First click here and then choose your language with the Google translate bar at the top of this page ↑

Op het spoor van AlphaBay's meesterbrein leidt een tip rechercheurs naar een verdachte in Bangkok - en naar de ontmoedigende taak om zijn miljoenen aan cryptocurrency op te sporen.

Hoofdstuk 3: Cazes

Begin 2015 was een Canadese tech-ondernemer uit het stadje Trois-Rivières in Quebec - ik noem hem Paul Desjardins - een reis naar Thailand aan het plannen. Een vriend raadde hem aan tijdens zijn verblijf af te spreken met een contact uit hun woonplaats die nu in Bangkok woonde. De man heette Alexandre Cazes. Desjardins besloot hem te bezoeken.

Cazes, vond hij, woonde in een onopvallend, middelgroot huis in een omheinde gemeenschap in de Thaise hoofdstad, maar de Canadees van begin twintig leek het goed te doen voor zichzelf. Hij had al vroeg geïnvesteerd in Bitcoin, vertelde hij Desjardins, en dat had zijn vruchten afgeworpen.

Zijn grootste financiële probleem leek te zijn dat hij nu meer geld had dan hij aankon. Hij zinspeelde erop dat hij bitcoins had verkocht aan Russische maffia contacten in Bangkok. Een buitenlander die de resulterende grote bundels Thaise baht bij een bank zou deponeren, zou rode vlaggen opwerpen bij de plaatselijke toezichthouders, maakte hij zich zorgen. In plaats daarvan stapelden de stapels biljetten zich op in zijn huis, zelfs verborgen in nissen in de muren.

"Er was overal geld", herinnert Desjardins zich. "Je opent een lade en je vindt geld."

Ondanks Cazes liquiditeitsproblemen en zijn enigszins alarmerende vermelding van de Russische maffia, zag Desjardins geen enkel bewijs dat zijn vreemde nieuwe kennis betrokken was bij iets openlijks crimineels. Hij gebruikte geen drugs; hij leek nauwelijks bier te drinken. Cazes was vriendelijk en intelligent, maar sociaal vreemd en emotioneel "erg koud", alsof iemand de bewegingen van menselijke interactie uitvoert in plaats van dat op een natuurlijke manier te doen. "Het was allemaal logica," zegt Desjardins, "enen en nullen." Hij merkte wel op dat zijn nieuwe vriend, hoewel verder vrijgevig en goedaardig, ideeën had over vrouwen en seks die hem erg conservatief leken, grenzend aan vrouwenhaat.

Tijdens dat eerste bezoek bespraken de twee mannen Desjardins' idee voor een nieuwe e-commerce website. Cazes leek geïnteresseerd, en Desjardins stelde voor er samen aan te werken.

Terug in Quebec rond Kerstmis van dat jaar, ontmoette Cazes Desjardins opnieuw, deze keer om een volledig zakelijk verhaal te horen. Na niet meer dan 15 minuten discussie was Cazes binnen. Hij maakte indruk op Desjardins door zonder aarzelen 150.000 dollar uit te geven voor een webdomein voor hun bedrijf, zonder zelfs de moeite te nemen om met de verkoper te onderhandelen.

Een andere aangename verrassing was dat Cazes ook een rekening van zes cijfers betaalde die Desjardins had opgelopen in een geschil met een ander bedrijf. Hij bleek ook een codeur te zijn; Desjardins was van plan een team van programmeurs in te huren, maar Cazes deed al snel in zijn eentje het grootste deel van de eerste programmering voor hun nieuwe site.

Terwijl ze werkten om hun bedrijf van de grond te krijgen, zag Desjardins dat Cazes rijker was dan hij aanvankelijk dacht. Desjardins hoorde dat zijn partner bezig was met het kopen van een villa in Cyprus en een soort van vastgoedinvestering in Antigua. Toen Desjardins de volgende keer Bangkok bezocht, haalde Cazes hem op aan de luchthaven in een donkergrijze Lamborghini Aventador.

Desjardins wees erop dat zijn grote koffer nergens in de supercar paste. Cazes zei hem toch maar in te stappen en worstelde met de bagage tot die op de schoot van zijn gast paste. Desjardins herinnert zich dat de koffer krassen maakte op delen van het interieur van de Lamborghini, maar Cazes leek zich daar niets van aan te trekken. In feite leek hij geen emotionele band te hebben met de auto; hij wist niet eens hoe hij de radio moest gebruiken. Desjardins dacht dat Cazes hem leek te bezitten omdat hij vond dat het de sociaal correcte manier was om zijn rijkdom te tonen.

Toen ze de luchthaven verlieten, vroeg Cazes aan Desjardins of hij ooit eerder in een Lamborghini had gezeten. Hij antwoordde van niet. Binnen enkele seconden werd Desjardins platgedrukt tegen de passagiersstoel van de Aventador terwijl zijn excentrieke vriend hen met meer dan 150 mijl per uur over de snelweg van Bangkok schoot.

Eind november 2016, vlak voor Thanksgiving, was Grant Rabenn in zijn kantoor zijn zaken aan het afronden en zich aan het voorbereiden op de vakantie, toen hij een telefoontje kreeg van Miller. "Hé, Grant," zei Miller. "Ik denk dat ik iets belangrijks heb waar we over moeten praten."

Ze ontmoetten elkaar bij de Starbucks een blok van Fresno's gerechtsgebouw. Miller legde uit wat zijn tipgever hem had verteld: In AlphaBay's eerste dagen online, lang voordat het honderdduizenden gebruikers kreeg of onder de loep werd genomen door de politie, had de maker van de markt een kritieke, bijna lachwekkende beveiligingsfout gemaakt. Iedereen die zich destijds op de forums van de site registreerde, had een welkomstmail ontvangen, verzonden via de met Tor beveiligde server van de site. Maar door een misconfiguratie in de setup van de server onthulden de metadata van het bericht duidelijk het e-mailadres van de persoon die -Pimp_alex_91@hotmail.com- samen  stuurde met het IP-adres van de server, waardoor deze in Nederland stond.

