De Amerikaan Richard Sanders jaagt in Oekraïne op cryptogeld waarmee Rusland de sancties ontwijkt en de oorlog financiert. De technieken om die geldstromen te identificeren zijn volgens hem eenvoudig, maar worden te weinig gebruikt. “Het gaat niet om ingewikkelde technologie, maar om een gebrek aan wilskracht.”
Met luchtalarmsirenes als naargeestige sfeerklanken op de achtergrond, volgt de onderzoeker Richard Sanders digitale geldsporen. Al drie jaar helpt hij de Oekraïense politie en inlichtingendiensten transacties met cryptomunten te traceren. Elke betaling op de blockchain – het openbare digitale kasboek van alle cryptotransacties – gaat naar of vertrekt van een zogeheten cryptowallet, een digitale portemonnee met een lange, anonieme code. Sanders’ specialiteit is het ‘labelen’ van die wallets: de codes koppelen aan namen of organisaties. Zo wordt zichtbaar wie erachter zit en waar het geld vandaan komt of naartoe gaat. “Want dit is geen spel van nullen en enen”, zegt hij vanuit een zonovergoten Kiev. “Dit gaat over mensenlevens.”
Lobby van cryptofraudeurs
Volgens Sanders gebruikt Rusland cryptogeld als een soort digitale oorlogskas. Het land betaalt er propaganda mee, beloont medestanders in bezette gebieden en ontwijkt er internationale sancties mee. Een voorbeeld is de StopGrave-campagne in de Oekraïense havenstad Odessa, een Russische hybride die antimobilisatieboodschappen verspreidt via Telegram, posters, stickers en graffiti. De naam is een woordspeling op ‘mobilisatie’ en ‘graf’ en moet Oekraïners ontmoedigen in dienst te gaan. Mensen werden met cryptomunten betaald om zulke leuzen aan te brengen of pamfletten te verspreiden. Maar het ging nog veel verder: sabotage, zoals het in brand steken van voertuigen, het doorgeven van coördinaten en foto’s van infrastructuur, en zelfs gerichte aanvallen op politie en militairen.
Sancties werken alleen als er ook wordt gecontroleerd of ze worden nageleefd, betoogt Sanders. “De Office of Foreign Assets Control (OFAC), het Amerikaanse bureau dat de sanctielijsten beheert, kan namen op die lijsten zetten, maar als die bedrijven gewoon opnieuw beginnen en niemand reageert, heeft het geen zin. Ik heb in een Russisch wisselkantoor gezeten dat op de sanctielijst stond, maar erover opschepte hoe makkelijk het was onder een andere naam door te gaan. Ik gaf het bewijs aan OFAC, en er gebeurde niets. Dat gold onder Trump én onder Biden. Het probleem is niet de partijpolitiek, maar de lobbykracht van de cryptofraudeurs.”
Sancties worden volop omzeild
Een wisselkantoor – in cryptotermen een OTC (over the counter) – is een fysiek loket waar je anoniem contant geld kunt ruilen voor cryptomunten, of omgekeerd. Sanders ziet hoe zulke kantoren en vergelijkbare constructies zich vaak voordoen als gewone betaaldiensten. Veel Russische cryptobedrijven en hackers laten hun transacties lopen via het platform Cryptomus, officieel gevestigd in Canada maar in werkelijkheid gericht op Russische klanten. Bij elke betaling wordt automatisch een nieuw digitaal adres aangemaakt, waardoor de geldstromen moeilijker te traceren zijn. Een ander voorbeeld is WestWallet, officieel in Estland gevestigd.
Beide OTC’s werken voor tientallen Russische cryptoplatforms en ‘instant exchanges’ – websites waar je zonder identiteitscontrole in enkele minuten crypto kunt omwisselen. Volgens Sanders worden ze vooral gebruikt voor bliksemsnelle betalingen en dubieuze hostingdiensten die op illegale fora worden aangeboden. Via deze routes kunnen Russen hun digitale munten omwisselen voor contant geld bij grote Russische banken, die nochtans onder de westerse sancties vallen. Veel van die websites draaien op Russische servers of Europese servers in Russische handen, maar gebruiken toch westerse internetdiensten, zoals Cloudflare, om online te blijven.
Toen grote cryptoplatforms in 2023 Russische gebruikers begonnen te weren, weken geviseerde cryptobedrijven en hackersnetwerken gewoon uit naar kleine, ongecontroleerde ‘bliksembeurzen’, zoals Cryptomus en WestWallet.
