Deutsche Ermittler haben ChipMixer, den wohl weltweit größten Geldwäschedienst im Darknet, abgeschaltet. An dem Schlag die Geldwäscher-Plattform der illegalen Krypto-Szene waren Fahnder der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und des Bundeskriminalamtes (BKA) beteiligt aber auch Fahnder des FBI aus den USA. Den Ermittlern gelang es, die in Deutschland befindliche Serverinfrastruktur des ChipMixers, zu beschlagnahmen, teilte das BKA am 15. März 2023 mit. Neben Daten im Umfang von ca. 7 Terabyte wurden Bitcoin in Höhe von derzeit umgerechnet ca. 44 Millionen Euro sichergestellt – die höchste bisher vorgenommene Sicherstellung von Kryptowerten durch das BKA.
Die Betreiber von ChipMixer stehen unter anderem im Verdacht, gewerbsmäßige Geldwäsche und eine kriminelle Handelsplattform im Internet betrieben zu haben. Bei den Ermittlungen kooperierte das BKA eng mit dem United States Department of Justice (US DoJ), dem Federal Bureau of Investigation Philadelphia (FBI), Homeland Security Investigations Phoenix sowie Europol.
Bei ChipMixer handelte es sich um einen seit Mitte 2017 bestehenden Dienst, der insbesondere Bitcoin kriminellen Ursprungs entgegennahm, um sie nach Verschleierungsvorgängen (sogenanntes „Mixing“) wieder auszuzahlen. Dabei wurden eingezahlte Kryptowerte zum Zwecke der Vereitelung von Ermittlungen in einheitliche Kleinstbeträge geteilt, die als „Chips“ bezeichnet wurden. Die „Chips“ der Nutzer wurden anschließend vermengt und die Herkunft der Gelder somit verborgen. ChipMixer versprach seinen Nutzern vollständige Anonymität.
Es wird geschätzt, dass ChipMixer seit 2017 Kryptowerte in Höhe von etwa 154.000 Bitcoin bzw. 2.8 Milliarden Euro gewaschen hat. Ein signifikanter Teil davon stammte von illegalen Darknet-Marktplätzen, aus betrügerisch erlangten Kryptowerten, von Ransomware-Gruppierungen (Banden, die mit Schadsoftware ihre Opfer erpressen) und aus anderen kriminellen Taten. So wird unter anderem dem Verdacht nachgegangen, dass Teile von im Zusammenhang mit der Insolvenz großen Krypto-Börse FTX im Jahr 2022 entwendeten Kryptowerten über „ChipMixer“ gewaschen wurden. Zudem können Transaktionen in Millionenhöhe von der im April 2022 durch die ZIT und das BKA abgeschalteten Darknet-Plattform „Hydra Market“ nachgewiesen werden. Ebenso haben Ransomware-Akteure wie Zeppelin, SunCrypt, Mamba, Dharma oder Lockbit den Dienst zur Geldwäsche genutzt.
Zudem wurde der mutmaßliche Hauptbeschuldigte im US-Verfahren durch das FBI zur Fahndung ausgeschrieben sowie über das „Rewards for Justice Programm“ des US DoJ eine Belohnung für weitere ermittlungsrelevante Hinweise ausgelobt. Im Zusammenhang mit der Zerschlagung von ChipMixer wurde Minh Quốc Nguyễn, 49, aus Hanoi, Vietnam, in Philadelphia der Geldwäsche, des Betriebs eines nicht lizenzierten Geldübermittlungsunternehmens und des Identitätsdiebstahls im Zusammenhang mit dem Betrieb von ChipMixer angeklagt, teilte das US-Justizministerium mit.
