Einige Stunden später eröffneten die Hacker mindestens zwei Dutzend anonyme Konten bei Binance, der weltweit größten Börse für Kryptowährungen. So konnten sie die gestohlenen Gelder umwandeln und die Spur des Geldes verwischen, wie die Korrespondenz zwischen der slowakischen Polizei und Binance zeigt.
In nur neun Minuten erstellten die Lazarus-Hacker Binance-Konten und handelten mit Kryptowährungen, die sie von der slowakischen Börse Eterbase gestohlen hatten. Dies geht aus Kontoaufzeichnungen hervor, die Binance mit der Polizei geteilt hat und die hier zum ersten Mal veröffentlicht werden.
"Binance hatte aufgrund der Anonymität der Konten keine Ahnung, wer Geld über ihre Börse bewegte", sagte der Mitbegründer von Eterbase, Robert Auxt, dessen Unternehmen nicht in der Lage war, die Gelder ausfindig zu machen oder wiederzuerlangen.
Das verlorene Geld von Eterbase ist Teil einer Flut von illegalen Geldern, die von 2017 bis 2021 über Binance geflossen sind, wie eine Untersuchung von Reuters ergab.
In diesem Zeitraum wickelte Binance Transaktionen in Höhe von mindestens 2,35 Milliarden Dollar ab, die aus Hacks, Anlagebetrug und illegalen Drogenverkäufen stammten. Dies errechnete Reuters anhand einer Untersuchung von Gerichtsakten, Aussagen von Strafverfolgungsbehörden und Blockchain-Daten, die von zwei Blockchain-Analysefirmen für die Nachrichtenagentur zusammengestellt wurden. Zwei Branchenexperten haben die Berechnung überprüft und stimmen der Schätzung zu.
Unabhängig davon kam der Kryptoforscher Chainalysis, der von US-Regierungsbehörden beauftragt wurde, illegale Geldströme zu verfolgen, in einem Bericht aus dem Jahr 2020 zu dem Schluss, dass Binance allein im Jahr 2019 kriminelle Gelder in Höhe von 770 Millionen Dollar erhalten hat, mehr als jede andere Kryptobörse. Der CEO von Binance, Changpeng Zhao, beschuldigte Chainalysis auf Twitter einer "schlechten Geschäftsetikette".
Binance lehnte es ab, Zhao für ein Interview zur Verfügung zu stellen. In einer Antwort auf schriftliche Fragen sagte Patrick Hillmann, Chief Communications Officer, dass Binance die Berechnung von Reuters nicht für korrekt halte. Er reagierte nicht auf Anfragen, die eigenen Zahlen von Binance für die in diesem Artikel genannten Fälle zu nennen. Er sagte, Binance baue "das anspruchsvollste Cyber-Forensik-Team der Welt" auf und versuche, "unsere Fähigkeit, illegale Krypto-Aktivitäten auf unserer Plattform aufzudecken, weiter zu verbessern."
Wie Reuters im Januar berichtete, überprüfte Binance seine Nutzer bis Mitte 2021 nur unzureichend auf Geldwäsche, obwohl hochrangige Mitarbeiter des Unternehmens schon mindestens drei Jahre zuvor Bedenken geäußert hatten. Als Reaktion auf diesen Artikel sagte Binance, dass es dazu beiträgt, höhere Industriestandards voranzutreiben und dass die Berichterstattung "völlig veraltet" sei. Im August 2021 zwang Binance neue und bestehende Nutzer, sich zu identifizieren.
Mit rund 120 Millionen Nutzern weltweit wickelt Binance jeden Monat Kryptohandel im Wert von Hunderten von Milliarden Dollar ab. Der Sektor wurde im Mai von einer scharfen Korrektur getroffen, bei der sein Gesamtwert um ein Viertel auf 1,3 Billionen Dollar einbrach. Zhao sagte, er sehe eine "neu gefundene Widerstandsfähigkeit" auf dem Markt.
In der Zwischenzeit weitet sein Unternehmen seinen Einfluss auf das traditionelle Geschäft aus, indem es in diesem Jahr eine Investition von 200 Millionen Dollar in die Mediengruppe Forbes ankündigte und 500 Millionen Dollar in das Angebot von Tesla-Chef Elon Musk zur Übernahme von Twitter investierte. Forbes hat seine Pläne, an die Börse zu gehen, letzte Woche aufgegeben und ein Sprecher von Forbes sagte, dass die Investition von Binance nicht zustande kommen wird. Musk hat auf Anfragen nach einem Kommentar nicht reagiert.
Der von Reuters ermittelte Fluss illegaler Kryptowährungen über Binance macht nur einen kleinen Teil des gesamten Handelsvolumens der Börse aus. Doch während Politiker und Regulierungsbehörden, darunter die US-Finanzministerin Janet Yellen und die Präsidentin der Europäischen Zentralbank Christine Lagarde, ihre Besorgnis über die illegale Nutzung von Kryptowährungen äußern, zeigt der Handel, wie Kriminelle die Technologie nutzen, um schmutziges Geld zu waschen.