Het toont volgens Sanders hoe eenvoudig de sancties te omzeilen zijn. Toen grote cryptoplatforms als Binance in 2023 Russische gebruikers begonnen te weren, weken geviseerde cryptobedrijven en hackersnetwerken gewoon uit naar kleine, ongecontroleerde ‘bliksembeurzen’, zoals Cryptomus en WestWallet. “Het is zelfs makkelijker geworden om sancties te ontwijken”, stelt Sanders. “Die snelle ruildiensten vragen geen identiteitsbewijs en vallen buiten het bereik van de meeste toezichthouders.”
Ze ogen als gewone betaaldiensten, maar zijn in werkelijkheid doorgeefluiken voor partijen die onder de sancties vallen. “De Duitse autoriteiten haalden vorig jaar meer dan veertig van zulke Russische beurzen offline. Op de blockchain zie je in feite alleen lange codes, maar onderzoekers koppelen die aan namen als Cryptomus of WestWallet.” Zoals Rusland oliesancties omzeilt door olie over te laden via schepen zonder vlag of transponders, verbergen deze cryptodiensten de werkelijke afzender en de bestemming van het geld.
Dichtbij het front
Tien jaar geleden begon Sanders cryptotransacties te volgen in zijn werk bij de terrorismebestrijding. “De vraag was vaak: hoe komt een terreurorganisatie aan een vals paspoort of ander reisdocument? Het antwoord bleek vaak crypto te zijn. Dat is nog altijd zo”, legt hij uit. “Tien jaar later krijg ik nog altijd vragen als: hoe doen de Russen dit, of Islamitische Staat dat? Het antwoord komt meestal neer op crypto.”
In 2017 richtte hij CipherBlade op (nu Cryptoforensic), een Amerikaans bedrijf gespecialiseerd in blockchainonderzoek en de eerste gecertificeerde onderzoekspartner van Chainalysis, het bekendste bedrijf dat blockchains en cryptonetwerken onderzoekt. CipherBlade werkte onder meer voor politiediensten en cryptobeurzen. Sinds zijn verhuizing naar Oekraïne heeft Sanders het commerciële werk achter zich gelaten. “Ik sta ver af van wat de meeste mensen in privé-ondernemingen doen”, zegt hij. “Voor het soort werk dat ik nu doe, is simpelweg geen geld, omdat bedrijven alleen investeren in projecten die hun eigen belang dienen.”
Kort na de grootschalige Russische invasie in februari 2022 kreeg Sanders een e-mail van het hoofd crypto-onderzoek bij de Oekraïense nationale politie, om er les te komen geven. Zij waren onder de indruk van zijn werk bij CipherBlade. “Ik had al overwogen als vrijwilliger bij het Internationaal Legioen voor de Verdediging van Oekraïne te gaan, maar dit paste nog beter”, zegt hij. Wat bedoeld was als drie weken, werd jaren. Inmiddels reist Sanders door het hele land, vaak dicht bij het front, om met politie en militairen aan lopende zaken te werken.
As van ellende
In zijn onderzoeken loopt het spoor vaak naar Rusland, Iran en Noord-Korea – wat hij de axe of shit noemt (as van ellende). Met minder dan 10.000 dollar onderzoekskosten identificeerde hij bijna 40 Iraanse cryptobeurzen. Noord-Korea financiert volgens hem een groot deel van zijn kernwapenprogramma met cryptodiefstal. “Maar dat weet iedereen.”
Gevraagd naar welke munten dat soort staten en terreurgroepen gebruiken, is hij duidelijk: “Bijna altijd stablecoins, vooral USDT.” Stablecoins zijn cryptomunten die een-op-een zijn gekoppeld aan een traditionele munt, meestal de Amerikaanse dollar, zodat de waarde nauwelijks schommelt. Ze worden gebruikt om snel, wereldwijd en buiten het bankensysteem om geld te verplaatsen. USDT is de stablecoin van Tether, het grootste bedrijf in die niche. Tether geeft digitale dollars uit die volledig verhandelbaar zijn op vrijwel elke cryptobeurs. Volgens Sanders maakt juist die stabiliteit en brede beschikbaarheid USDT aantrekkelijk voor criminelen. “Tether mag lobbyen om dat beeld te veranderen, maar wie de beurzen labelt, ziet de werkelijke volumes. Het is zeldzaam dat criminelen nog bitcoin gebruiken.”
Een groot deel van zijn werk draait om OTC’s: fysieke wisselpunten waar contant geld buiten de reguliere online cryptobeurzen om wordt ingewisseld voor crypto. In Polen stuitte hij op zo’n wisselkantoor vlak bij de Amerikaanse ambassade in Warschau, dat in één jaar meer dan 3 miljoen dollar uit Iran ontving. “Als iemand daar een legitieme verklaring voor heeft, hoor ik het graag.” Overheden missen volgens hem cruciale informatie omdat ze aannemen dat “iemand anders het wel verzamelt” – een misvatting die door de cryptosector zelf is gevoed.
