Deutsche und US-amerikanische Behörden haben mit Unterstützung von Europol den Dienst ChipMixer ins Visier genommen, einen in der cyberkriminellen Unterwelt bekannten Kryptowährungsmischer. Laut Bundeskriminalamt (BKA) und der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) ist mit der konzertierten Aktion der weltweit umsatzstärkste Geldwäschedienst im Darknet abgeschaltet worden.

Wie die Ermittler am Mittwoch mitteilten, wurden dabei neben Serverinfrastruktur und Daten im Umfang von etwa sieben Terabyte auch 1909,4 Bitcoin sichergestellt (umgerechnet rund 44 Millionen Euro). Das sei die bisher höchste Sicherstellung von Kryptowerten durch das BKA.

Die Betreiber von Chipmixer stehen laut den Ermittlern unter anderem im Verdacht, gewerbsmäßige Geldwäsche und eine kriminelle Handelsplattform im Internet betrieben zu haben. Die US-Behörde FBI (Federal Bureau of Investigation) fahndet nach dem Hauptverdächtigen. Ein Sprecher der ZIT in Frankfurt schloss nicht aus, dass auch in Deutschland Verdächtige ermittelt werden.

Anonymität durch Mixing

Bei Chipmixer handelte es sich den Angaben zufolge um einen ab Mitte 2017 betriebenen Dienst, der vor allem Bitcoin mit mutmaßlich kriminellem Ursprung entgegennahm, um sie nach Verschleierungsvorgängen – dem sogenannten "Mixing" – wieder auszuzahlen. Um Ermittlungen zu erschweren oder ganz zu verhindern, wurden die eingezahlten Kryptowerte laut den Ermittlern in Kleinstbeträge geteilt – sogenannte Chips. Die Chips der Nutzer wurden demnach im Anschluss vermengt und die Herkunft der Gelder auf diese Weise verborgen. Das Portal Chipmixer habe seinen Nutzern vollständige Anonymität versprochen.

Anders als oft angenommen, bietet der Bitcoin ohne weitere Tools keine Anonymität. Nutzer werden nur durch Pseudonyme geschützt, Zahlungen sind in der öffentlich einsehbaren Blockchain nachvollziehbar. Mixingdienste sammeln im Prinzip Transaktionen der Mischwilligen in einem großen Pool und schicken von dort aus das Geld der Nutzer auf frische Adressen. Bei genug Beteiligten und geschickter Stückelung der Auszahlungen sind dann für Außenstehende die Geldflüsse kaum noch nachvollziehbar.

Beliebt bei Ransomware-Gaunern

Die Ermittler gehen davon aus, dass "ChipMixer" seit 2017 Kryptowerte in Höhe von etwa 154.000 Bitcoin beziehungsweise 2,8 Milliarden Euro gewaschen hat. Ein großer Teil dieser Gelder soll von Darknet-Marktplätzen und von Ransomware-Gruppierungen wie Zeppelin, SunCrypt, Mamba, Dharma oder Lockbit stammen.

Das Bewegungsmuster des Android-Handys des Hauptverdächtigen vom September 2016 bis März 2022 in Hanoi, Vietnam mit fast 150.000 Verbindungspunkten (Bild: Daniel AJ Sokolov/Gerichtsakte)

Ebenfalls bestehe der Verdacht, dass Teile von Kryptowerten, die 2022 im Zusammenhang mit der Insolvenz einer großen Krypto-Börse entwendet wurden, über Chipmixer gewaschen wurden. Auch Transaktionen in Millionenhöhe von der Darknet-Plattform Hydra Market konnten laut den Ermittlern nachgewiesen werden. Diese Plattform haben ZIT und BKA bereits vergangenen April abgeschaltet. Hydra Market war damals der umsatzstärkste illegale Darknet-Marktplatz.

Sogar staatliche Kunden

Die Ermittlungen sind noch nicht abgeschlossen. Das FBI ersucht um Hinweise zu Chipmixer und dessen Betreiber, wofür es auch Belohnungen geben kann. Der flüchtige Hauptverdächtige ist unterdessen am US-Bundesbezirksgericht für das östliche Pennsilvanien wegen Geldwäsche, Identitätsanmaßung und dem Betrieb eines unlizenzierten Finanztransaktionsdienstes angeklagt. Das Strafverfahren heißt USA v. Minh Quốc Nguyễn, Az. 23-MJ-528.

Laut der verfahrenseröffnenden Eingabe des FBI bei Gericht haben auch staatliche Dienste Chipmixer genutzt. Laut FBI hat der russische Militärgeheimdienst Chipmixer genutzt, um Kryptowährungen zu waschen, die dazu genutzt wurden, Infrastruktur für den Betrieb der Linux-Malware Drovorub zu bezahlen.

Nordkorea soll sowohl Beute aus dem Raub beim Blockchainspiel Axie Infinity als auch aus dem Hack der Kryptowährungs-Brücke Harmony Horizon bei Chipmixer gewaschen haben. Beide Einbrüche gehen offenbar auf das Konto der staatlichen Hackertruppe Lazaraus/APT38, die illegal Devisen für die Demokratische Volksrepublik Korea beschafft.

(axk)