De fout was snel hersteld, maar pas nadat de tipgever zich had geregistreerd en de welkomstmail had ontvangen. De bron had het twee jaar bewaard terwijl AlphaBay uitgroeide tot de grootste darkweb markt in de geschiedenis.

En nu hadden ze het aan Miller gegeven. Het leek erop dat zelfs de figuur die Rabenn ooit beschouwde als "de Michael Jordan van het darkweb" in staat was tot elementaire beveiligingsfouten-met blijvende gevolgen.

Rabenn ontving Miller's openbaring koel. Hij had al eerder gehoord van overspannen agenten wiens ongelooflijke aanwijzingen leidden tot doodlopende wegen of bedrog. Hij dacht dat als zijn team in Fresno deze aanwijzingen had, iemand anders in de Amerikaanse regering hen mijlenver voor moest zijn. Toch besloten ze alles te laten vallen en de tip te volgen.

Er zat namelijk meer achter het spoor van de bron, dat allemaal kon worden bevestigd met een paar Google zoekopdrachten. Het adres Pimp_alex_91@hotmail.com verscheen ook op een Franstalige social media site, Skyrock.com. Daar plaatste iemand met de naam "Alex" foto's van zichzelf uit 2008 en 2009, gekleed in flodderige shirts met afbeeldingen van dollarbiljetten en juwelen en met een nieuwe baseballpet op en een zilveren hanger aan zijn nek. Op één foto schreef hij zijn hiphopnaam "RAG MIND" bovenaan de foto in de stijl van een rapdebuut. Op zijn shirt stond "HUSTLE KING".

Een datingprofiel dat de man op de site had geplaatst, vermeldde zijn woonplaats, Trois-Rivières in de Frans-Canadese provincie Quebec, en zijn toenmalige leeftijd, 17 jaar. Dus de "91" in zijn e-mailadres was zijn geboortejaar. Als dit inderdaad de oprichter van AlphaBay was, zou hij 23 zijn geweest bij de oprichting van de markt.

Niets aan deze jonge Frans-Canadese hip hop wannabe kwam overeen met Rabenn en Miller's gevoel van de kingpin bekend als Alpha02. Waren alle toespelingen op Rusland en Russischtalige fragmenten een list geweest? Op basis van het IP-adres in de e-mail van de tipgever, leken de forums van de site in ieder geval in West-Europa te zijn gevestigd.

Voor Miller en Rabenn leek de theorie dat "Alex" Alpha02 was in eerste instantie vreemd. Maar hoe dieper ze zochten, hoe aannemelijker het werd. De jonge Quebecer had zijn Pimp_alex_91 e-mail adres jaren eerder gebruikt op een Franstalig technologie forum genaamd Comment Ça Marche- "Hoe het werkt." Hij had zijn berichten ondertekend met zijn volledige naam: Alexandre Cazes.

Bij het zoeken naar die naam stuitten de onderzoekers op een recenter LinkedIn-profiel van een duidelijk volwassener Alex, zonder hiphop outfit, die zichzelf als webprogrammeur en oprichter van het in Quebec gevestigde hosting- en webdesignbedrijf EBX Technologies aanprijst. Zijn foto toont een onopvallend uitziende zakenman in een grijs pak en wit overhemd zonder stropdas. Hij had een rond gezicht met een gespleten kin, iets dunner wordend haar aan de voorkant en een onschuldige open blik.

Cazes vermeldde zijn locatie als Quebec, Canada, maar uit zijn connecties op sociale media konden ze opmaken dat hij eigenlijk in Thailand gevestigd leek te zijn. Verder zoeken op sociale media onthulde Facebook accounts voor Cazes' verloofde, een mooie Thaise vrouw genaamd Sunisa Thapsuwan. Een veelzeggende foto op het profiel van een familielid toonde Cazes in een pak en een zonnebril, staand naast een donkergrijze Lamborghini Aventador.

Nog dieper gravend vonden ze de meest veelzeggende aanwijzing van allemaal. Op Comment Ça Marche en een ander programmeerforum genaamd Dream in Code stonden oudere profielen van Cazes die verwijderd waren, maar die bewaard waren gebleven op het Internet Archive. Jaren eerder, zo bleek, had hij op die forums geschreven onder een andere gebruikersnaam: Alpha02.

Binnen een paar dagen wisten Rabenn en Miller dat ze een goed spoor hadden. Ze wisten ook dat de zaak te groot was om alleen aan te pakken. Ze besloten hun bevindingen voor te leggen aan het FBI-kantoor in Sacramento, een veel grotere buitenpost op een paar uur rijden naar het noorden met veel meer expertise en middelen op het gebied van cybercriminaliteit dan hun kleine kantoor in Fresno. Het bleek dat de agenten in Sacramento AlphaBay al vanaf het begin volgden. Niettemin was Miller's tip nieuwe informatie voor hen.

Rabenn nam Paul Hemesath aan als onderzoekspartner. De twee waren al jaren bevriend; Hemesath, een oudere en meer weloverwogen aanklager, had de uitstraling van een universiteitsprofessor, en hij compenseerde Rabenn's agressieve "run-and-gun" aanpak. Hemesath vroeg op zijn beurt om hulp van de Computer Crime and Intellectual Property Section op het hoofdkantoor van Justitie - het kantoor in Washington DC, waar een klein leger van op cybercriminaliteit gerichte agenten en computerforensisch analisten was gevestigd.

Terwijl ze hun team samenstelden, begonnen Miller en Rabenn met het delicate proces van "deconflictie", waarbij ze uitzochten of andere agentschappen en task forces in het hele land hun eigen openstaande zaken op Alpha02 hadden. Keer op keer hoorde Rabenn dat een ander team in een andere stad onderzoek deed naar AlphaBay, maar geen echte vooruitgang had geboekt. Niemand leek de naam Alexandre Cazes te herkennen.

Tegen alle verwachtingen in, begon Rabenn zich te realiseren dat zijn kleine kantoor in de Centrale Vallei misschien wel dichter bij het oplossen van het diepste mysterie van het internet was dan wie dan ook. Binnenkort zouden ze zich in de voorhoede bevinden van de grootste wereldwijde klopjacht.

Hoofdstuk 4: Thailand

Als Cazes halverwege de wereld naar Bangkok is verhuisd om AlphaBay buiten het bereik van de Westerse wetshandhaving te runnen, dan heeft hij, volgens sommigen, precies de verkeerde bestemming gekozen.

Al meer dan een halve eeuw is de Amerikaanse overheid enorm aanwezig in Thailand. Zelfs voor de oprichting van de DEA in 1973, had het Amerikaanse Bureau voor Narcotica en Gevaarlijke Drugs een kantoor in Bangkok. Amerikaanse agenten werden daar al lang naartoe gestuurd om de stroom van zogenaamde witte heroïne uit de opiumproducerende Gouden Driehoek, die delen van Thailand, Laos en Myanmar omvat, te verstoren. In de late jaren 1950 produceerde die driehoek de helft van de heroïnevoorraad in de wereld en voedde een epidemie van verslaafde Amerikaanse soldaten in Vietnam in de jaren '60 en '70 - een probleem dat van het stoppen van de Thaise drugshandel een van de eerste en hoogste prioriteiten van de DEA maakte. Vijftig jaar later is Bangkok nog steeds een van de grootste en meest actieve DEA-kantoren ter wereld, het regionale hoofdkwartier voor alle Oost-Aziatische operaties van de Amerikaanse ordehandhaver die meer overzeese agenten heeft dan welke andere ook.

Voor Jen Sanchez was het ook een mooie opdracht: prachtig weer, lage kosten van levensonderhoud, heerlijk eten, en niet bijzonder gevaarlijk - vergeleken met andere DEA-hotspots.

Sanchez, een 26-jarige veteraan van de DEA, midden vijftig, met wit haar dat tot op haar schouders is afgeknipt, en een niet-beledigende, van godslastering voorziene benadering van conversaties, vond dat ze haar begeerde baan in Bangkok had verdiend. Ze had jarenlang in Mexico City onderzoek gedaan naar het witwassen van geld, gevolgd door een periode in Texas, waar haar werk leidde tot de arrestatie van drie Mexicaanse gouverneurs voor het aannemen van steekpenningen van het Zetas-drugskartel en het verduisteren van hun eigen staat. In die zaak, genaamd Operatie Politico Junction, had ze het vuile geld van de gouverneurs getraceerd naar de bedrijven die ze hadden gekocht om het wit te wassen, samen met landhuizen, luxe auto's en privévliegtuigen. In totaal had Sanchez beëdigde verklaringen getekend voor in beslag genomen activa ter waarde van meer dan 90 miljoen dollar. Ze genoot van de rechtvaardige kick van het failliet laten gaan van criminelen die hun hele leven hadden besteed aan het vergaren van illegale rijkdom. En omdat veel van dat geld in de DEA-kas belandde, had het haar carrière ook geen kwaad gedaan. Zoals ze bescheiden zei: "Ik heb voor mezelf betaald."

In december 2016 was Sanchez al negen maanden in Thailand, vooral om de financiering van gewelddadige islamitische bewegingen in het zuiden van het land op te sporen. Toen op een dag, in het DEA-kantoor in Bangkok - gevestigd in de Amerikaanse ambassade, een wit stenen gebouw met een gracht rond de fundering en een grasveld waar 's avonds grote varanen uit het gebladerte tevoorschijn komen - vertelde haar baas haar dat ze een bezoeker hadden: een DEA-ambtenaar die een presentatie zou geven over virtuele valuta.

Sanchez wist niets van virtuele valuta. En met nog maar een paar jaar te gaan tot haar pensioen, wilde ze er ook niets over leren. Maar ze luisterde beleefd tijdens de hele presentatie. Pas aan het eind van de sessie kreeg de bezoekende agent echt haar aandacht: Hij vermeldde, bijna terloops, dat de DEA onlangs een spoor had gevonden naar de beheerder van 's werelds grootste darkweb markt en dat hij daar in Thailand leek te zijn.

Sanchez had gehoord van Silk Road. Ze vroeg of deze site net zo groot was als die legendarische zwarte markt. De agent antwoordde dat hij minstens drie of vier keer zo groot was als Silk Road, en groeiende. "Holy shit," dacht Sanchez bij zichzelf. De grootste darkweb kingpin in de geschiedenis was in haar achtertuin? De omvang van het witwassen alleen al zou enorm zijn.

"Hij gaat dingen hebben," herinnert ze zich, denkend. En zij wilde degene zijn die deze activa opspoorde en in beslag nam.

Een andere groep agenten in Bangkok was aangewezen om de AlphaBay zaak te behandelen. Sanchez' eigen supervisor leek, tot haar voortdurende frustratie, meer geïnteresseerd in het oppakken van kleine dealers op de toeristenstranden van Pattaya dan in grote, langdurige onderzoeken. Maar Sanchez wilde niet buitengesloten worden van wat volgens haar wel eens een van de grootste inbeslagnames van geld en eigendommen - virtueel of anderszins - in de geschiedenis van de DEA in Thailand zou kunnen worden. Zodra de presentatie was afgelopen en de bezoekende agent was vertrokken, liep Sanchez het kantoor van haar baas binnen, wees met een vinger naar hem en vertelde hem dat ze AlphaBay wilde hebben.

Sanchez kreeg haar zin. Ze zat al snel in een serie van soms verbijsterende conferentie gesprekken tussen alle verschillende agentschappen die nu op Cazes jagen in een dozijn tijdzones. In deze gesprekken zaten Rabenn, Miller, Hemesath en het Sacramento FBI team, die AlphaBay's basis mechanisme en het gebruik van cryptocurrency uitlegden.

Toen Sanchez een idee kreeg van de volle omvang van de handel in hard drugs die AlphaBay nu dagelijks mogelijk maakte, werd ze woedend. De Amerikaanse opioïdencrisis was op dat moment in volle gang; 42.000 Amerikanen waren in 2016 gestorven aan een overdosis opiaten, meer dan in enig ander jaar in de geschiedenis. Die stijging was deels te wijten aan een toevloed van fentanyl, het opiumderivaat dat tot 100 keer sterker is dan morfine. En deze 25-jarige Frans-Canadese runde een grote openlucht heroïne en fentanyl bazaar in het openbaar? Ze werd achtervolgd door de gedachte dat elke dag dat AlphaBay online bleef, iedereen, zelfs kinderen, fentanyl van de site konden bestellen, het per post konden ontvangen en binnen enkele uren aan een overdosis konden sterven.

