, die zu den verwendeten Kryptowährungsadressen gehörten, sowie gefälschte Informationen, die für die Eröffnung von Konten bei Kryptobörsen genutzt wurden, und Pläne für den Erwerb falscher Pässe.
Chainalysis, ein Unternehmen für Blockchain-Analyse, erklärte, dass diese Entdeckungen es den Ermittlern ermöglichten, den gesamten Geldfluss des Paars nachzuvollziehen.
Heather Morgan, die laut Associated Press auch unter dem Künstlernamen „Razzlekhan“ als Rapperin und Autorin bekannt ist, lebte mit Lichtenstein zur Zeit des Hacks in San Francisco. Laut Staatsanwaltschaft plante und führte Lichtenstein den Bitfinex-Hack durch, ohne Morgan zunächst darüber zu informieren. Später bat er sie um Hilfe, ohne die genauen Details preiszugeben. Obwohl Morgan eine aktive Teilnehmerin war, wird sie als Mitwirkende auf niedrigerer Ebene eingestuft.
Chinesischem Staatsbürger drohen 20 Jahre US-Haft wegen Betrugsmasche
Neben Lichtenstein wurde in einem ähnlichen Verfahren auch Daren Li, 41, für schuldig bekannt, Teil eines kriminellen Netzwerks gewesen zu sein, das 73,6 Millionen US-Dollar durch Krypto-Investmentbetrug erbeutete und diese Gelder über Briefkastenfirmen und internationale Bankkonten wusch. Li wurde im April 2024 in Atlanta verhaftet und soll im März nächsten Jahres verurteilt werden. Ihm drohen bis zu 20 Jahre Haft.
Das US-Justizministerium erklärte: „Li gab zu, gemeinsam mit anderen Geld aus Kryptowährungsbetrügereien gewaschen zu haben. Dazu nutzte er verschlüsselte Nachrichten-Dienste, um mit seinen Mitverschwörern zu kommunizieren.“
Um die Herkunft und Kontrolle der erbeuteten Gelder zu verschleiern, wies Li seine Komplizen an, Bankkonten für Briefkastenfirmen zu eröffnen. Über diese Konten wurden die Gelder per Überweisung innerhalb der USA und international transferiert. Anschließend flossen sie in Finanzkonten des Netzwerks, wurden in Kryptowährungen wie Tether umgewandelt und an Wallets von Li und seinen Komplizen verteilt.
U.S. Rechtsanwalt Martin Estrada warnte: „Finanzkriminelle und ihre Helfer richten immensen Schaden an und ruinieren Leben. Anleger sollten wachsam sein und skeptisch gegenüber Versprechungen von schnellen Gewinnen durch neuartige Investments bleiben – das könnte sie vor finanziellem Ruin bewahren.“