Is crypto en bitcoin nou geschikt voor criminelen of niet?

| AE 13161 | Privacy | 5 reacties

De Amerikaanse autoriteiten hebben een man en vrouw gearresteerd die worden verdacht van het witwassen van bitcoins die in 2016 bij platform Bitfinex werden gestolen. Dat meldde Tweakers vorige week. De FBI zou 3,15 miljard euro aan cryptocoins in beslag hebben genomen. Een enorm bedrag (afgezien van de speculatieve waarde van de munten), en wat velen verbaasden was vooral dat het kennelijk zo makkelijk was deze mensen op te sporen. Cryptomunten zijn toch de perfect crime: ontraceerbaar en anoniem? Nou ja, niet echt dus.

In 2016 werd de bitcoin-handelsplaats Bitfinex beroofd: er werd in totaal 119.756 bitcoin gestolen, destijds zo’n 58 miljoen euro waard. In geld van vandaag is dat 3,9 miljard euro (ongeveer 433 Sywerts). Althans, als je het in euro om weet te zetten, want daar zat hem de kneep: hoe moet je dat voor elkaar krijgen in de infrastructuur van cryptomunten?

Want ja, het verschuiven van crypto van wallet A naar wallet B dat kan zonder nadere identificatie. Maar op zeker moment wil je er echt geld / fiatgeld voor hebben, en dan moet je langs een exchange. Dat is dus allemaal te volgen, een mooie truc daarvoor was deze Twitterbot maar het zit inherent in de blockchain: alle transacties worden openbaar gemaakt, dus je kunt van de gestolen bitcoins precies zien waar ze heengaan. En zodra ze dan bij een wisselkantoor uitkomen, val je daar als FBI binnen en vraag je de know-your-customer identificatie op.

Er zijn natuurlijk trucs, zoals zogeheten tumblers die geld opsplitsen en met ander geld combineren zodat het veel lastiger te traceren is. Maar deze twee hadden pech een door de FBI opgerolde tumbler te hebben gebruikt. Ook hielp het niet dat de opsporingsdienst toegang tot een cloudaccount wist te krijgen, waar niet nader genoemde informatie werd gevonden waarmee diverse wallets en dergelijke geïdentificeerd konden worden.

Bij Tweakers lees ik nog dat exchanges deze bitcoins op een zwarte lijst zouden hebben, zodat deze beheerders weten wanneer crimineel geld langskomt. Net zoals een bank gestolen bankbiljetten kan herkennen aan de serienummers. Alleen hebben bitcoins geen serienummer, het zijn geen munten maar tellertjes die in een transactie vermeld staan. Het zijn de transacties (er ging 1 BTC van meneer Sassaman naar meneer Wright) die geregistreerd worden, en die je dus allemaal terug kunt zoeken.

De kern is in ieder geval: als je begint met gestolen bitcoins, dan is goed bij te houden waar die heen gaan. En ik zie zeker wel hoe een wisselkantoor dan zal weigeren deze om te zetten naar dollars of euro’s. En dan is het een beetje ingewikkeld om wat te doen met je gestolen geld.

Als de bitcoins zelf niet gestolen zijn, dan ligt het iets anders. Bij ransomware bijvoorbeeld gaan de bitcoins weliswaar naar criminelen, maar de bitcointransactie zelf is legitiem (er gaat 1 BTC van A naar B). En dan is het lastiger dit te traceren tot een persoon die er euro’s van maakt. Specifiek daar is bitcoin (of crypto in het algemeen) wél interessant voor criminelen.

Arnoud

 

OM eist vier jaar cel tegen man wegens fraude met zelfgemaakte cryptovaluta

| AE 13109 | Ondernemingsvrijheid, Regulering | 6 reacties

Het Openbaar Ministerie heeft vier jaar cel geëist tegen een 40-jarige man uit Deventer, meldde Tweakers onlangs. De man zou pump-en-dumpacties hebben uitgevoerd met de coins ERSO, MALC, Europ en TulipMania. “[I]n deze zaak was er sprake van oplichting, het manipuleren van de markt, het verstrekken van valse informatie over cryptomunten en het verzwijgen en verhullen van belangrijke informatie”, aldus de officier van justitie. Hoe uniek en strafbaar is dit nou eigenlijk?