In een gesprek met Miller in Fresno, zwoer ze dat ze AlphaBay offline zouden hebben en Cazes achter de tralies in minder dan zes maanden. "Ik ga hem te grazen nemen, en hij gaat naar de gevangenis, en we gaan hem in Florence supermax zetten," herinnert ze zich dat ze Miller vertelde, verwijzend naar de gevangenis waar Ross Ulbricht zijn levenslange straf uitzat. "Ik wil die jongen weg hebben."

Nu Sanchez zich bij het AlphaBay onderzoek had aangesloten, werkte ze onder een nieuwe baas in Bangkok: een 47-jarige, in Puerto Rico geboren DEA-agent genaamd Wilfredo Guzman. Guzman was zijn carrière begonnen met de jacht op met drugs geladen speedboten voor de kust van Puerto Rico en was opgeklommen in de rangen van het agentschap na een reeks grote Caribische en Zuid-Amerikaanse zaken. Nu, als supervisor in het Bangkok kantoor, was zijn prioriteit boven alles het onderhouden van een hand-in-hand relatie met het DEA equivalent van de Thaise politie, bekend als het Narcotica Suppressie Bureau (NSB). Dat vereiste bijna voortdurend nachtelijke zakendiners met pijnlijk gekruid eten, dronken banketten en karaoke-uitstapjes, waarbij op het podium John Denver-teksten werden gezongen met hooggeplaatste agenten uit Bangkok.

De Koninklijke Thaise Politie heeft een verre van geweldige reputatie als het gaat om drugshandel en corruptie. Voor sommigen in het agentschap is het afpersen van kleine drugsdealers een extraatje van de baan. Een RTP-ambtenaar genaamd Thitisan Utthanaphon had de bijnaam Joe Ferrari gekregen vanwege zijn verzameling sportwagens van mysterieuze herkomst. Hij zou later worden betrapt in een uitgelekte video waarin hij samen met zes andere agenten een vermoedelijke methdealer liet stikken.

Dus toen Robert Miller Guzman in het Bangkok kantoor vroeg om hulp bij de jacht op Cazes, bracht Guzman het naar zijn meest vertrouwde contact bij de NSB, Kolonel Pisal Erb-Arb, die het Bangkok Intelligence Center leidde. Pisal was een kwieke, vaderlijke officier van midden vijftig die zijn onopvallende uiterlijk als kalende vader van middelbare leeftijd vaak gebruikte om undercover opdrachten uit te voeren. Hij had een klein team samengesteld dat bekend stond om het brandschone onderzoekswerk volgens het boekje en om Pisals zeldzame praktijk om vrouwelijke agenten te bevorderen.

Bijna meteen gingen Guzman, Pisal en het NSB team aan de slag met het opsporen van hun nieuwe doelwit. Beginnend met alleen Cazes naam en een telefoonnummer, begonnen ze zijn eigendommen in kaart te brengen: een huis in een rustige omheinde gemeenschap waar hij af en toe kwam - wat ze zijn "vrijgezellenwoning" of "safe house" gingen noemen - en een ander huis op naam van zijn vrouw in een omheinde buurt aan de andere kant van de stad, waar hij leek te werken en te slapen. Hij kocht en verbouwde een derde huis, een herenhuis van 3 miljoen dollar, verder aan de rand van Bangkok.

Al snel volgden de onderzoekers elke beweging van Cazes in de stad. De Thais waren vooral gefascineerd door zijn Lamborghini, een supercar van bijna 1 miljoen dollar, en zijn Porsche Panamera en BMW motorfiets, waarmee hij met snelheden van meer dan 100 mijl per uur reed als het verkeer in Bangkok het toeliet.

Het volgen van Cazes bleek een matige uitdaging: hij reed vaak weg van de agenten die zijn sportwagens volgden op stukken ononderbroken snelweg of raakte ze kwijt terwijl hij op zijn motor tussen vrachtwagens en tuk-tuks doorreed. Pisal gebruikte een beetje persoonlijk vakmanschap om een GPS tracker op Cazes Porsche te plaatsen. Hij deed zich voor als een dronkaard en stortte in naast de auto in een parkeergarage, waarna hij het apparaatje aan de onderkant van de auto bevestigde. De politie probeerde een soortgelijk zendertje aan de Lamborghini te bevestigen, maar ontdekte dat het chassis van de auto zo laag bij de grond zat dat het niet paste. In plaats daarvan volgden ze de iPhone van Cazes door de positie van de telefoonmasten te bepalen.

Toen Pisal's team zich een gedetailleerd beeld begon te vormen van Cazes dagelijks leven, viel het hen op dat alles in orde leek. Hij was een "huismus", zoals een agent zei, die hele dagen niet buiten kwam. Als hij overdag zijn huis verliet, ging hij naar de bank of zijn Thaise taallessen in de stad, of nam hij zijn vrouw mee naar restaurants of het winkelcentrum. Hij leefde, zoals Pisal het uitdrukte met een Engelse uitdrukking die vaak door Thais wordt gebruikt, een "chill-chill" leven van vrije tijd.

Zou hun te mooi om waar te zijn tip een soort van misleiding zijn geweest? Probeerde iemand Cazes erin te luizen, om hem als zondebok te gebruiken?

Het werd Guzman en de Thaise politie al snel duidelijk dat Cazes een belangrijk geheim had in zijn niet digitale leven: Hij was een vrouwenversierder. Hij ging er 's avonds vaak op uit om afspraakjes op te pikken - van een 7-Eleven, uit het winkelcentrum, van zijn taalcursus - en nam ze mee naar zijn vrijgezellenwoning, of anders naar liefdes motels. Deze ontmoetingen waren zakelijk en kort. Aan het eind van de avond was Cazes weer thuis bij zijn vrouw.