Für diesen Artikel hat Reuters Beamte der Strafverfolgungsbehörden, Forscher und Opfer von Straftaten in einem Dutzend Ländern, darunter in Europa und den Vereinigten Staaten, befragt, um die anhaltenden Auswirkungen vergangener Lücken in den Anti-Geldwäsche-Regeln von Binance zu bewerten.
Reuters hat detaillierte Daten über Transaktionen von Binance-Kunden auf "Darknet"-Seiten, Marktplätzen für Betäubungsmittel, Waffen und andere illegale Gegenstände, ausgewertet. Die meisten dieser Daten wurden von Crystal Blockchain zur Verfügung gestellt, einem in Amsterdam ansässigen Analyseunternehmen, das Unternehmen und Regierungen bei der Rückverfolgung von Kryptogeld unterstützt. Die Daten zeigten, dass von 2017 bis 2022 Käufer und Verkäufer auf dem weltweit größten Darknet-Drogenmarkt, einer russischsprachigen Seite namens Hydra, Binance nutzten, um Krypto-Zahlungen im Wert von 780 Millionen Dollar zu tätigen und zu empfangen. Reuters hat diese Zahlen mit einem anderen Analyseunternehmen abgeglichen, das den Ergebnissen zustimmte.
Im April gab das US-Justizministerium bekannt, dass die amerikanischen und deutschen Strafverfolgungsbehörden die Server von Hydra beschlagnahmt hatten. Die USA klagten den mutmaßlichen Administrator der Server wegen Verschwörung zur Geldwäsche und zum Vertrieb von illegalen Drogen an. Die Website wurde geschlossen und der mutmaßliche Administrator von den russischen Behörden verhaftet.
Die für Reuters zusammengestellten Daten beinhalten Kryptowährungen, die mehrere digitale Geldbörsen durchliefen, bevor sie Binance erreichten. Für Krypto-Firmen sind solche "indirekten" Geldflüsse mit Verbindungen zu bekannten verdächtigen Quellen ein Warnsignal für Geldwäsche, so die Financial Action Task Force, eine globale Aufsichtsbehörde, die Standards für Behörden zur Bekämpfung der Finanzkriminalität festlegt. Geldwäscher verwenden oft ausgeklügelte Techniken, um komplexe Ketten von Kryptotransfers zu erstellen, die ihre Spuren verwischen, so die FATF und der Internationale Währungsfonds.
Hillmann, der Sprecher von Binance, sagte, dass die Hydra-Zahl "ungenau und übertrieben" sei und dass Reuters fälschlicherweise indirekte Ströme in seine Berechnung einbeziehe.
Reuters fragte daraufhin, wie Binance seine Verantwortung für die Überwachung seines indirekten Engagements in schmutzigem Geld sieht. Hillmann antwortete: "Wichtig ist nicht, woher die Gelder kommen - denn Kryptoeinlagen können nicht blockiert werden - sondern was wir tun, nachdem die Gelder eingezahlt wurden." Er sagte, dass Binance Transaktionsüberwachungen und Risikobewertungen einsetzt, um "sicherzustellen, dass illegale Gelder aufgespürt, eingefroren, eingezogen und/oder an ihren rechtmäßigen Eigentümer zurückgegeben werden." Binance arbeitet eng mit den Strafverfolgungsbehörden zusammen, um kriminelle Netzwerke, die Kryptowährungen nutzen, zu zerschlagen, auch in Russland, sagte er.
Reuters hat Unterlagen aus Straf- und Zivilverfahren geprüft. In einem noch offenen Zivilverfahren in den Vereinigten Staaten wird behauptet, dass Binance im Jahr 2020 einen Antrag von Ermittlern und Anwälten im Namen eines Hacking-Opfers abgelehnt hat, ein Konto dauerhaft einzufrieren, das zur Wäsche gestohlener Gelder verwendet wurde. Binance, das die Zuständigkeit des US-Gerichts bestreitet, bestätigte gegenüber Reuters, dass es das Konto nur vorübergehend eingefroren hat. Hillmann machte dafür das Versäumnis der Strafverfolgungsbehörden verantwortlich, eine rechtzeitige Anfrage über das Webportal von Binance zu stellen und dann die Folgefragen der Börse zu beantworten.
In Deutschland sagte die Polizei, dass die Ermittler beobachteten, dass sich Kriminelle in Europa im Jahr 2020 Binance zuwandten, um einen Teil der Erlöse aus Anlagebetrügereien zu waschen, durch die die Opfer, viele von ihnen Rentner, insgesamt 750 Millionen Euro verloren. Über die Nutzung von Binance durch die Kriminellen wurde bisher nicht berichtet.
Die Reuters-Berichterstattung enthüllt auch zum ersten Mal, wie Nordkoreas Lazarus Binance nutzte, um einen Teil der von Eterbase gestohlenen Kryptowährung zu waschen. Ein kleinerer Teil der Gelder wurde zur gleichen Zeit über eine andere große Börse, Huobi mit Sitz auf den Seychellen, gewaschen, die eine Stellungnahme ablehnte.
