Hvordan sønnen af en USMS-entreprenør stjal kryptovaluta fra den amerikanske regering i årevis

En skandale er brudt ud i kryptovalutasamfundet omkring John Daghita, som er anklaget for at have stjålet over 90 millioner dollars i kryptoaktiver, herunder midler fra tegnebøger kontrolleret af den amerikanske regering. Ifølge en undersøgelse foretaget af den velkendte on-chain-analytiker ZachXBT fandt tyverierne sted mellem 2024 og 2025, hvor midlerne blev overført til adresser, der var knyttet til den mistænkte.

Baggrund for hændelsen

Overførslerne fra regeringens tegnebøger så oprindeligt ud til at være rutinemæssige aktivbevægelser og vakte ikke mistanke. Men i januar 2026 udbrød der en strid i et Telegram-hackerfællesskab om, hvem der havde stjålet mest kryptovaluta. En deltager, kendt som "John" eller "Lick ", afslørede ved et uheld kontrol over de tegnebøger, hvor pengene flød under skænderiet. Under onlineskænderiet delte han et skærmbillede af sin Exodus Wallet, der viste adresser med millioner af dollars i ETH og TRON, herunder 2,3 millioner dollars på adressen TMrWCLMS3ibDbKLcnNYhLggohRuLUSoHJg og yderligere 6,7 millioner dollars på 0xd8bc7ea538c2e9f178a18cc148892ae914a55d08.

ZachXBT analyserede tvistoptegnelserne og sporede transaktionskæden bagud. Det viste sig, at en del af midlerne kom fra adresser, der var forbundet med beslaglæggelser foretaget af US Marshals Service (USMS), herunder tyveri af 24,9 millioner dollars fra en tegnebog, der var forbundet med Bitfinex-hacket i marts 2024. I alt tyder estimater på, at Daghita kontrollerede tilstrømninger på over 63 millioner dollars fra mistænkelige kilder i fjerde kvartal af 2025, herunder 13,5 millioner dollars fra adressen 0x77a722bf33787c3512d0f4fc36412140057f4223 og 15,4 millioner dollars fra 0xf51b044f998277b17467cd713d72b403e16fad48.

Forbindelse til CMDSS

En vigtig afsløring var Daghitas familiebånd. Hans far ejer Command Services & Support (CMDSS), som i oktober 2024 modtog en kontrakt fra USMS om at administrere og sælge konfiskerede kryptoaktiver. Dette Virginia-baserede firma leverer IT-tjenester til regeringen, herunder opbevaring og bortskaffelse af beslaglagte aktiver. Det antages, at adgangen til regeringens tegnebøger gennem hans fars firma gjorde det muligt for Daghita at udføre tyverierne uden at blive opdaget med det samme.

Tidligere, i september 2025, var Daghita allerede blevet arresteret på grund af mistanke om cyberkriminalitet, men forbindelsen til regeringstyverier dukkede først op takket være pral i Telegram. Efter at ZachXBT offentliggjorde undersøgelsen, slettede den mistænkte NFT-brugernavne fra sin Telegram-konto og ændrede sit kaldenavn og sendte også et "støvangreb" til analytikerens offentlige adresse zachxbt.eth, en transaktion på 0,0067 ETH ($ 20,01) med hash 0x25d3b02b17ccf5f0867bfbaa86c4cb918766d2b79e30cdcb7847298febfa2d15.

Reaktion og konsekvenser

US Marshals Service har indledt en undersøgelse af hændelsen og udtrykt bekymring for sikkerheden i forbindelse med opbevaring af kryptovaluta. Denne sag fremhæver sårbarheder i offentlige leverandørers forsyningskæder og rejser spørgsmål om tilsynet med konfiskerede aktiver. I kryptosamfundet diskuteres det løbende, hvordan pral i chats førte til undergang for en "genial hacker", der stjal millioner, men blev offer for sin egen dumhed.

Den samlede mængde af tyverier i kryptobranchen i 2025 oversteg 3,4 milliarder dollars, og hændelser som denne intensiverer kun kravet om forbedret sikkerhed. Daghita er endnu ikke blevet anholdt for nye anklager, men beviser fra on-chain-analyse og tvistoptegnelser gør sagen lovende for retshåndhævelsen.