Zogenaamde sexpats - buitenlanders die hun rijkdom gebruiken om polyamoreuze fantasieën uit te leven - waren heel gewoon in Thailand. En hoe schandalig Cazes' affaires ook waren, er was geen wet tegen flirten. Toch hoefden de Thais er niet van overtuigd te worden dat Cazes een soort van misdaadbaas moest zijn. Op een gegeven moment volgde het surveillance team hem naar een restaurant genaamd Sirocco op het dak van Bangkok's Lebua hotel; 63 verdiepingen hoger beweerde het restaurant het hoogste openlucht diner ter wereld te bieden, met twee Michelin sterren en $2,400 flessen wijn op het menu.

Toen Cazes en een groep vrienden het restaurant verlieten, kwamen de agenten binnen en spraken met het management van Sirocco en eisten de bonnetjes van de hele dag om duidelijk te maken op wiens rekening ze uit waren. Inclusief wijn en royale fooien vonden ze dat Cazes niet minder dan 1,3 miljoen baht - bijna 40.000 dollar - had uitgegeven aan één maaltijd voor zijn entourage, een bedrag dat zelfs de agenten die gewend zijn aan het opsporen van rijke drugskoningen verbijsterde.

Drugsheren die zelf nooit drugs aanraakten of rechtstreeks misdaden pleegden, waren niets nieuws voor de NSB-agenten. Ze waren gewend dat hoe schoner de handen van een verdachte waren, hoe hoger de positie die hij waarschijnlijk bekleedde in een drugssyndicaat. Maar die hoge bazen ontmoetten vaak medewerkers die betrokken waren bij de hands-on misdaden of er minstens een stap of twee vanaf stonden.

De criminaliteit van Cazes daarentegen leek volledig te worden gekanaliseerd via de ondoorzichtige opening van het darkweb, veilig achter de sluier van de Bitcoin blockchain. In de fysieke wereld, waren zijn handen schoner dan die van elke crimineel die ze ooit hadden ontmoet.

Soms deed dit perfecte laagje zelfs de Amerikaanse onderzoekers aan zichzelf twijfelen. Natuurlijk, Cazes leek een keer een fout te hebben gemaakt, jaren geleden, toen hij dat Pimp_alex hotmail adres achterliet in de metadata van een welkom e-mail. Maar terwijl hun groeiende onderzoeksteam dat eerste spoor volgde, vroegen Rabenn en Hemesath elkaar regelmatig of ze echt de juiste man hadden. Zou hun te-goed-om-waar-te-zijn tip een soort misleiding zijn geweest? Zou iemand met opzet het adres hebben gelekt en zelfs de naam Alpha02 hebben gekozen om deze Cazes erin te luizen, om hem als zondebok te gebruiken? "Het nachtmerrie scenario zou zijn dat de bron ons in de val lokte," herinnert Rabenn zich.

De enige manier om het zeker te weten was een andere aanpak, die een paar jaar eerder nog onmogelijk leek. Begin 2017 was er een nieuwe, groeiende groep onderzoekers die de blockchain van Bitcoin zag als iets anders dan een ondoordringbare sluier. Ze realiseerden zich dat Bitcoin geen mysterieuze, anonieme valuta was, maar een bijna volledig traceerbaar financieel systeem. En het waren deze traceerders die de volgende doorbraak zouden bieden in de race om Alpha02 uit te schakelen.

Hoofdstuk 5: Tunafish

Eind 2016 hadden een paar FBI-analisten, beiden gevestigd in Washington DC, een reputatie opgebouwd als misschien wel het allerbeste team van cryptocurrency tracers in de Amerikaanse overheid. (Op hun verzoek worden ze hier alleen met hun voornamen aangeduid, Ali en Erin.) De twee deelden een focus op digitaal witwassen, een fascinatie voor cryptocurrency en een jarenlange vriendschap. Hoewel ze voor verschillende onderzoeksgroepen in verschillende kantoren werkten, vormden ze een eigen team van twee personen, die praktisch samensmolten tot twee kwabben van één enkel Bitcoin-geobsedeerd brein. En ze werkten bijna volledig onder de radar, met alleen aanwijzingen die ze stilletjes doorgaven aan andere onderzoekers, aanwijzingen die niet voorkwamen in criminele verklaringen of bewijsmateriaal in de rechtszaal.

Op een winterochtend, enkele weken nadat Robert Miller zijn Alpha02-tip had ontvangen - en voordat bijna iedereen in de Amerikaanse regering ervan wist - was Ali naar Erin gekomen met een idee. Ze verliet het satellietkantoor van de FBI waar ze werkte, in een grimmig kantorenpark in Chantilly, Virginia, en reed een half uur door het verkeer in DC om Erin te overvallen aan haar bureau in het hoofdkwartier van de FBI. Ali, de meest uitbundige en ambitieuze van de twee, wilde dat Erin al hun andere werk opzij zou schuiven zodat ze iets konden proberen wat nog nooit iemand gelukt was: het opsporen van een darkweb beheerder - misschien zelfs de beheerder van AlphaBay - uitsluitend via de technieken van blockchain-analyse.

Voordat Erin tijd had om te protesteren, schoof Ali een stoel in Erins kleine hokje en pakte ongeduldig haar muis om op haar computerscherm door Bitcoin-adressen te klikken.

Ali's ambitie om de financiën van een darkweb kingpin bloot te leggen leek pas haalbaar na jaren van vooruitgang in crypto-tracing technieken - waarvan de laatste specifiek AlphaBay in het vizier had. Ali en Erin waren beiden vloeiende gebruikers van Reactor, een stuk software van een New Yorkse startup genaamd Chainalysis. Samen met een handvol soortgelijke bedrijven had Chainalysis sinds 2014 een reeks krachtige nieuwe methoden voor het opsporen van cryptocurrency ontwikkeld en geautomatiseerd. Die inspanningen hadden de criminele belofte van Bitcoin stilletjes op zijn kop gezet, door de blockchain te veranderen in een vertakkende reeks broodkruimelsporen waarmee onderzoekers van cybercriminaliteit het geld als nooit tevoren konden volgen.

