Heather Morgan e Ilya Lichtenstein: il furto crypto del secolo

Una rapper cringe e suo marito hanno rubato 3,6 miliardi di BTC. Chi sono? Come hanno fatto?

Si chiamano Heather Morgan e Ilya Lichtenstein e, a cercarli su Google, ti viene voglia di capirci di più perché non sembrano affatto dei criminali incalliti, i responsabili della “rapina” più grande della storia delle crypto. Nel 2016 un hacker ha rubato dall’exchange crypto Bitfinex 119.754 Bitcoin, per un valore di circa 70 milioni di dollari. Negli anni questi BTC hanno moltiplicato il loro valore (fino ad arrivare a 5 miliardi di dollari, ora valgono circa 3 miliardi) ma non sono mai stati recuperati. A Febbraio 2022 la coppia viene arrestata e accusata di aver cercato di riciclare questi Bitcoin rubati. Ma degli eccentrici influencer che vanno alla grande su TikTok. 

Chi sono Heather Morgan e Ilya Lichtenstein

Nella sua hit VERSACE BEDOUIN Heather Morgan in arte Razzlekhan, si presenta così: “sono molte cose, una rapper, un’economista, una giornalista, una scrittrice” e “un’amministratrice delegata e una sporca, sporca, sporca put***a”. 

Ma prima di rappare in questi strani video musicali in cui si fa chiamare il Coccodrillo di Wall Street, Heather Morgan è nata in Oregon e cresciuta in una piccola città della California in cui abitavano solo duecento persone. Fin da piccola aveva delle grandi ambizioni e desiderava andarsene per realizzarle. In uno dei suoi video racconta che “crescendo, non avevo molti amici ed era davvero difficile perché nessuno cercava di fare le cose che volevo fare io a livello professionale, come l’imprenditoria, la tecnologia e il vedere il mondo”. 

Appena laureata parte per Hong Kong, poi vive per un periodo a Il Cairo e infine nel 2011 ritorna in California. Era il periodo in cui San Francisco era in piena espansione nel campo tech e a Morgan fu chiaro che per combinare qualcosa dovesse tornare a casa. Al suo rientro comincia a frequentare ambienti come startup, venture capital, aziende tech, in un clima in cui erano tutti ottimisti e si aspettava trepidanti la prossima realtà pronta a esplodere. 

È in quegli anni che incontra Ilya Lichtenstein, conosciuto anche come Dutch. Un ragazzo nato in Russia ma cresciuto a Chicago. Ha sempre parlato di sé come un nerd, al liceo era capitano della squadra di matematica e non brillava nelle abilità sociali. Mentre era all’università si guadagnava da vivere con siti di affiliate marketing per prodotti non proprio affidabili come pillole dimagranti “miracolose” o consigli per investimenti “imperdibili”. Lichtenstein si vantava di guadagnare più di 100.000 dollari all’anno con queste attività. 

Poco dopo Dutch ha avviato un’azienda di marketing digitale, Mixrank. Nonostante la sua azienda andasse bene, Lichtenstein si licenzia e insieme ad Heather Morgan si trasferisce a New York. Precisamente a Wall Street in un appartamento da un milione di dollari. Il trasloco avviene proprio nel 2016, poco dopo l’hack di Bitfinex. Ma questa coincidenza per molto tempo non è stata notata. 

L’hack a Bitfinex del 2016 

L’hack a Bitfinex rientra nella categoria delle truffe di social engineering. In questi attacchi la vittima, spesso dipendente di un’azienda di cui si vogliono violare i sistemi interni, viene persuasa dagli hacker a condividere dei dati attraverso una mail o una telefonata. Questa manipolazione permette ai truffatori di accedere all’infrastruttura informatica della società colpita. Nel caso di Bitfinex chi è entrato, ha trovato le chiavi private dei wallet in cui l’exchange custodiva le crypto degli utenti e li ha svuotati trasferendo il contenuto altrove. 

Non è mai stato individuato il colpevole dell’hack di Bitfinex, infatti Morgan e Liechtenstein non sono stati accusati di aver aver violato l’exchange ma di aver riciclato i bitcoin rubati. Pare che la coppia abbia utilizzato solo una parte del bottino, l’80% dei bitcoin non sono mai stati trasferiti dal wallet usato per l’hack. Del resto riciclare criptovalute non è così facile, soprattutto se si ha a che fare con cifre del genere. 

Grandi somme di BTC non passano inosservate

Rubare bitcoin è come rubare un Picasso, puoi riuscirci ma è difficile guadagnarci qualcosa. Dove potresti trovare qualcuno disposto a comprare l’opera d’arte rubata al suo valore originale? La prima cosa che ti chiederebbero è: dove diavolo hai trovato un Picasso autentico? Chi non ti denuncerebbe a quel punto? Allo stesso modo se vuoi convertire tramite un exchange un miliardo di euro in Bitcoin, probabilmente qualcuno potrebbe insospettirsi e chiederti la provenienza di una simile somma. Le piattaforme che consentono le conversioni crypto-fiat adottano procedure di KYC (verifica dell’identità) e antiriciclaggio (AML), e i truffatori dovevano trovare un modo per sorvolare questi controlli. 

