Millionenbeträge aus staatlich beschlagnahmten Krypto-Beständen sollen unbemerkt abgeflossen sein. Neue On-Chain-Recherchen des bekannten "Krypto-Ermittlers" ZachXBT deuten auf einen möglichen Insider-Missbrauch bei der Verwaltung von US-Regierungswallets hin. Im Zentrum steht ein Akteur aus dem Cybercrime-Umfeld, der der Sohn eines Auftragnehmers der Regierung sein soll. Der Fall wirft grundsätzliche Fragen zur Verwahrung staatlicher Bitcoin- und Krypto-Reserven auf.
Millionen aus staatlichen Wallets
Vor wenigen Tagen veröffentlichte ZachXBT eine umfangreiche Untersuchungsserie zu einem Fall, der selbst im Krypto-Umfeld nicht alltäglich ist. Nach seinen Recherchen sollen über 40 Millionen US-Dollar aus Wallets abgeflossen sein, die mit Beschlagnahmungen der US-Regierung in Verbindung stehen. Die Spur führt zu einem Cyberkriminellen, der unter dem Alias John „Lick“ auftritt und sich über Monate hinweg offen mit hohen Wallet-Balances gebrüstet haben soll.
John (Lick), eine Person aus der Hackerszene, hat damit geprahlt, 23 Millionen US-Dollar in einer Wallet zu halten, die direkt mit mutmaßlichen Diebstählen von über 90 Millionen US-Dollar aus US-Regierungsbeständen im Jahr 2024 und weiteren bislang unbekannten Opfern in den Monaten November bis Dezember 2025 in Verbindung steht.
ZachXBT
1/ Meet the threat actor John (Lick), who was caught flexing $23M in a wallet address directly tied to $90M+ in suspected thefts from the US Government in 2024 and multiple other unidentified victims from Nov 2025 to Dec 2025. pic.twitter.com/SBAFU5hTnE
— ZachXBT (@zachxbt) January 23, 2026
Durch Selbstdarstellung überführt?
„In diesem Fall wurde der Akteur nicht durch einen Hack enttarnt, sondern durch seine eigene Selbstdarstellung“, schreibt ZachXBT. Die Beweislage stütze sich nicht auf Leaks oder Vermutungen, sondern auf eigene Screenshares, Transaktionen in Echtzeit und vollständige Videoaufzeichnungen.
Ausgangspunkt der Untersuchung waren mehrere aufgezeichnete Telegram-Gruppenchats, in denen sich Akteure aus dem Cybercrime-Milieu gegenseitig ihre Wallet-Bestände demonstrierten, ein im Untergrund als „band for band“ bekanntes Ritual. In diesen Aufnahmen soll John nicht nur Wallet-Adressen gezeigt, sondern auch Transfers autorisiert haben, während andere Teilnehmer zusahen.
ZachXBT fasst dies folgendermaßen zusammen:
Die Aufzeichnungen belegen eindeutig, dass John die Kontrolle über mehrere Wallets ausübte, in denen sich zweistellige Millionenbeträge befanden.
Während der Screenshares wurden dann eben weitere Millionenbeträge in dieselben Wallets transferiert, wodurch sich die Zuordnung on-chain eindeutig verifizieren ließ.
Verbindungen zu US-Adressen
Brisant wird der Fall aber vor allem durch die Herkunft der Gelder. Mehrere Wallets, die John laut den Aufnahmen kontrollierte, lassen sich on-chain mit Adressen verknüpfen, die zuvor als staatliche Verwahrstellen der US-Regierung identifiziert wurden. Dazu zählen Wallets, die im Zusammenhang mitder Verwertung beschlagnahmter Krypto-Assets, früheren US-Ermittlungen sowie bekannten Großverfahren wie dem Bitfinex-Hack standen.
ZachXBT verweist darauf, dass bereits im März 2024 rund 24,9 Millionen US-Dollar aus einer solchen Adresse abflossen. In den darauffolgenden Monaten kamen weitere Zuflüsse hinzu, insbesondere im vierten Quartal 2025. Insgesamt summieren sich die identifizierten Eingänge laut Analyse auf über 60 Millionen US-Dollar.