Sommige van deze technieken waren relatief eenvoudig. Zo kon een cryptotracker met Reactor soms bitcoins volgen terwijl ze van adres naar adres gingen, totdat ze een adres bereikten dat kon worden gekoppeld aan een rekening bij een beurs, waar ze werden verzilverd voor traditionele valuta. Dan konden de klanten van Chainalysis in de rechtshandhaving eenvoudig de beurs dagvaarden voor de identiteit van de rekeninghouder, omdat de Amerikaanse wet beurzen verplicht deze informatie over Amerikaanse gebruikers te verzamelen.

De krachtigere bijdrage van Chainalysis aan bitcoin-tracing was een verzameling van "clustermethoden" die het mogelijk maakten te laten zien wanneer verschillende Bitcoin-adressen - tientallen tot miljoenen - toebehoorden aan één persoon of organisatie. Als Reactor bijvoorbeeld liet zien dat munten van twee of meer adressen werden uitgegeven in een enkele "multi-input" transactie, betekende dat dat één entiteit de controle had over al die adressen. Door deze truc was het geld van Silk Road-gebruikers relatief eenvoudig te traceren: Stuur gewoon een paar testtransacties naar een Silk Road account, en het portemonneesysteem van de markt zou al snel je munten bundelen met andere in multi-input transacties, wat zou leiden tot een cluster van andere Silk Road adressen, zoals een koffer vol biljetten met een homing device erin, teruggebracht naar de schuilplaats van een crimineel.

Maar Chainalysis had ontdekt dat dezelfde methode niet werkte op AlphaBay, dat zorgvuldig leek te vermijden de betalingen van gebruikers samen te voegen, en ze in plaats daarvan in vele kleine, losgekoppelde adressen hield. In april 2016 was AlphaBay zelfs begonnen met het adverteren aan gebruikers dat het functioneerde als een bitcoin tumbler: Zet geld op een AlphaBay account, en het verbrak naar verluidt elke link die kon worden gebruikt om het te volgen van waar het op de markt kwam tot waar het wegging. "Geen enkel niveau van blockchainanalyse kan bewijzen dat uw munten van AlphaBay komen omdat we onze eigen verduisteringstechnologie gebruiken," las een bericht uit 2016 van AlphaBay's personeel aan gebruikers op de site. "U hebt nu ijzersterke plausibele ontkenning met uw bitcoins."

Die beweringen, zo ontdekte Chainalysis, bleken grotendeels waar te zijn. Omdat AlphaBay nooit munten verzamelde in grote, gemakkelijk identificeerbare verpakkingen, was het bijna onmogelijk om naar een willekeurige transactie op de Bitcoin-blockchain te kijken en te zeggen of het om een transactie op AlphaBay ging.

Die laag van verduistering vormde een ernstig probleem voor de vele klanten van Chainalysis in de rechtshandhaving. Een groot deel van 2016 was het in kaart brengen van alle adressen op de blockchain die geassocieerd waren met AlphaBay-gebruikers - de "portemonnee" van de darkmarket - de moeilijkste en dringendste uitdaging die Chainalysis ooit was aangegaan. Maand na maand voerden de medewerkers van Chainalysis honderden testtransacties uit met AlphaBay - nooit iets gekocht op de markt, alleen geld van en naar rekeningen verplaatst - en keken naar de patronen die deze transacties vormden op de blockchain, in de hoop aanwijzingen te vinden die ze konden gebruiken om elders patronen te ontdekken in de enorme omvang van het boekhoudkundige grootboek van Bitcoin.

Gaandeweg vonden de onderzoekers van het bedrijf duidelijke aanwijzingen in de manier waarop AlphaBay het geld van zijn gebruikers verplaatste. Deze aanwijzingen kwamen van de zeer specifieke keuzes gemaakt door Alpha02 en wie dan ook de code van AlphaBay's portemonnee schreef. Chainalysis weigerde de meeste te onthullen, maar medeoprichter Jonathan Levin gaf een voorbeeld. Volgens het systeem van prikkels dat is bedacht door de maker van de valuta, Satoshi Nakamoto, moet een Bitcoin-wallet een vergoeding betalen voor elke transactie; hoe hoger de vergoeding, hoe groter de kans dat de duizenden servers die bekend staan als Bitcoin-knooppunten - de ruggengraat van het Bitcoin-netwerk - de transactie snel opnieuw verspreiden, zodat het hele netwerk het erover eens is dat de transactie heeft plaatsgevonden. Bij de meeste portemonnees kunnen gebruikers hun eigen kosten instellen op basis van een glijdende schaal van snelheid versus kosten. Darkweb markten stellen echter typisch hun eigen tarieven vast. Op AlphaBay ontdekte Chainalysis dat grotere transacties grotere vergoedingen vereisten volgens een duidelijke glijdende schaal. Dit was een kleine aanwijzing - één van de vele, zegt Levin - die hen in staat zou stellen om transacties die waarschijnlijk op AlphaBay plaatsvonden te spotten en zo een nieuwe reeks adressen te produceren die op hun beurt weer tot andere zouden leiden.

Het was nauwgezet werk. Elke keer dat AlphaBay de software voor zijn portefeuille herschreef, veranderden de verklikkerpatronen. Toch had Chainalysis eind 2016 meer dan 2,5 miljoen adressen gelabeld als deel van AlphaBay's portefeuille.

Voor de klanten van Chainalysis was die doorbraak echter slechts een beginpunt. De taak die nog voor ons ligt, is het volgen van het geld van ergens in die enorme stapel nummers naar de bankrekening van een echt mens. En dat is precies wat Ali en Erin vanuit een bureau in Washington DC gingen doen.

Op die winterdag in 2016, toen Ali besloot Erin te betrekken bij haar ongekende plan, legde ze Erin haastig een realisatie uit die ze had gehad. Darkweb markten, wist iedereen toen al, waren berucht om hun kwetsbaarheid voor "exit scams": zwendel waarbij een beheerder plotseling een markt afsluit en er dan vandoor gaat met al het geld van de gebruikers. Elke keer dat dit gebeurde, werden de darkweb forums overspoeld met klachten en herinneringen dat niemand meer cryptocurrency op een markt moest opslaan dan hij van plan was onmiddellijk uit te geven.

