Bestmixer.io was een online cryptocurrency mixer (ook wel “tumblers” genoemd) die klanten tegen betaling liet mixen om de herkomst van cryptogeld te verhullen. Met deze service worden cryptovaluta tegen betaling van een commissie opgesplitst en weer in andere samenstelling bij elkaar gevoegd. De dienst draaide vanaf mei 2018 en was in korte tijd uitgegroeid tot een van de drie grootste mixers ter wereld, met een omzet van ten minste $200 miljoen (circa 25.000 BTC) in het eerste jaar (zie bericht op FIOD.nl van 22 mei 2019).

Opsporing en aanpak

In 2018 startte het Financial Advanced Cyber Team (FACT) van de FIOD onder leiding van het Amsterdamse Functioneel Parket een strafrechtelijk onderzoek naar Bestmixer, mede naar aanleiding van een signaal van cybersecuritybedrijf McAfee (Europol). Europol neemt het de First law enforcement action of ites kind.

Uit onderzoek bleek dat een aanzienlijk deel van de via Bestmixer gemixte cryptovaluta een criminele herkomst of bestemming had, wat erop wijst dat deze mixer op grote schaal werd ingezet voor het witwassen van crimineel geld (bijvoorbeeld van darknet market-transacties en ransomware-inkomsten). Tijdens het onderzoek werd nauw samengewerkt met internationale partners (Luxemburg, Frankrijk, Letland) en Europol. Op 22 mei 2019 werd Bestmixer.io offline gehaald in een gecoördineerde actie van de FIOD en de politie (met ondersteuning van Europol) (zie persbericht van 22 mei 2019 op FIOD.nl).

Voor het eerst is toen gebruik gemaakt van de nieuwe bevoegdheid om te hacken in het kader van opsporing (Wet Computercriminaliteit III), die per 1 maart 2019 in werking was getreden. Zo plaatste de politie taps op de servers van Bestmixer. Door dit netwerkverkeer af te luisteren en te analyseren, konden rechercheurs ondanks de voorzorgsmaatregelen van de criminelen kritieke informatie vergaren. “De ontwikkelaars van Bestmixer maakten foutjes, waardoor we de interne communicatie konden volgen,” verklaarde een projectleider achteraf (bron: reconstructie op FIOD.nl). Dit gaf inzicht in hoe de dienst technisch functioneerde en wie erbij betrokken waren. Vervolgens heeft het Digital Intrusion Team (DIGIT) van de politie, met toestemming van de rechter-commissaris en gebruikmakend van WCCIII, in gebroken in de servers van Bestmixer voordat de fysieke inbeslagname plaatsvond. Het doel van deze hack was met name om toegang te krijgen tot de cryptocurrency-wallet(s) van de dienst en zo te voorkomen dat de fondsen zouden verdwijnen op het moment van de politieactie.

Bij de actie tegen Bestmixer werden in totaal zes servers van de dienst werkend ontmanteld en in beslag genomen – drie in Nederland en drie in Luxemburg. Hiermee werd de complete infrastructuur van deze mixer uit de lucht gehaald, waardoor de dienstverlening direct stopte en de website offline ging. Op de website plaatsten de autoriteiten een zogenoemde splash page waarop voor alle bezoekers te lezen was dat Bestmixer uitgeschakeld was als onderdeel van een internationaal onderzoek.

De FIOD vermeld op hun website dat de klanten uit de hele wereld komen, maar met name uit de VS, Duitsland en Nederland. De FIOD gaat de informatie samen met Europol analyseren:

“The Dutch FIOD has gathered information on all the interactions on this platform in the past year. This includes IP-addresses, transaction details, bitcoin addresses and chat messages. This information will now be analysed by the FIOD in cooperation with Europol and intelligence packages will be shared with other countries.”

Arrestaties en jurisprudentie

Gezien het bovenstaande doet het vreemd aan dat er in Nederland zelf zijn (nog) geen openbare uitspraken verschenen over betrokkenen bij Bestmixer.

In de Verenigde Staten is in 2022 wel een persoon vervolgd (Justice.gov) voor het witwassen van cryptovaluta waarbij van Bitmixer gebruikt werd gemaakt.

Gerelateerd onderzoek

De inbeslaggenomen gegevens zijn ook geanalyseerd voor wetenschappelijk onderzoek. Zie Miedema, F., Lubbertsen, K., Schrama, V., & Van Wegberg, R. (2023). Mixed Signals: Analyzing {Ground-Truth} Data on the Users and Economics of a Bitcoin Mixing Service. In 32nd USENIX Security Symposium (USENIX Security 23) (pp. 751-768):

“In this paper, we explore unique ground-truth data cap turing 15,574 mixing transactions, initiated by 8,838 users, totaling US $45M worth of bitcoins mixed through BestMixer between July 2018 and June 2019”