Nach einem weiteren Raubüberfall im März dieses Jahres, bei dem Lazarus über 600 Millionen Dollar aus einem Online-Spiel mit Kryptowährungen gestohlen hatte, sagte Zhao, dass nordkoreanische Hacker einen nicht näher bezeichneten Teil der Gelder an Binance überwiesen hätten. Hillmann sagte gegenüber Reuters, dass Binance mehr als 5 Millionen Dollar identifiziert und eingefroren hat und die Strafverfolgungsbehörden bei ihren Ermittlungen unterstützt. Weitere Einzelheiten nannte er nicht.
Die Vereinigten Staaten haben Lazarus 2019 wegen Cyberangriffen zur Unterstützung der nordkoreanischen Waffenprogramme mit Sanktionen belegt und das Unternehmen als Instrument des nordkoreanischen Geheimdienstes bezeichnet - eine Anschuldigung, die Pjöngjang als "bösartige Verleumdung" bezeichnet. Nordkoreas Vertretung bei den Vereinten Nationen antwortete nicht auf Fragen per E-Mail. Der Blockchain-Forscher Chainalysis schätzt, dass Lazarus bis 2020 Kryptowährungen im Wert von 1,75 Milliarden Dollar gestohlen hat, die größtenteils über nicht identifizierte Börsen geflossen sind.
"DIE HYDRA GEDEIHT"
Zhao, bekannt als CZ, gründete Binance im Jahr 2017 in Shanghai. Drei Monate später enthüllte er in einer internen Chat-Gruppe eine neue Strategie für die nächste Entwicklungsphase des Unternehmens. "Tun Sie alles, um unseren Marktanteil zu erhöhen, und sonst nichts", schrieb Zhao.
Die Priorität liege darin, sicherzustellen, dass Binance die größeren Kryptowährungsbörsen überhole und den Wettbewerb mit kleineren Konkurrenten abwehre. "Gewinn, Einnahmen, Komfort usw. sind zweitrangig."
Auf diese Bemerkung angesprochen, sagte Hillmann: "Weder CZ noch eine andere Führungskraft von Binance hat jemals vorgeschlagen, dass die Erhöhung des Marktanteils die Einhaltung von Vorschriften ersetzen sollte."
Zu den Ländern, in die Zhao expandieren wollte, gehörte auch Russland, das Binance in einem Blog aus dem Jahr 2018 aufgrund seiner "hyperaktiven" Krypto-Community als einen wichtigen Markt bezeichnete. Ein Reuters-Artikel vom April beschrieb die Bemühungen von Binance, den dortigen Kryptomarkt zu dominieren und wie die Börse hinter den Kulissen Verbindungen zu russischen Regierungsbehörden aufbaute.
Binance bietet seit dem Einmarsch des Landes in die Ukraine in diesem Jahr weiterhin eingeschränkte Dienstleistungen in Russland an, obwohl die Regierung in Kiew die Börsen aufgefordert hat, russische Nutzer im Rahmen der Bemühungen um eine finanzielle Isolierung Russlands zu sperren. Russland bezeichnet sein Vorgehen in der Ukraine als "Sondereinsatz".
Die neuen Berichte von Reuters, die auf den Artikel vom April folgen, zeigen, dass viele Menschen, die sich in Russland bei Binance angemeldet haben, die Börse nicht für den Handel genutzt haben. Stattdessen wurde Binance zu einem wichtigen Zahlungsanbieter für Hydra, den riesigen Darknet-Marktplatz. Dies geht aus den für Reuters zusammengestellten Blockchain-Daten, einer Überprüfung der Hydra-Nutzerforen und Interviews mit illegalen Drogenkonsumenten und Forschern hervor.
Nach seiner Gründung im Jahr 2015 verteilte Hydra im Auftrag von Drogenhändlern Drogen, die alle in Bitcoin bezahlt wurden, an Millionen von Käufern, vor allem in Russland.
Die deutsche Polizei beschlagnahmte im April in Abstimmung mit den US-Behörden die Server von Hydra in Deutschland und schloss die Seite. Die USA klagten einen in Russland ansässigen Dmitry Pavlov wegen der Verwaltung der Server an. Eine Woche später verhafteten die russischen Behörden Pawlow wegen angeblichen Drogenhandels, wie ein Moskauer Gericht mitteilte und fügte hinzu, er habe Berufung eingelegt. Vor seiner Verhaftung sagte Pavlov der BBC, er betreibe eine lizenzierte Serverfirma und habe nicht gewusst, dass sie Hydra beherberge. Pavlov reagierte nicht auf Nachrichten von Reuters, die über seine Firma geschickt wurden.
Das Justizministerium beschrieb Hydra als "den größten und am längsten laufenden Darknet-Markt der Welt" und sagte, dass die Seite insgesamt rund 5,2 Milliarden Dollar in Kryptowährungen erhalten habe. Weder Binance noch ein anderer Zahlungsanbieter, der mit Hydra in Verbindung steht, wurde vom Justizministerium genannt, das es ablehnte, sich zu Binance zu äußern.
Hillmann sagte gegenüber Reuters, dass Binance "eng mit den Strafverfolgungsbehörden zusammenarbeitet, um täglich gegen den illegalen Drogenhandel vorzugehen".
Websites wie Hydra sind nur über einen geheimen Teil des Internets zugänglich, der als Dark Web bekannt ist und einen Browser erfordert, der die Identität des Nutzers verbirgt.