Labelen van wallets – cryptoadressen koppelen aan duidelijke beschrijvingen – is volgens Sanders de sleutel. Zo wordt zichtbaar waar geld vandaan komt en naartoe gaat. Commerciële analysebedrijven doen dat steeds minder, omdat labelen kan leiden tot blokkades en minder omzet.
Hamas
In 2024 besloot Sanders de respons van de cryptobedrijven zelf te testen. Hij mailde rechtstreeks naar de terreurorganisatie Hamas, met het onschuldig ogende e-mailadres chocolategoddess@protonmail.com, en vroeg om een wallet voor een ‘donatie’. Het antwoord kwam meteen.
‘Ik krijg veel vragen als: hoe doen de Russen dit, of Islamitische Staat dat? Het antwoord komt meestal neer op crypto’
Het adres stuurde hij naar de FBI én naar Tether. De cryptobeurs Bybit blokkeerde het account vrijwel direct, maar Tether deed niets tot er een gerechtelijk bevel kwam. Tegen die tijd kon nog slechts 200.000 dollar worden bevroren, terwijl volgens Sanders ruim 10 miljoen had kunnen worden tegengehouden.
“De dag na het persbericht van het Amerikaanse ministerie van Justitie publiceerde Chainalysis een blog waarin Tethers topman werd opgevoerd als een krachtdadig toonbeeld van samenwerking met justitie”, zegt Sanders. “Maar er was niets krachtdadigs aan. Als je onweerlegbaar bewijs krijgt van portemonnees die aan terrorisme zijn verbonden, is de enige logische stap ze onmiddellijk te bevriezen.”
Casino
Oekraïne wordt in de sector vaak geprezen als een voorloper in legitiem cryptogebruik, zeker tijdens de oorlog. Sanders betwist dat: veel van het hoge transactievolume komt volgens hem uit drugshandel, corruptie en betalingen aan collaborateurs. “Er is legitiem gebruik, maar het merendeel is niet zuiver. Veel rapporten die het tegendeel beweren, zijn betaald door partijen met directe belangen.”
Over de cryptowereld is Sanders uitgesproken. “De technologie is sterk”, zegt hij. “Blockchain kan nuttig zijn in verkiezingen, gezondheidszorg en logistiek. Maar de sector is een casino: bijna alles is speculatie. Oplichters die verzonnen rapporten verspreiden, zoals Tethers topman, worden ‘visionairen’ genoemd. Zonder grote schoonmaak komt er geen echte aanvaarding van het systeem.”
‘Het labelen van wallets – cryptoadressen koppelen aan duidelijke beschrijvingen – kan miljarden aan inbeslagnames opleveren’
Hij is vooral scherp over het imagobeheer van de grote spelers. “Tether, Binance, analysebedrijven – ze poetsen hun reputatie op met conferenties en rapporten, terwijl ze zelden echt in actie komen. Het is puur een risico-batenafweging: wel meewerken met de VS of Israël, maar verzoeken uit ontwikkelingslanden negeren, zelfs met een gerechtelijk bevel. Niet de kwaliteit van het bewijs telt, maar de angst voor sancties.”
Ziel is niet te koop
Gelukkig snappen de opsporingsdiensten de blockchain tegenwoordig beter, vindt Sanders. “Op de werkvloer kunnen ze ermee uit de voeten. De FBI heeft inmiddels in elk kantoor minstens één agent die getraind is in het gebruik van speciale software om cryptotransacties te volgen. Daar ben ik blij om.”
Het probleem zit hoger in de hiërarchie. “Beleidsmakers worden misleid door grote bedrijven die beweren dat de cryptocriminaliteit afneemt, zowel in rapporten als soms onder ede. Ze geloven dat er geen probleem is en steken geen geld in het labelen van wallets, terwijl dat miljarden extra aan inbeslagnames kan opleveren.”
Het werk is zwaar en vaak riskant. “Het is frustrerend omdat ik het meeste alleen doe”, zegt Sanders. “Het zou minder belastend zijn, als sommige analysebedrijven gewoon zelf veldwerk deden, al was het maar in veilige landen. Maar zolang zij dat niet doen, blijf ik hier, ga ik naar plekken waar zij niet komen en doe ik wat nodig is.”
Voorlopig blijft hij in Kiev. “Daden zeggen meer dan woorden, en mijn ziel is niet te koop. Iemand moest opstaan in een sector die moreel failliet is.”