Inoltre tutte le transazioni su blockchain sono immutabili e non è così semplice far perdere le tracce delle criptovalute trasferite da una parte all’altra. La blockchain registra ogni spostamento e i wallet coinvolti. 

Come ci sono riusciti allora Morgan e Liechtenstein? Per nascondere il percorso dei BTC rubati, la coppia ha architettato un sistema di piccole e complesse transazioni su più wallet e piattaforme, cercando di mescolare le transazioni e non renderle leggibili alle forze dell’ordine.

L’FBI, a cui è in carico l’inchiesta, ha spiegato che la coppia ha messo in atto delle tecniche di riciclaggio molto sofisticate, come il chain hopping che consiste nel convertire rapidamente una crypto in un’altra per mascherarne la provenienza. 

Inoltre la coppia ha trovato qualcuno disposto ad accettare una parte di questi BTC di dubbia provenienza, ovvero AlphaBay che è stato definito un’”ebay del dark web”. Un raid dell’FBI su questo “servizio” ha smascherato il collegamento con Morgan e Liechtenstein: la coppia aveva convertito in questo modo un totale di 3,6 miliardi di dollari (secondo il prezzo di BTC all’arresto). 

Una vita sotto i riflettori

Questa storia si svolge sul palcoscenico dei social. Per anni i due personaggi hanno vissuto le loro vite da criminali sotto gli occhi di centinaia di migliaia di follower. Morgan ha costruito un’immagine pubblica di sé eccentrica e dirompente, con il suo alter ego Razzlekhan, e ha coinvolto il pubblico nella sua vita quotidiana. Stile Ferragnez ma decisamente più cringe. 

Heather Morgan a New York passava il tempo a fare conferenze e seminari su vari temi, una delle più importanti è quella del 2019 al Williamsburg Hotel, intitolata “How to Social Engineer Your Way into Anything” ovvero “Come fare Social Engineering per ottenere qualsiasi cosa”. Chi più di lei poteva essere un’esperta del tema…

“L’ingegneria sociale è fondamentalmente, odio il termine manipolare, ma è convincere qualcuno a condividere informazioni o a compiere un’azione che altrimenti non farebbe”, queste parole erano forse autobiografiche?

Gli amici e i colleghi della coppia hanno raccontato che i due non conducevano uno stile di vita miliardario ma che di sicuro spendevano una quantità discreta di denaro. Qualcuno di loro, davanti all’esperienza musicale di Morgan, si è anche chiesto chi potesse pagare o produrre un abominio del genere. Per alcuni il vero crimine della donna è stata la sua musica. 

Quando Dutch ha deciso di fare la proposta di matrimonio a Heather, ha assunto un’agenzia pubblicitaria per affiggere in giro per New York manifesti dove Razzlekhan veniva elogiata in quanto “surreale, misteriosa, inquietante e sexy”. Alla cerimonia lei è stata accompagnata all’altare in un trono sorretto da otto persone mentre in sottofondo suonava “Final Countdown”. Di sicuro dei criminali che non amano mantenere un basso profilo.

L’arresto

Il 5 Gennaio 2022 l’FBI irrompe in casa di Heather Morgan e Ilya Liechtenstein. Gli agenti iniziano a sequestrare tutti gli apparecchi elettronici: cellulari usa e getta, hard disk, PC che erano nascosti ovunque, perfino dentro a libri svuotati. Nel rapporto della perquisizione si può leggere come Heather a un certo punto abbia chiesto di poter portare con loro la gatta Clarissa ma di come questo fosse un trucco. Nel tentativo fasullo di far uscire l’animale da sotto il letto, Morgan ha cercato di prendere il suo smartphone nel comodino per resettarlo. Gli agenti però sono riusciti a fermarla in tempo. 

In uno degli account cloud di Dutch vengono trovati dei documenti falsi, segno che la coppia si stava preparando a fuggire dal paese, e un foglio Excel con tutte le password dei wallet di Bitcoin dell’hack di Bitfinex. Questo file non prova che siano stati proprio loro a commettere il furto, in ogni caso la coppia ne è entrata in possesso controllando centinaia di migliaia di criptovalute.  

Il mese successivo Morgan e Lichtenstein sono stati accusati di cospirazione per riciclaggio di denaro e cospirazione per frode agli Stati Uniti.  All’improvviso due influencer di quelli che su Instagram o Tik Tok se ne trovano a bizzeffe, sono diventati i due criminali di quello che il Dipartimento di Giustizia USA ha descritto come il sequestro più grande della storia. Prima del loro arresto, Lichtenstein e Morgan erano dei veri e propri miliardari latenti, ad esempio più ricchi di Peter Thiel, fondatore di PayPal.

Ora la coppia è agli arresti domiciliari e l’indagine è ancora in corso, sembrerebbe che Heather Morgan abbia trovato un lavoro temporaneo come consulente in una società tech grazie a un permesso speciale del tribunale. Nel frattempo Netflix sta producendo una serie per raccontare questa frode finanziaria senza precedenti.