Bereits im März 2018 empfahlen Hydra-Nutzer in den russischsprachigen Foren der Seite, dass Käufer Binance für ihre Käufe nutzen sollten. Sie beriefen sich dabei auf die Anonymität, die Binance seinen Kunden damals gewährte, da sie sich nur mit einer E-Mail-Adresse registrieren konnten. "Das ist der schnellste und billigste Weg, den ich ausprobiert habe", schrieb ein Nutzer.
Kryptowährungshändler tauschten 2021 und Anfang 2022 Dutzende von Nachrichten über die Verwendung von Hydra im Chat der russischen Binance-Community Telegram aus. "Die Hydra floriert", schrieb einer im letzten Jahr.
Hydra hat den Rauschgiftmarkt in Russland verändert, so die Forscher. Früher kauften Drogenkonsumenten bei Straßendealern in der Regel mit Bargeld. Bei Hydra wählten die Nutzer die Substanzen auf der Website aus, bezahlten den Verkäufer in Bitcoin und erhielten die Koordinaten, um den "Schatz" an einem diskreten Ort abzuholen. Käufer, die als "Schatzsucher" bekannt sind, fanden ihre Einkäufe in Wäldern am Stadtrand vergraben, in Müllhalden versteckt oder hinter losen Ziegeln in verlassenen Gebäuden verstaut.
Einem Bericht des Büros der Vereinten Nationen für Drogen- und Verbrechensbekämpfung zufolge hat Hydra die Verfügbarkeit von Drogen in Russland erhöht und die Nachfrage nach Aufputschmitteln wie Methamphetamin und Mephedron in die Höhe getrieben. Die Zahl der drogenbedingten Todesfälle ist zwischen 2018 und 2020 um zwei Drittel gestiegen, wie Zahlen des staatlichen russischen Antidrogenkomitees zeigen.
Als die USA und Deutschland die Server von Hydra beschlagnahmten, sagte die Drug Enforcement Administration (DEA), die die Ermittlungen unterstützte, dass die Dienste des Marktplatzes "die Sicherheit und Gesundheit von Gemeinden in aller Welt bedrohen". Die DEA verwies Reuters für weitere Kommentare an das Justizministerium.
Aleksey Lakhov, ein Direktor der russischen Wohltätigkeitsstiftung Humanitarian Action, die den Drogenkonsum erforscht, sagte, er sei "entsetzt" darüber, wie Hydra die Sucht anheizt. "In den Tagen, als ich Drogen nahm, musste man zumindest jemanden kennen", um Rauschgift zu bekommen, fügte Lakhov, ein genesener Süchtiger, hinzu.
Alexandra, eine 24-jährige Büromanagerin in Moskau, begann 2019, Mephedron und Ketamin auf Hydra zu kaufen, um mit ihrer bipolaren Störung fertig zu werden. Mehrere Freunde, die Hydra nutzten, sagten ihr, dass Binance der sicherste Weg sei, um Dealer zu bezahlen, sagte Alexandra gegenüber Reuters, unter der Bedingung, dass sie nur mit ihrem Vornamen genannt wird. Einige von ihnen verwendeten gefälschte persönliche Daten, um Binance-Konten zu eröffnen, sagte sie, aber sie lud eine Kopie ihres Reisepasses hoch. Binance hat nie eine ihrer Zahlungen blockiert oder in Frage gestellt. Auf die Frage nach ihrem Konto sagte Binance, dass es seine Fähigkeiten zur Kundenidentifizierung ständig verbessere.
Die Anonymität des Systems machte es leicht, Drogen im Darknet zu kaufen, sagte Alexandra. "Es war, als würde man Schokolade im Laden kaufen.
Als ihr Drogenkonsum zur alltäglichen Gewohnheit wurde, konnte sie tagelang nicht schlafen und wurde von Halluzinationen und Depressionen geplagt. "Ich fühlte mich, als würde ich sterben, und dieses Gefühl gefiel mir", sagte sie. Schließlich suchte sie psychiatrische Hilfe und machte eine Therapie. Seitdem benutzt sie Hydra nur noch, um Cannabis zu kaufen.
In Berichten des Außenministeriums aus den Jahren 2019 und 2020, in denen Hydra oder Binance nicht erwähnt wurden, wurde davor gewarnt, dass Drogenhändler in Russland virtuelle Währungen zum Waschen von Erträgen nutzen würden. Ein Sprecher des Außenministeriums lehnte es ab, sich zu Hydra und Binance zu äußern.
Wie Reuters in seiner Untersuchung vom Januar berichtet, zeigt ein internes Dokument, dass Binance sich des Risikos illegaler Finanzgeschäfte in Russland bewusst war. Die Compliance-Abteilung von Binance stufte Russland im Jahr 2020 in einer von Reuters eingesehenen Bewertung als "extremes" Risiko ein. Darin werden Berichte des US-Außenministeriums über Geldwäsche zitiert. Hillmann sagte gegenüber Reuters, dass Binance mehr Maßnahmen gegen russische Geldwäscher ergriffen habe als jede andere Kryptobörse und verwies auf ein Verbot von drei russischen digitalen Währungsplattformen, die von den Vereinigten Staaten sanktioniert wurden.
Die Kryptoflüsse zwischen Binance und Hydra sind stark zurückgegangen, nachdem die Börse ihre Kundenkontrollen im August 2021 verschärft hat, wie die Daten von Crystal Blockchain zeigen.
"FINANZIELLE FREIHEIT"
In den vergangenen fünf Jahren hat Binance den Händlern auf seiner Plattform den Kauf und Verkauf eines Coins namens Monero ermöglicht, einer Kryptowährung, die den Nutzern Anonymität bietet. Während Bitcoin-Transaktionen auf einer öffentlichen Blockchain aufgezeichnet werden, werden bei Monero die digitalen Adressen von Absendern und Empfängern verschleiert. In einem Einsteigerleitfaden zu Monero von Binance, der auf der Website von Binance verfügbar ist, heißt es, dass solche Münzen "für diejenigen wünschenswert sind, die echte finanzielle Vertraulichkeit suchen."
Zhao hat sich für "Privatsphäre-Münzen" ausgesprochen, von denen Monero die meistgehandelte ist. Während eines Videogesprächs mit Mitarbeitern im Jahr 2020, von dem Reuters eine Aufzeichnung einsehen konnte, sagte Zhao, dass die Privatsphäre ein Teil der "finanziellen Freiheit" der Menschen sei. Er erwähnte Monero nicht, sagte aber, dass Binance andere Privacy-Coin-Projekte finanziert habe.
Monero erwies sich als beliebt bei den Binance-Nutzern. Ende Mai wickelte Binance täglich Monero-Geschäfte im Wert von rund 50 Millionen Dollar ab, weit mehr als andere Börsen, wie aus Daten der Website CoinMarketCap hervorgeht.
Strafverfolgungsbehörden in Europa und den Vereinigten Staaten haben davor gewarnt, dass Monero aufgrund seiner Anonymität ein potenzielles Werkzeug für Geldwäscher ist. Das US-Justizministerium erklärte in einem Bericht aus dem Jahr 2020, dass es die Verwendung von "anonymen Kryptowährungen" wie Monero als "hochriskante Aktivität, die auf mögliches kriminelles Verhalten hindeutet" betrachtet.
In mehreren Darknet-Foren, die Reuters überprüft hat, schrieben mehr als 20 Nutzer über den Kauf von Monero auf Binance, um illegale Drogen zu kaufen. Sie teilten Anleitungen mit Namen wie DNM Bible, eine Anspielung auf Darknet-Märkte.
"XMR ist unverzichtbar für jeden, der Drogen im Dark Web kauft", schrieb ein Nutzer im Forum Dread und bezog sich dabei auf das Tickersymbol von Monero. Es ist nicht möglich, die Nutzer über das Forum zu kontaktieren, so dass Reuters diese Personen nicht für einen Kommentar erreichen konnte.
Hillmann sagte gegenüber Reuters, dass es "viele legitime Gründe gibt, warum Nutzer Privatsphäre benötigen", z.B. wenn Oppositionsgruppen in autoritären Regimen der sichere Zugang zu Geldern verwehrt wird. Binance sei dagegen, dass jemand Kryptowährungen zum Kauf oder Verkauf illegaler Drogen verwendet.
Hacker haben Binance genutzt, um gestohlene Gelder in Monero umzuwandeln.
Im August 2020 haben Hacker die Kryptowährungs-Geldbörse eines Australiers namens Steve Kowalski gekapert, indem sie ihn dazu brachten, eine Schadsoftware herunterzuladen, sagte Kowalski in einer Zeugenaussage bei der australischen Polizei. Sie hoben die 1.400 Bitcoin ab, die er in der Brieftasche hatte und die zu diesem Zeitpunkt etwa 16 Millionen Dollar wert waren. Kowalski sagte der Polizei, dass er die Bitcoins sechs Jahre zuvor für 500.000 Dollar gekauft hatte und dass sie einen erheblichen Teil seines Vermögens ausmachten.
Von Kowalski beauftragte Ermittler verfolgten den Großteil seiner Bitcoin über eine Reihe von Wallets zu sechs Binance-Konten zurück, wo die Coins gegen Monero getauscht wurden. Dies geht aus Zeugenaussagen und Blockchain-Analyseberichten hervor, die im Rahmen einer laufenden Zivilklage eingereicht wurden, die Kowalski letztes Jahr gegen Binance in Miami-Dade County, Florida, eingereicht hat. Kowalski lehnte eine Stellungnahme ab.
Kowalskis Ermittlungen ergaben, dass ein US-amerikanischer Softwareberater namens Brandon Ng, der damals in Florida lebte, die meisten Binance-Konten kontrollierte. Ng sagte vor Gericht aus, dass ein Krypto-Handelspartner, den er online nur unter dem Benutzernamen MoneyTree kannte, den Bitcoin auf seine Binance-Konten einzahlte. MoneyTree, so Ng, zahlte ihm eine Provision von 1 %, um den Bitcoin auf Binance in Monero umzuwandeln und ihn dann zurück zu transferieren. Ein Anwalt von Ng, Spencer Silverglate, sagte, MoneyTree habe wahrscheinlich über Ng gehandelt, um seine Identität vor Binance zu schützen. Ng sagte aus, er habe nicht gewusst, dass er gestohlene Bitcoin wusch.
MoneyTree antwortete nicht auf E-Mails, die von Reuters an eine Adresse geschickt wurden, die Ng dem Gericht zur Verfügung gestellt hatte. Silverglate, der Anwalt, sagte, Ng habe Kowalskis Bitcoin nicht gestohlen oder gewaschen und sei ein "unschuldiger nachgelagerter Händler".
Ngs Monero-Handel hatte schon früher bei einer anderen Krypto-Börse namens Poloniex mit Sitz in den Vereinigten Staaten, wo er ebenfalls ein Konto hatte, für Aufsehen gesorgt. Mitte 2019 wurde sein Poloniex-Konto eingefroren, nachdem es aufgrund von Monero-Abhebungen in Höhe von über 1 Million Dollar als "hohes Risiko" für Geldwäsche eingestuft worden war, wie aus einer bei Gericht eingereichten Zusammenfassung hervorgeht. Poloniex reagierte nicht auf eine Bitte um einen Kommentar.
Binance ging anders mit Ng um. Kowalskis Privatdetektive und Anwälte kontaktierten Binance bald nach dem Diebstahl, bevor Ng alle Gelder umwandelte, und forderten Binance wiederholt auf, Ngs Konten dauerhaft einzufrieren, wie aus ihren schriftlichen Mitteilungen hervorgeht. In den Briefen, die bei Gericht eingereicht wurden, wird Binance außerdem beschuldigt, nicht auf die Bitten der Polizei reagiert zu haben, die Vermögenswerte für die Dauer der Ermittlungen zu sichern.
Binance hatte die Konten sieben Tage lang eingefroren, diese Sperre dann aber wieder aufgehoben, so dass Ng die gestohlenen Bitcoin über mehrere Monate hinweg in Monero umtauschen konnte. In seiner Antwort an Reuters sagte Hillmann, dass die Strafverfolgungsbehörden es versäumt hätten, innerhalb der siebentägigen Frist eine dauerhafte Sperrung über das Webportal von Binance zu beantragen und dann die Folgefragen der Börse nicht beantwortet hätten.
Ein Mitglied des Binance-Untersuchungsteams teilte einem der Privatdetektive in einer Nachricht mit, dass "es zwar sehr wahrscheinlich ist, dass die Wege, die zu diesem Konto führen, bösartig sind", Binance aber nicht beweisen könne, dass die Konten "zur Erleichterung der Geldwäsche eingerichtet wurden". Als der Ermittler darauf beharrte, schimpfte das Teammitglied über "mehrere Probleme mit Ihrem Ton".
In einer Eingabe an das Gericht in Florida im vergangenen Dezember erklärte Binance, dass der Fall abgewiesen werden sollte, da das Gericht nicht für das Unternehmen zuständig sei. Um die Angelegenheit zu klären, hat der Richter die Offenlegung von Dokumenten (Discovery) bewilligt, ein Verfahren, bei dem die Parteien gegenseitig Dokumente anfordern.
Hillmann sagte gegenüber Reuters, dass Binance alle Anschuldigungen von Fehlverhalten auf seiner Plattform untersucht und entsprechende Maßnahmen ergreift, wenn seine Ermittler Fehlverhalten aufdecken.
Eterbase, die in Bratislava ansässige Börse, die von den Nordkoreanern gehackt wurde, hat ebenfalls die Hilfe von Binance in Anspruch genommen.
Nach Bekanntwerden des Hacks durch Lazarus twitterte Zhao am 9. September 2020: "Werden tun, was wir können, um zu helfen." Als Eterbase jedoch eine E-Mail an das Support-Center von Binance schickte, sagte ein Mitglied des Binance-Teams, dass man ohne eine Anfrage der Strafverfolgungsbehörden keine Kontodaten weitergeben könne, wie aus der Kommunikation zwischen den beiden Unternehmen hervorgeht, die Reuters vorliegt.
Eterbase reichte eine Strafanzeige bei der slowakischen Nationalen Kriminalitätsbehörde ein. Im Juni 2021 schrieb die Behörde an Binance und bat um Informationen und erklärte, dass die Gelder von "anonymen Angreifern, die unter der Hackergruppe Lazarus vereint sind", gestohlen wurden. Binance antwortete, dass es keine Konten identifizieren konnte, die mit dem Hack in Verbindung standen. Im Juli, nach einer weiteren, detaillierteren Anfrage der Polizei, übermittelte Binance der Agentur Aufzeichnungen über 24 Konten und fügte hinzu, dass diese seit über neun Monaten leer seien, da "die Vermögenswerte sofort gehandelt wurden."
Hillmann sagte, Binance habe mit den slowakischen Behörden voll kooperiert und ihnen geholfen, die betreffenden Konten zu identifizieren.
Die Aufzeichnungen, die von Reuters eingesehen wurden, zeigten, dass die einzigen persönlichen Informationen, die Binance über die Kontoinhaber hatte, ihre E-Mail-Adressen waren, von denen viele auf falsch geschriebenen bekannten Namen basierten, wie "bejaminfranklin", der amerikanische Gründervater, und "garathbale", der walisische Fußballspieler. Die Hacker nutzten virtuelle private Netzwerke, um die Standorte ihrer Geräte zu verschleiern, wie die Aufzeichnungen zeigen.
