Darknetmarket Wall Street Market macht offenbar den Exit Scam

Nachdem der bislang führende Darknet-Drogenmarkt Dream Market vor einigen Wochen den Dienst einstellte, wurde Wall Street Market zum neuen Platzhirsch im Darknet. Letzte Woche scheinen die Betreiber nun den berühmten Exit-Scam eingeleitet zu haben – sie verschwinden mit den Bitcoins der Kunden in der Anonymität. Zurück bleibt eine verunsicherte Darknet-Szene.

Manche Dinge sind nicht wirklich überraschend. Vor gut einem Monat hat Dream Market, mehrere Jahre lang der größte Schwarzmarkt im Darknet, angekündigt, die Seite offline zu nehmen. Ein solches ehrliches Ende einer Darknet-Plattform ist selten; meist verhaftet die Polizei die Betreiber, wenn diese nicht schon vorher den Exit Scam machen, also mit den Kundenbitcoins verschwinden.

Nach der Ankündigung von Dream Market hat sich die Darknet-Szene offenbar recht zügig auf Wall Street Market als Nachfolger geeinigt. Märkte sind eben wie Fischschwärme, sobald die Masse eine Richtung gefunden hat, ziehen die Einzelnen unweigerlich nach. Wie bei den tierischen Schwärmen kann das die Einzelnen davor schützen, gefressen zu werden – aber es kann sie auch direkt in eine Falle führen. Mit Wall Street Market geschah dies offenbar.

Dem “Branchenmagazin” DeepDotWeb zufolge spricht alles dafür, dass Wall Street Market einen Exit Scam macht. Zunächst haben die Administratoren angekündigt, dass der Marktplatz technische Probleme mit einem Server hat, weshalb der Bitcoin-Node nicht mit der Blockchain synchronisieren kann. In der Folge, so der Admin, musste man die Bitcoins manuell auf eine andere Wallet transportieren. Dementsprechend konnten die Händler nicht auf die Bitcoins zugreifen, die sie für ihre kriminellen Leistungen – überwiegend Drogen, aber wohl auch Waffen und illegale Software wie Ransomware-Kits – erhalten hatten. Die Händler beschwerten sich, die Admins von Wall Street Market brachten neue Ausreden und neue Verzögerungen hervor.

Dieses Schema ist, zitiert ZDnet einen Twitter-User, aus dem Drehbuch der Exit Scams wohlbekannt. Das Ziel, den finalen Exit Scam so lange wie möglich hinauszuzögern, besteht darin, noch von vielen Usern, die hoffen, dass es sich zum Guten wendet, weitere Bitcoin-Einzahlungen zu erhalten. Also um die Beute zu erhöhen.

Rational betrachtet ist das Vorgehen mehr als nachvollziehbar: Mit der Stellung als führender Darknet-Market wurde die Arbeit der Wall Street Market Admins sehr viel anstrengender. Große Märkte werden ständig von DoS-Angriffen bzw -Erpressern heimgesucht und stehen zudem im Visier der Strafermittler. Die Chance, seine Rente im Gefängnis anstatt auf einer Insel zu verbringen, steigt gewaltig. Gleichzeitig wird der Topf voll Gold, den man als Beute mitnehmen kann, immer größer. Vermutlich waren die Wallets von Wall Street Market noch nie so voll wie zum Zeitpunkt des Exit Scams.

ZDnet verlinkt auf eine Adresse, an die die Admins angeblich die Kunden-Bitcoins hin überweisen haben. Insgesamt hat diese Adresse mehr als 2.500 Bitcoins erhalten (12,5 Millionen Euro), von denen rund 2.000 im Lauf der letzten Woche eingelaufen sind. Mittlerweile ist die Wallet aber leer; die Bitcoins wurden auf verschiedene Adressen gesendet, was bedeuten könnte, dass Wall Street Markets bereits beginnt, sie zu anonymisieren. Während ZDNet von einer Beute von etwa 15 Millionen Dollar ausgeht, beziffert DeepDotWeb sie auf 30 Millionen Dollar – allerdings ohne auf Adressen zu verweisen.

Manchen scheint dies aber noch zu wenig zu sein. Es gibt Berichte darüber, dass Mitarbeiter des Marktes beginnnen, User zu erpressen. Leute, die es versäumt haben, die Adressen ihrer Drogenlieferungen zu verschlüsseln, scheinen aufgefordert zu werden, etwa 0,05 Bitcoin abzudrücken, um zu verhindern, dass Wall Street Market die privaten Daten an das FBI und Europol weitergibt. Es soll wohl eine Liste geben, die an die Strafverfolger geleakt werden wird, und nur wer bezahlt, wird von ihr gelöscht.

Möglicherweise stammt diese Erpressung aber nicht direkt von den Admins, sondern von einem Moderator im Kundensupport. Das Personal solcher Märkte setzt sich ja aus Leuten zusammen, die sich nie gesehen haben und nur über das Internet kommunizieren. Man könnte sich vorstellen, dass derjenige, der den Zugriff auf die Wallets hat, den Exit Scam ohne Wissen und Beihilfe der anderen macht, und jemand aus den tieferen Ränge nun versucht, auch noch ein Stück vom Kuchen abzubekommen, bevor er arbeitslos wird. Kurz darauf hat derselbe Mod in einem Darknet-Forum seine Login-Daten für den Marktplatz gepostet. Diese enthalten wohl auch die IP-Adresse des Servers; was es wahrscheinlich macht, dass die Polizei bereits Zugriff auf die ganzen Datensätze des Marktes hat.

Für die vielen Händler und Kunden, die von Dream Market zu Wall Street Market migriert sind, entpuppt sich das Schwimmen im Schwarm vermutlich als Falle. Die ganze Serie der Ereignisse – erst die Schließung von Dream Market, dann der Exit Scam von Wall Street Market – wirkt ein wenig wie eine Parodie auf den Doppel-Shutdown von Alphabay und Hansa im Sommer 2017. Damals hat die Polizei öffentlichkeitswirksam den bis dahin größten Darknetmarket, Alphabay, heruntergefahren und den Betreiber einkassiert. Die Schwärme sind daraufhin zu Hansa gezogen, das aber bereits unter Kontrolle der niederländischen Polizei stand, und bald darauf ebenfalls abgeschaltet wurde. Der Schwarm hatte die Darknet-User in eine Falle gelockt.

Diesmal scheint die Polizei nicht im Spiel zu sein. