Bijna iedereen die ‘in’ bitcoins zat begin 2014 bezat waarschijnlijk ooit munten bij de grootste Bitcoin-exchange tot dan toe: Mt. Gox. Iedereen die nog nooit van Bitcoin had gehoord, wist nu dat er heel veel geld gestolen was bij dat handelshuis, namelijk 850.000 bitcoins, toen zo’n 450 miljoen dollar waard. Een in Japan woonachtige Fransman en eigenaar van Mt. Gox werd verantwoordelijk gehouden. Hij werd opgepakt en een langdurig proces volgde.
“#MtGox #Bitcoin thief arrested in Greece yesterday. Props to all the people who have worked on this incl. @nikuhodai” tweete de eerder genoemde Fransman Mark Karpeles om 18:46 uur woensdagavond, 26 juli 2017.
Niet veel later om 19:52 uur een tweet van WizSec, een Bitcoin Security Specialist die sinds de Mt. Gox-hack bezig was met onderzoek naar de diefstal. “Breaking open the MtGox case (comments on today’s news):” met vervolgens een link naar een blogpost van de firma.
Het hele circus begon allemaal een dag eerder, dinsdag aan het eind van de dag: BTC-e.com, een oude en grote Russische exchange voor heel veel verschillende digitale munten waaronder Bitcoin, had een storing. Het zou gaan om niet-gepland onderhoud, meldde de site in een tweet.
In zijn lange bestaan sinds juli 2011 was BTC-e altijd een vrij grote speler, maar qua uiterlijk bleef het een site zonder innovatie en hij behield al die jaren zijn archaïsche looks. BTC-e had verder een populaire ‘troll-box‘ waar mensen ongegeneerd zin en onzin de wereld in konden slingeren. De eerste 4 jaar had de site veel problemen met DDoS-aanvallen, maar dat leek de afgelopen drie jaar sterk teruggedrongen. Maar goed, ondanks alles: storingen kunnen ontstaan en in eerste instantie wachtten de gebruikers van BTC-e dan ook ‘rustig’ af naar aanleiding van de tweet van het bedrijf.
De volgende ochtend werd het gevoel in Europa toch wat minder. Wat zou er gebeurd kunnen zijn? En omdat elke transactie die ooit op het Bitcoin-netwerk gedaan wordt zichtbaar is, kregen velen op Twitter extra stress: er zouden ruim 66 duizend bitcoins verplaatst zijn sinds het moment dat de exchange uit de lucht ging. Of het om munten uit de virtuele portemonnees van BTC-e ging, was – en is – nog niet bekend.*
Op hetzelfde moment meldde persbureau Reuters dat Alexander Vinnik opgepakt was in Griekenland. De 38-jarige Rus werd verdacht van het witwassen van 4 miljard dollar. De gearresteerde man bleek een van de oprichters van BTC-e.
Dat is wel heel veel toeval. Twitter explodeerde, nou ja, binnen een bepaalde groep. Reddit ging los en fora van bezitters van cryptovaluta deden ook een duit in het zakje. Normale nieuwssites berichtten voornamelijk over een gearresteerde Rus die 4 miljard had witgewassen sinds 2011 door gebruikt te maken van de digitale munt Bitcoin. En daarmee was voor de normalemensenwereld weer even duidelijk dat cryptogeld stout is en iedereen kan weer rustig gaan slapen.
Maar die tijd is voorbij en het is belangrijk hier kennis van te nemen. En dat kennisnemen kan zelfs een stuk interessanter worden doordat WizSec een heel blog wijdt aan het onderzoek; een reconstructie van een misdaad of reeks misdaden.
WizSec windt er geen doekjes om: “Vinnik is onze belangrijkste verdachte bij de Mt. Gox-diefstal (of het witwassen van de opbrengst daarvan). Dit is het resultaat van jaren werk van verschillende onderzoekers die allemaal dezelfde uitkomsten delen. Iedereen moest zijn mond houden om geen verdachten te alarmeren.”
Deze eerste blogpost van WizSec sinds de arrestatie van Vinnik is voornamelijk een samenvatting van wat er tot nu toe gebeurd is, te beginnen bij het eerste debacle bij Mt. Gox dat hiermee te maken heeft in 2011. De privésleutels van een zogenaamde hot wallet waren gestolen. Heel kort uitgelegd: een bitcoinportemonnee van een computer die op internet aangesloten was, was gejat. Dit stelen bestond uit het simpelweg kopiëren van het wallet.dat-bestand. Alsof je een Word-document kopieert en aan een vriend(in) geeft.