Innerhalb von etwa 20 Minuten nach Eröffnung der meisten Konten passierten die Hacker eine nicht näher spezifizierte "Sicherheitsüberprüfung", die es ihnen erlaubte, Kryptowährungen abzuheben, so die Kontoaufzeichnungen. Jedes Konto wandelte dann Teile der gestohlenen Gelder in knapp zwei Bitcoin um, das damalige Abhebungslimit für ein Basiskonto ohne Identifizierung.
Nach dem Hack stellte Eterbase seinen Betrieb ein und meldete später Konkurs an. Auxt, der Mitbegründer des Unternehmens, sagte, die Verluste bedeuteten, dass Eterbase seine Ausgaben nicht mehr decken konnte. "Der Hack hat unser Geschäft zerstört", sagte er. Die Opfer des Hacks müssen noch entschädigt werden.
"SCHWARZE LÜCKE"
Unter vier Augen hat Zhao beklagt, dass Binance seine Kunden überprüfen muss. Während des Videogesprächs im Jahr 2020 sagte Zhao den Mitarbeitern, dass die Regeln zur Überprüfung von Kunden "leider eine Voraussetzung" für das Geschäft von Binance seien.
Zeitweise hatte das Compliance-Team mit seiner Arbeitsbelastung zu kämpfen. In einer Nachricht an die Mitarbeiter im Januar 2019 bat Zhao andere Abteilungen, das Compliance-Team bei der Durchführung von Hintergrundprüfungen zu unterstützen, da die Zahl der neuen Nutzer "überwältigend" sei.
Einem Gruppenchat unter Binance-Mitarbeitern zufolge genehmigte das Compliance-Team manchmal Konten mit unzureichender Dokumentation. Ein Teammitglied beschwerte sich bei seinen Kollegen, dass ein Nutzer ein Konto eröffnen konnte, indem er drei Kopien derselben Quittung von einer Mahlzeit in einem indischen Restaurant einreichte. Hillmann sagte, dass Binance's Know-Your-Customer-Prüfungen inzwischen "sehr ausgefeilt" sind und dass das Unternehmen solche Regeln als "obligatorisch und willkommen" ansieht.
Derzeitige und ehemalige Polizeibeamte in fünf Ländern sagten Reuters, dass kriminelle Gruppen in den letzten Jahren zum wachsenden Kundenstamm von Binance gehörten.
Ende 2019 investierte Konrad Alber, ein pensionierter Familienanwalt in Deutschland, den Großteil seiner Ersparnisse in eine Handelsplattform, die er online gefunden hatte. Er sagte Reuters, dass er hoffte, damit seine kleine Rente aufzubessern und es seiner Frau zu ermöglichen, nicht mehr zu arbeiten, um ihr Leben in einem Dorf im Schwarzwald zu finanzieren.
Die Plattform mit dem Namen Grandefex versprach, das Potenzial seines Geldes durch einen ausgeklügelten Algorithmus "freizusetzen". In einer E-Mail erklärte ein Vertriebsmitarbeiter Alber, der wenig Erfahrung mit Investitionen hatte, dass er seine Einlagen innerhalb eines Jahres verdoppeln könne. Im Laufe von 18 Monaten überwies er fast 35.000 Euro auf die Bankkonten von Grandefex.
Als er Grandefex im Juni letzten Jahres aufforderte, ihm die erwarteten Gewinne auszuzahlen, stellte er fest, dass sein Geld zu Binance transferiert worden war, wie E-Mails und Bankkontodaten zeigen. Alber flehte Grandefex per E-Mail an, ihm sein Geld zurückzugeben und teilte der Finanzabteilung mit, dass er einen "Schuldenberg" habe und an einem "Nervenzusammenbruch" leide.
Daraufhin teilte ihm Grandefex mit: "Sie werden Ihr Geld einfach nicht erhalten".
Die E-Mails und Anrufe von Reuters bei Grandefex blieben unbeantwortet. Im Juni 2020 erklärte die deutsche Aufsichtsbehörde, dass die Plattform nicht zugelassen sei und ordnete ihre Schließung an.
Grandefex gehörte zu einer Reihe von gefälschten Handelswebseiten, die von Gruppen des organisierten Verbrechens eingerichtet wurden und nach Angaben deutscher, österreichischer und spanischer Behörden rund 750 Millionen Euro von europäischen Bürgern, darunter viele Rentner, ergaunert haben. Sechs Personen, die an den polizeilichen Ermittlungen zu den Betrügereien beteiligt waren, erklärten gegenüber Reuters, dass die Gruppen, die Callcenter in Osteuropa betreiben, dazu übergegangen sind, ihre Gewinne über Krypto-Börsen, insbesondere Binance, zu waschen.
Hillmann sagte, dass Binance gegen Anlagebetrug vorgeht, indem es Opfer und Verdächtige identifiziert und, wenn möglich, kriminelle Erlöse einfriert.