Die Rolle eines US-Regierungsauftragnehmers
An dieser Stelle erhält der Fall eine zusätzliche Dimension. Denn „John Lick“ ist nun laut ZachXBT enttarnt und mit einer realen Identität verknüpft worden.
Nach seinen Recherchen handelt es sich bei „John Lick“ um den Mitte zwanzigjährigen „John Daghita“. Die Zuordnung beruht auf einer Kombination aus öffentlich zugänglichen Informationen, Chat- und Account-Historien, den aufgezeichneten Screenshares sowie der on-chain eindeutig belegbaren Kontrolle mehrerer Wallets. ZachXBT betont dabei aber ausdrücklich, dass es sich um den aktuellen Stand seiner Ermittlungen handelt und nicht um eine gerichtliche Feststellung.
Besonders brisant ist allerdings die familiäre Verbindung Daghitas. Dessen Vater „Dean Daghita“ ist nämlich CEO von Command Services & Support Inc. (CMDSS), einem IT-Dienstleister mit Sitz in Virginia. Das Unternehmen verfügt laut öffentlich einsehbaren Vertragsunterlagen über aktive Regierungsaufträge mit US-Behörden. Dazu zählt auch ein Auftrag, der die Unterstützung bei der Verwaltung und Verwertung beschlagnahmter Krypto-Assets umfasst.
Der Sohn des Geschäftsführers der Firma, die von den US-Behörden mit dem Schutz der nationalen Bitcoin-Bestände beauftragt wurde, hat 40 Millionen Dollar gestohlen und ist offenbar auf der Flucht. Das Finanzministerium muss sich die privaten Schlüssel so schnell wie möglich vom Justizministerium sichern, bevor weitere Bitcoin entwendet werden.
David Bailey, CEO Bitcoin Inc.
The son of the CEO of the company hired by the US Marshalls to safeguard the nation’s Bitcoin, stole $40m from it and now appears to be running. Treasury must secure the private keys from the Justice Department ASAP before more is stolen. https://t.co/GE53AtFYvd
— David Bailey🇵🇷 $1.0mm/btc is the floor (@DavidFBailey) January 26, 2026
Ob und in welchem Umfang John Daghita über diese familiäre Nähe Zugang zu internen Systemen, Informationen oder Schlüsselmaterial gehabt haben könnte, ist bislang nicht belegt.
Es bleibt zum jetzigen Zeitpunkt unklar, wie John Zugriff erlangt haben könnte. Es gibt keine öffentlichen Beweise dafür, dass der Zugang direkt über seinen Vater erfolgte.
ZachXBT
Unabhängig davon wirft allein diese Konstellation natürlich erhebliche Fragen nach internen Kontrollmechanismen, Zugriffsbeschränkungen und der institutionellen Trennung von Zuständigkeiten bei der Verwahrung staatlicher Krypto-Bestände auf.
Reaktionen nach Veröffentlichung
Nach der Veröffentlichung der Recherchen kam es zu mehreren auffälligen Änderungen im öffentlichen Auftreten des Beschuldigten. Nutzer- und NFT-Namen wurden aus Telegram-Profilen entfernt, Screen-Names geändert und zuvor offen präsentierte Wallet-Bestände nicht mehr öffentlich gezeigt.
Solche Reaktionen stellen natürlich keinen Beweis für Schuld dar, gelten in Ermittlungsverfahren jedoch regelmäßig als „kontextuell relevant”, insbesondere wenn sie zeitlich unmittelbar auf solche Veröffentlichungen folgen.
Es wird in jedem Fall spannend zu beobachten sein, wie die Sache sich nun entwickeln und ob bzw. wie die Strafverfolgungsbehörden der Amerikaner nach John Daghita fahnden werden.
Bis zur abschließenden Aufarbeitung gilt natürlich die Unschuldsvermutung. Zugleich zeigt der Fall aber eindrücklich, dass die Verwahrung digitaler Vermögenswerte (egal ob staatlich oder privat) kein technisches, sondern vor allem ein organisatorisches Problem ist.
Bitcoin und einige andere Kryptowährungen machen Fehler sichtbar. Verhindern muss sie aber der Mensch.
de.beincrypto.com