Met de kopie konden de dieven ongestoord alle bitcoins binnenkrijgen en gebruiken die naar de aan de wallet.dat gekoppelde bitcoinadressen gestuurd werden zonder dat Mt. Gox het doorhad. In de daaropvolgende jaren werd op die manier steeds een beetje geld in vorm van bitcoins weggesluisd. Deze munten werden naar bitcoinportemonnees beheerd door Vinnik gestuurd. Medio 2013 waren er zo’n 630.000 bitcoins gestolen van Mt. Gox.
Maar dat was niet alles. Doordat de sleutels van de wallet.dat gedeeld waren, werden adressen vaker gebruikt en dit zorgde voor fouten binnen de systemen van Mt. Gox waardoor sommige uitgaven door de dief als stortingen bij Mt. Gox gezien werden. Hierdoor vergrootte de min op de balans nog eens met 40.000 bitcoins bij de geplaagde exchange doordat de coins terechtkwamen bij gebruikers van Mt. Gox. Fijntjes schrijft WizSec dat niemand dit blijkbaar even gemeld had.
Nadat de munten in de wallets van Vinnik terechtkwamen, werden de meeste coins doorgesluisd naar BTC-e en vervolgens verkocht of witgewassen. Zo’n 300.000 bitcoins eindigden volgens WizSec bij BTC-e. Andere munten kwamen op andere exchanges terecht. Ook bij Mt. Gox zelf.
De wijze waarop een deel van het kapitaal naar BTC-e verplaatste, namelijk naar interne opslagadressen van BTC-e, wijst op een relatie tussen de exchange en Vinnik. Ook gestolen fondsen van andere diefstallen werden via BTC-e verhandeld.
Uiteindelijk kon Vinnik geïdentificeerd worden als dader bij het witwassen van bitcoins via BTC-e doordat hij een deel van de munten terug naar Mt. Gox had gestuurd. Die Mt. Gox-rekening kon gelinkt worden een online-identiteit ‘WME’ van Vinnik omdat hij op het populaire bitcoinforum ‘Bitcoin Talk’ gewag gemaakt had van munten die van hem gestolen waren.
Hiermee is Vinnek als witwasser geïdentificeerd, maar niet als hacker of dief. WizSec schrijft daarover: “mogelijk heeft hij [Vinnik] goedkope munten van dieven gekocht die aan hem werden aangeboden via een witwasdienst. Hij is hoe dan ook een cruciaal puzzelstukje omdat hij vermoedelijk wist met wie hij handelde en voor wie hij witwaste”.
Het is de hoop van de onderzoekers dat nu ook overige verdachten naar voren zullen komen. Verder beloven de onderzoekers binnenkort meer details vrij te geven over de zaak.
Op het blog staat een bestand met een zogenaamde flow chart van alle relaties tussen de verschillende bitcoinadressen, wat nogmaals duidelijk maakt dat alles wat in de blockchain van Bitcoin staat, gevolgd kan worden.
Update: inmiddels is er een verklaring van het US Department of Justice waarbij zowel Vinnik als BTC-e als crimineel worden weggezet. Wat dit betekent voor niet-witwassende gebruikers van BTC-e is vooralsnog niet duidelijk. De Financial Crimes Enforcement Network (FinCEN) heeft in niet mis te verstane woorden te kennen gegeven dat iedereen die in de VS handelt en niet de juiste papieren heeft, op vervolging kan rekenen: “We will hold accountable foreign-located money transmitters, including virtual currency exchangers, that do business in the United States when they willfully violate U.S. AML laws.”
* althans niet bij het normale publiek, we wachten af…
Mochten ze niet meer online komen, kunnen de traders dan de krachten bundelen om juridisch aan te vechten? Zo zuur om je geld kwijt te raken
Heel lastig, ik durf niet te zeggen hoe het zit. Momenteel heeft de FinCED z’n zinnen erop gezet en er was/is geen officiële eigenaar. Hun Twitter-feed doet anders geloven op dit moment, maar het zou de Amerikaanse autoriteiten sieren om hierover uitsluitsel te geven (en ook hoeveel tijd het nog zou moeten kosten voor ‘normale’ mensen weer bij hun bezittingen kunnen komen).
Vooralsnog is het een hoop gespeculeer.
De aantijgingen aan BTCe zijn onder andere in de Court Order te lezen (https://www.justice.gov/usao-ndca/press-release/file/984661/download). En een duidelijker stuk FinCEN over de aanklacht richting BTCe: https://www.fincen.gov/news/news-releases/fincen-fines-btc-e-virtual-currency-exchange-110-million-facilitating-ransomware