Maar er was één persoon, bedacht Ali, die zich nooit zorgen hoefde te maken over een exit scam als hij overwoog waar hij zijn cryptospaargeld zou bewaren: de beheerder van de darkweb site zelf. "Wie zou het meeste vertrouwen hebben om zijn geld op de markt achter te laten?" vroeg Ali aan Erin. "Natuurlijk zou het de beheerder zijn."

Dus wat als ze gewoon op zoek gingen naar de zwarte markt adressen die het langst de grootste hoeveelheden bitcoins hadden? De grootste, meest stilstaande stapels geld zouden wel eens van de bazen kunnen zijn.

Erin gaf toe dat het een goed idee was. Maar nadat ze een paar adressen had geïdentificeerd om te bekijken, joeg ze Ali haar kantoor uit om verder te gaan met haar andere werk. Tenslotte had niemand hen gevraagd om Alpha02 op te sporen; ze hadden inlichtingenrapporten te schrijven en meer realistische doelen op te jagen.

De volgende dag begon Ali echter elke paar minuten Erin te bellen met ademloze updates. Ze was begonnen met het adres van de grootste som bitcoins die het langst onbewogen had gezeten tussen alle portemonnee-adressen die aan het AlphaBay cluster waren gekoppeld. En toen ze het punt zag waar dat geld eindelijk van adres was veranderd, kon ze de bewegingen ervan van de ene hop naar de andere volgen, door het pad in Reactor te volgen via de vertakkingen die zich van de markt afsplitsten.

"Het gaat nog steeds door!" vertelde ze Erin opgewonden aan de telefoon terwijl ze het van het ene adres naar het andere volgde.

Al snel was Erin, geïnfecteerd door Ali's enthousiasme, aan het graven in andere onbewogen stapels bitcoins waarvan ze nu vermoedde dat het de opdrachten van een beheerder waren. Voortdurend telefonerend over de grens tussen DC en Virginia, begonnen ze uren te besteden aan hun jacht op Alpha02, door honderden AlphaBay adressen in Reactor te scannen.

De eigenaar van deze stapels vermoedelijk crimineel geld had, in sommige gevallen, zijn sporen op de blockchain verborgen. Het geld stroomde soms naar clusters van adressen die werden gecreëerd door diensten die bekend staan als mixers en die werden geadverteerd op darkweb sites met namen als Helix en Bitcoin Fog. Deze bitcoin-launderingdiensten boden aan munten aan te nemen, ze samen te voegen met geld van andere gebruikers, en dan alle munten in de pool terug te sturen naar de afzenders op nieuwe adressen. In theorie zou dit de forensische link verbreken voor elke tracer, zoals een bankrover die een bioscoop binnenglipt, zijn skimasker afzet en met de menigte naar buiten loopt, om de politie te ontwijken.

Ali en Erin liepen soms vast in hun werk om Alpha02's winsten te traceren. Maar in andere gevallen waren ze in staat om zijn pogingen tot verduistering te verslaan. Geen van de twee FBI-analisten wilde onthullen hoe ze Alpha02's gebruik van mixers konden omzeilen, maar crypto tracers zoals die van Chainalysis boden hints.

Een mixer, legde Jonathan Levin uit, is slechts zo goed als zijn "anonimiteitsset" - de menigte gebruikers die hun munten mengen om ze onvindbaar te maken. Ondanks alle beweringen die mixers aan hun klanten deden, toonde onderzoek van hun werk op de blockchain aan dat velen in feite geen anonimiteitsset boden die groot genoeg was om een onderzoeker echt in de war te brengen. Hoe meer geld iemand probeerde wit te wassen, hoe moeilijker het werd om te voorkomen dat die munten herkenbaar bleven als ze weer opdoken aan de andere kant van de mixer.

Elke fatsoenlijke mixer splitst grote sommen munten op in kleinere, minder opvallende betalingen wanneer hij het geld terugstuurt naar de eigenaar. Maar met transactiekosten voor elke betaling, is er een grens aan hoeveel grote sommen geld opgesplitst zullen worden, zegt Levin.

In werkelijkheid hoefde Chainalysis zijn gebruikers niet zozeer bewijs te bieden van het pad dat het geld op de blockchain aflegde, als wel waarschijnlijkheid. Grant Rabenn legde eerlijk uit dat de lat voor het sturen van een dagvaarding naar een cryptocurrency exchange voor de identificatiegegevens van een gebruiker laag genoeg was om gewoon meerdere educated guesses te proberen.

Dit alles betekende dat, ondanks de beste inspanningen van een crimineel, onderzoekers vaak bleven zitten met verdachte outputs van mixers, die zij konden volgen met voldoende waarschijnlijkheid - zo niet zekerheid - om hun doelwit op het spoor te blijven. Zelfs de truc van een drukke bioscoop blijkt niet te werken als de overvaller een voldoende grote zak met buit bij zich heeft en de politie elke uitgang in de gaten houdt.

Terwijl Ali en Erin de persoonlijke transacties van Alpha02 volgden, gaven ze bijnamen aan de belangrijkste Bitcoin-adressen die ze onder de loep namen. Een adres dat begon met 1Lcyn4t werd in hun eigen taal "Lye sin fort". Een adres dat begon met de letters 3MboAt zou worden uitgesproken als "Em boat." De twee analisten besteedden zoveel tijd aan het onderzoeken en bespreken van deze namen dat de adressen in hun gedachten "persoonlijkheden" begonnen aan te nemen. ("Dat is niet echt gezond," zei Erin.)

Van alle genoemde adressen was er één het belangrijkst in de gesprekken van de twee analisten. Ze weigerden zelfs de bijnaam te onthullen uit angst dat iemand het echte adres zou kunnen achterhalen en hun trucjes zou kunnen leren. Voor dit verhaal noemen we het "Tunafish."