In der Anklage in den USA heißt es, dass ChipMixer eine bedeutende kriminelle Kundschaft angezogen habe und für die Verschleierung und Wäsche von Geldern aus mehreren kriminellen Machenschaften unverzichtbar geworden sei. Zwischen August 2017 und März 2023 sei über ChipMixer folgende Summen aus Verbrechen verarbeitet worden:
- 17 Millionen Dollar in Bitcoin für Kriminelle im Zusammenhang mit etwa 37 Ransomware-Stämmen, darunter Sodinokibi, Mamba und Suncrypt;
- Mehr als 700 Millionen Dollar in Bitcoin, die mit Wallets verbunden sind, die als gestohlene Gelder bezeichnet werden, einschließlich solcher, die mit Raubüberfällen nordkoreanischer Cyber-Akteure auf die Ronin-Brücke von Axie Infinity und die Horizon-Brücke von Harmony im Jahr 2022 bzw. 2020 in Verbindung stehen;
- Mehr als 200 Millionen Dollar in Bitcoin, die entweder direkt oder über Vermittler mit Darknet-Märkten verbunden sind, einschließlich mehr als 60 Millionen Dollar in Bitcoin, die im Namen von Kunden des Hydra-Marktes verarbeitet wurden, dem größten und am längsten bestehenden Darknet-Markt der Welt, bis er im April 2022 von den US-amerikanischen und deutschen Strafverfolgungsbehörden geschlossen wurde;
- Mehr als 35 Millionen Dollar in Bitcoin, die entweder direkt oder über Mittelsmänner mit “Betrugsshops” in Verbindung gebracht werden, die von Kriminellen zum Kauf und Verkauf gestohlener Kreditkarten, gehackter Kontodaten und durch Netzwerkeinbrüche gestohlener Daten genutzt werden;
- Bitcoin, die von der russischen Generalstabsdirektion des Nachrichtendienstes (GRU), 85th Main Special Service Center, Militäreinheit 26165 (auch bekannt als APT 28) verwendet wurden, um die Infrastruktur für die Drovorub-Malware zu kaufen, die erstmals in einer gemeinsamen Cybersecurity-Beratung des FBI und der National Security Agency im August 2020 veröffentlicht wurde.
Wie in der Anklage behauptet, schuf und betrieb Nguyễn ab August 2017 die von ChipMixer genutzte Online-Infrastruktur und bewarb die Dienste von ChipMixer online. Nguyễn registrierte Domain-Namen, beschaffte Hosting-Dienste und bezahlte für die Dienste, die zum Betrieb von ChipMixer verwendet wurden, indem er Identitätsdiebstahl, Pseudonyme und anonyme E-Mail-Anbieter nutzte. In Online-Postings machte sich Nguyễn öffentlich über die Bemühungen zur Eindämmung der Geldwäsche lustig, indem er unter Bezugnahme auf die gesetzlichen Anforderungen zur Bekämpfung der Geldwäsche (AML) und zur Kundenkenntnis (KYC) schrieb, dass “AML/KYC ein Ausverkauf an die Banken und Regierungen ist”, und seinen Kunden riet, “bitte keine AML/KYC-Börsen zu nutzen”, und sie anwies, wie sie ChipMixer nutzen können, um die Meldepflichten zu umgehen.
In der Mitteilung des BKA wird Nguyễn nicht namentlich erwähnt.
Bundesinnenministerin Nancy Faeser (SPD) erklärte zum Schlag gegen den “ChipMixer”: „Die Abschaltung der weltweit umsatzstärksten Krypto-Geldwäscheplattform im Darknet ist ein erneuter großer Erfolg deutscher Strafverfolgungsbehörden bei der Bekämpfung der Internetkriminalität. Krypto-Geldwäschedienste sind inzwischen zu einem wichtigen Bestandteil krimineller Cyber-Aktivitäten, insbesondere bei Erpressungen durch Ransomware-Angriffe, geworden. Daher ist dieser Ermittlungserfolg besonders wichtig. Ich gratuliere hierzu der Zentralstelle zur Bekämpfung der Internetkriminalität der Generalstaatsanwaltschaft Frankfurt am Main und dem Bundeskriminalamt sehr herzlich. Dieser Ermittlungserfolg ist ein weiteres Beispiel wirksamer, international hervorragend koordinierter Strafverfolgung im Cyberraum – der auch dazu dienen wird, die Aufklärung weiterer Cyber-Straftaten voranzutreiben und zu verhindern, dass deutsche Infrastrukturen zu kriminellen Zwecken mit Geldern aus illegalen Handlungen missbraucht werden.“