Eine in Wien ansässige gemeinnützige Organisation, die European Funds Recovery Initiative, die Opfer von Anlagebetrug unterstützt, hat rund 220 Beschwerden von Menschen erhalten, deren gestohlene Ersparnisse in Kryptowährungen umgewandelt wurden. Fast zwei Drittel haben Geld verloren, das über Binance gelaufen ist, insgesamt 7,4 Millionen Euro, sagte die Mitbegründerin der Initiative, Elfi Sixt. Andere Anlagebetrüger, die es auf Menschen in der Türkei, Großbritannien und Pakistan abgesehen hatten, nutzten Binance ebenfalls, so die Behörden.
Polizeibeamte und Anwälte sagten gegenüber Reuters, dass es für Betrugsopfer schwieriger ist, verlorene Gelder zurückzubekommen, wenn sie über eine Kryptobörse laufen. In vielen Ländern können Verbraucher ihre Banken bitten, gestohlene Gelder einzufrieren oder zu erstatten. Binance verlangt von den Opfern die Unterzeichnung von Vertraulichkeitsvereinbarungen als Bedingung für das vorübergehende Einfrieren von Vermögenswerten und besteht auf der direkten Einschaltung der Strafverfolgungsbehörden, um Ansprüche zu bearbeiten, so steht es auf seiner Website.
Sixt sagte, sie habe diesen Prozess ohne Erfolg verfolgt. "Es ist mir nie gelungen, Geld von Binance zurückzubekommen." Hillmann hat auf diese Frage nicht direkt geantwortet.
Alber, der pensionierte Anwalt, hat einen Brief an Binance geschickt, sagte aber, er habe nie eine Antwort erhalten. Im Juni 2021 meldete der 67-Jährige den Diebstahl seiner Ersparnisse und deren Übertragung auf Binance bei der örtlichen Polizei. Die Staatsanwaltschaft in der nahe gelegenen Stadt Baden-Baden sagte, dass sein Fall noch untersucht wird. Binance sagte, es habe keine Aufzeichnungen über Albers Brief.
In einer Polizeistation in der niedersächsischen Stadt Braunschweig untersucht die Landeseinheit für Internetkriminalität einen ähnlichen Betrug, bei dem Binance benutzt wurde. Hauptkommissar Mario Krause, zwei seiner Ermittler und der Staatsanwalt, der die Ermittlungen leitet, schilderten Reuters den Fall.
Im vergangenen Oktober hatte die Einheit in Zusammenarbeit mit den bulgarischen Behörden ein Call Center in der Hauptstadt Sofia durchsucht, das laut Polizei Hunderte von gefälschten Online-Handelsplattformen betrieb.
Sie beschafften Beweise, die von Reuters ausgewertet wurden, darunter eine Datenbank, aus der hervorging, dass die Betreiber Einzahlungen in Höhe von 94 Millionen Euro entgegengenommen hatten. Videos, die die Polizei vom Telefon eines Mitarbeiters beschlagnahmt hat, zeigen das, was Krause als "Wolf of Wall Street"-Atmosphäre in dem Call Center bezeichnet. Die Mitarbeiter läuteten Gongs und ließen Champagnerflaschen knallen, wenn sie hohe Einzahlungen erhielten. Eine Anzeigetafel zeigte an, welcher Mitarbeiter jede Woche das meiste Geld eingesackt hatte. Sie feierten auf Yachten und in Privatjets.
In einer Erklärung zum Zeitpunkt der Razzia sagte die Staatsanwaltschaft, dass ein Verdächtiger verhaftet wurde. Der Staatsanwalt Manuel Recha sagte gegenüber Reuters, die Anführer der Organisation seien noch auf freiem Fuß. Das Unternehmen, das das Callcenter betrieb, Dortome BG, reagierte nicht auf Bitten um eine Stellungnahme.
Während der Ermittlungen versuchte die Cyber-Einheit herauszufinden, wohin die gestohlenen Gelder geflossen sind.
Die Ermittler verfolgten das Geld durch viele Schichten von Bankkonten zu Binance und einer anderen Börse, dem in den USA ansässigen Kraken, so die Polizei. Als Binance und Kraken ihre Kontodaten zur Verfügung stellten, waren die Gelder laut Polizei bereits abgehoben oder an einen "Mixer" geschickt worden, einen Dienst, der Kryptotransaktionen anonymisiert, indem er sie aufbricht und mit anderen Geldern vermischt. Die persönlichen Informationen, die beide Börsen über die Konten gespeichert hatten, waren oft gefälscht oder von den Opfern gestohlen, so die Beamten.
Kraken erklärte gegenüber Reuters, dass es "bankübliche" Kundenkontrollen und robuste Instrumente zur Betrugsprävention hat. Kraken bestritt, dass die der Braunschweiger Polizei zur Verfügung gestellten Kundeninformationen gefälscht waren und sagte: "Alles, was wir haben, deutet darauf hin, dass diese Konten von legitimen Kunden genutzt wurden."
Die Geldspur der Deutschen wurde kalt.
Krause sagte, sein Team kämpfe darum, Fortschritte zu machen. "Wir suchen nach einem Weg aus dem schwarzen Loch", sagte er.