Tunafish lag aan het einde van een lange reeks hops die Ali en Erin hadden gevolgd vanaf een van de eerste adressen waarvan ze hadden aangenomen dat het van Alpha02 kon zijn. Het had echter een speciale betekenis: het was direct verbonden met een uitwisseling. Voor de eerste keer, realiseerden ze zich met opwinding, waren ze erin geslaagd om wat ze vermoedden dat een verzameling van de AlphaBay admin's bitcoins kon zijn, te traceren tot een transactie waarbij Alpha02 ze had verhandeld voor traditionele valuta. Ze wisten dat ze op die punten - de blockchainverbindingen met de fysieke financiële wereld - de transacties zouden kunnen koppelen aan een echt persoon.

Net toen ze op het punt stonden een naam te achterhalen achter alle transacties van Alpha02, kreeg Ali lucht van wat nieuws dat stilletjes circuleerde onder politieagenten in het hele land. Als een oude darkweb analist, had ze jarenlang nauw contact gehouden met de Sacramento FBI-agent die als eerste een dossier had geopend over AlphaBay. Dus toen het Sacramento kantoor zijn krachten bundelde met Grant Rabenn's Fresno team, was Ali een van de eerste mensen die de agent belde. Hij vertelde haar dat ze eindelijk een echt persoon hadden gekoppeld aan Alpha02's online personage. Hij gaf haar de naam van een zekere Frans-Canadees die in Bangkok woont.

Onderzoekers begonnen Cazes herkenningspunten te herkennen. In sommige gevallen werden zijn pogingen om zijn eigendom van bitcoins te verbergen een soort vingerafdruk.

De Sacramento agent wist dat Ali al bezig was met het opsporen van AlphaBay's blockchain tentakels. Hij vroeg haar toe te treden tot hun groeiende onderzoeksteam. Ali ging terug naar Erin's kantoor op het FBI hoofdkwartier, zette haar in de hoek in de gang, en stond erop dat ze ook bij het team kwam. "Dit wordt een grote zaak," vertelde Ali haar. "We moeten dit samen doen." Erin zei ja.

Nu jaagden ze op Alpha02 niet langer als een obsessieve hobby, maar als onderdeel van een officieel onderzoek. Ali en Erin legden hun Tunafish-ontdekking uit aan een assistent-procureur in DC die zich ook bij het team had aangesloten, een doorgewinterde cybercrime-aanklager genaamd Louisa Marion. Zij, Rabenn en Hemesath dienden onmiddellijk een dagvaarding in voor de identificatiegegevens van de beurs waar het Tunafish-adres was verzilverd.

Het duurde weken voordat dat verzoek resultaat opleverde. Uiteindelijk, op een avond in de eerste weken van januari 2017, zat Ali midden in een avondklas van de rechtenfaculteit toen ze een telefoontje kreeg van de in Sacramento gevestigde FBI-agent met het nieuws: De resultaten van de dagvaarding waren teruggekomen.

De agent vertelde haar de naam op de wisselrekening gekoppeld aan het Tunafish adres. Het was Alexandre Cazes.

In de volgende maanden bleven Ali en Erin meer hoogwaardige adressen opsporen vanuit het AlphaBay cluster naar de ene cryptocurrency exchange na de andere. Ze herkenden wat de identificatie van Cazes leek te zijn, zelfs in zijn bitcoin witwas praktijken; in sommige gevallen werden zijn pogingen om zijn eigendom van de bitcoins te verbergen zelf een soort vingerafdruk.

In totaal traceerden de twee analisten Cazes' commissies naar een dozijn cryptocurrency exchanges. De aanklagers hebben deze één voor één gedagvaard en vonden rekeningen op naam van Cazes en zijn vrouw. En toen die resultaten binnenkwamen, kwam er een jarenlang patroon naar voren: Cazes opende een rekening bij een beurs en probeerde die te gebruiken om een deel van AlphaBay's winst te incasseren. Op een gegeven moment - vaak binnen enkele maanden na zijn cash-out transacties - werd de beurs achterdochtig over de herkomst van deze massale cryptocurrency transacties en vroeg om meer informatie over zijn klanten.

Cazes stuurde dan een briefje waarin hij uitlegde dat hij slechts een vroege investeerder in Bitcoin was. In sommige gevallen beweerde de AlphaBay-oprichter duizenden munten te hebben gekocht van de ter ziele gegane beurs Mt. Gox in 2011 of 2012 - wetende dat het moeilijk zou zijn de gegevens te controleren, aangezien Mt. Gox in 2014 failliet was verklaard. In andere gevallen beweerde Cazes ze te hebben gekocht van een particuliere verkoper tegen de koers van een dollar per stuk. "Sindsdien heb ik met de munten gegoocheld zoals met aandelen, kopen en verkopen, maar nooit verzilveren," schreef hij in een e-mail aan een beurs.

Tegen 2017 hadden legitieme Bitcoinbedrijven echter geleerd op hun hoede te zijn voor deze oncontroleerbare verhalen. In de meeste gevallen sloten ze het account van Cazes af of bevroren het, waardoor hij gedwongen werd over te stappen naar een andere beurs. Ali en Erin zagen ondertussen de ware bron van Cazes' rijkdom opgespoord in streng na streng van de verbindingen van de blockchain.

De onderzoekers die betrokken waren bij de AlphaBay zaak zouden nog jaren discussiëren of hun cryptocurrency opsporing alleen de zaak zou hebben opgelost, zelfs als ze nooit de Pimp_alex_91 tip hadden gekregen. Zou het verschijnen van Cazes' naam op die rekeningen genoeg zijn geweest om hen op zijn spoor te zetten, of zouden ze het hebben behandeld als een vaag spoor waar ze het te druk mee hadden?

Het kwam echter direct na de tip aan Miller over Alpha02, en het blockchain werk van de twee FBI analisten heeft een theorie aan de muur genageld die anders slechts aan een paar draadjes zou hebben gehangen. Elke beursdagvaarding en de resultaten daarvan trokken een andere lijn tussen Cazes en AlphaBay's fortuin.

"Toen we miljoenen dollars aan crypto naar hem zagen stromen uit wat leek op AlphaBay-geassocieerde wallets, was ik er vrij zeker van dat we de juiste persoon hadden," zegt Rabenn. "Als je dat punt bereikt, begin je je voor te bereiden op een aanklacht."

Bron: anoniem, wired.com