Handel in cryptomunten zou je tegenwoordig een hype kunnen noemen – de term tulip mania zegt eigenlijk alles. Iedereen wil sinds de bizarre waardestijging van munten als bitcoin op de begane grond instappen bij de volgende, en iedere munt kan zomaar de volgende zijn. (Zeker als Elon Musk erover twittert.) Dat biedt dus ook de nodige mogelijkheden voor fraudeurs.

In de financiële wereld is een pump-and-dump de truc dat je waardeloze aandelen koopt, vervolgens heel hard dat aandeel promoot en het verkoopt zodra door andermans aankopen de prijs een leuk stukje gestegen is. Dat is strafbaar wanneer je daarbij valse informatie gebruikt, wat meestal het geval is want anders krijg je mensen niet overtuigd. “Deze aandelen van een medisch bedrijf staan op 2 cent maar ze hebben een medicijn tegen corona, koop vandaag nog want morgen wordt het bekend gemaakt” bijvoorbeeld.

In de cryptowereld bestaat dat ook. Een populaire variant is de rugpull:

Rug pulls usually happen in the decentralized finance (DeFi) ecosystem, especially on decentralized exchanges (DEXs), where malicious individuals create a token and list it on a DEX, then pair it with a leading cryptocurrency like Ethereum. Once a significant amount of unsuspecting investors swap their ETH for the listed token, the creators then withdraw everything from the liquidity pool, driving the coin’s price to zero.
In gewoon Nederlands: je maakt je eigen munt en zorgt dat je met een bestaande cryptomunt (meestal ethereum, ETH) deze kunt kopen. En als genoeg mensen ingestapt zijn, verkoop je al de munten, zodat jij alle ethereum als tegenwaarde krijgt en de waarde van jouw munt gekelderd is. Ondertussen blokkeer je dan de verkoop van je munt voor anderen, zoals ook hier gebeurde:
Begin april 2018 werd voor de klanten van Coinhouse.eu de opnamefunctie (‘withdrawal’) van hun wallets stil gelegd. Door verdachten werden de wallets van accounthouders leeggehaald, terwijl Coinhouse.eu gewoon bleef draaien.
Maar strafrechtelijk gezien maakt de precieze werkwijze niet echt uit. Waar het om gaat, is dat er vrijwel altijd met valse informatie wordt geschermd, of mensen op het verkeerde been worden gezet zodat ze iets kopen dat ze eigenlijk niet wilden kopen. Dat is apart strafbaar, art. 334 Wetboek van Strafrecht:
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door het verspreiden van een leugenachtig bericht de prijs van koopwaren, fondsen of geldswaardig papier doet stijgen of dalen, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vijfde categorie.
In juni blogde ik over de arrestatie met de twijfel of cryptomunten onder zulk “papier” vielen. Maar in ieder geval is er jurisprudentie dat het verspreiden van half-ware berichten ook “leugenachtig” oplevert – zeggen dat de koers aan het stijgen is door een groot aantal aankopen, waarbij je niet zegt dat jij de persoon bent die die aankopen doet.

Interessant vind ik nog de variant van de pump and dump waarbij iedere deelnemer weet dat het een pump en dump is. Dan is het een vorm van gokken: we steken er allemaal geld in, de koers stijgt en wie het eerste de winst pakt die heeft alles. Maar hoe langer je wacht, hoe meer winst er te pakken is. Als je dat allemaal welbewust weet en toch erin meegaat, is er dan een strafbaar feit? Hóórt dat strafbaar te zijn?

Arnoud

VS neemt sancties tegen cryptobeurs voor faciliteren ransomwaregroepen

| AE 12925 | Regulering | 20 reacties

Sophieja23 / Pixabay

Het Amerikaanse ministerie van Financiën heeft voor het eerst sancties genomen tegen een cryptobeurs voor het faciliteren van de transacties van ransomwaregroepen, las ik bij Security.nl. Volgens het ministerie blijkt uit een analyse van de transacties van cryptobeurs Suex dat zeker acht ransomwaregroepen heeft gefaciliteerd en dat meer dan veertig procent van de transacties in verband met criminele partijen wordt gebracht. Het bekende probleem is natuurlijk dat het bedrijf zelf niet in de VS zit, dus hoe doe je ze dan pijn? Nou, zo.

Suex zou meer dan 160 miljoen dollar van ransomwaregroepen en andere cybercriminelen hebben ontvangen. Anders gezegd: 40% van hun transactievolume is van bekende ransomware. Bij zulke getallen snap ik wel dat je als staat daartegen op wil treden. Zeker omdat er weinig andere concrete strategieën zijn om ransomware-bendes te bestrijden.

Cryptobeurzen bestaan natuurlijk overal ter wereld, en naast de legitieme heb je ook de meer schimmige. Zoals dus kennelijk Suex, dat geregistreerd is in Tsjechië, maar zou opereren vanuit Rusland en het Midden-Oosten. Daar direct tegen optreden vanuit de VS is wat lastig.

Dat heeft echter nog nooit Amerikaanse sancties tegengehouden, en ook nu niet. Door de opgelegde sancties mogen Amerikanen namelijk geen zaken meer met Suex doen en zijn alle tegoeden van het bedrijf die onder Amerikaanse jurisdictie vallen bevroren. Want daar kun je wél bij, Amerikaanse burgers (en hun rekeningen) en banken die banden met de VS hebben.

Het haakt in op de recente discussies alhier over jurisdictie en hoe ver je mag gaan als land. Dit lijkt een ‘nette’ oplossing: je hebt last van een buitenlandse partij, dus je verbiedt de eigen burgers daar zaken mee te doen maar je laat die partij zelf met rust want die zit in het buitenland. Alleen, vergis je niet: dit raakt banken wereldwijd, want er zijn maar bar weinig banken die geen enkele band met Amerikaanse jurisdictie hebben. Effectief is dit dus het einde van Suex als legitiem cryptohandelskantoor.

Arnoud

Kun je aansprakelijk gesteld worden voor bitcoindiefstal door je kinderen?

| AE 12882 | Security | 9 reacties

Een Amerikaan heeft de dieven van 16 bitcoins (destijds 2 ton in Euro’s) gevonden en klaagt nu hun ouders aan, zo meldde Krebs on Security onlangs. De man stak veel tijd in het opsporen van de bitcoindieven, maar wist met het nodige forensisch onderzoek te achterhalen dat twee Britse -destijds- minderjarigen de cryptomunten naar zich… Lees verder

DNB: cryptobeurs Binance biedt illegaal diensten aan in Nederland

| AE 12859 | Regulering | 20 reacties

Binance, de grootste cryptobeurs ter wereld, is illegaal in Nederland actief, zo waarschuwt De Nederlandsche Bank (DNB) volgens Security.nl. Volgens de toezichthouder biedt de cryptobeurs zonder wettelijk verplichte registratie cryptodiensten in Nederland aan. Het gaat om de diensten voor wisselen tussen virtuele valuta en fiduciaire valuta en het aanbieden van wallets voor het bewaren van cryptovaluta. Binance… Lees verder

Politie arresteert man op verdenking ‘pump en dump’ met zelfgemaakte cryptocoins

| AE 12717 | Innovatie, Regulering | 17 reacties

De Nederlandse politie heeft een man van 39 uit Deventer aangehouden op verdenking van grootschalige oplichting met zelfgemaakte cryptovaluta. Dat las ik bij Tweakers. In het jargon heet dit een “pump and dump scheme”: je praat de koers omhoog en daarna verkoop je snel je eigen voorraad, waarna je er met het geld vandoor gaat… Lees verder

DNB: cryptohandelaren hoeven toch niet steeds identiteit van klanten te bewijzen

| AE 12679 | Ondernemingsvrijheid | 5 reacties

De Nederlandsche Bank stopt met het verplicht identificeren van klanten bij elke transactie voor cryptohandelaren. Dat las ik bij Tweakers. Bedrijven moeten transacties wel screenen, maar verplicht identificeren vervalt. DNB had eerder de wet zo geïnterpreteerd dat die identificatie wel zou moeten, waardoor cryptobedrijven als Bitonic zich ernstig bedreigd voelen in hun dienstverlening. Met deze… Lees verder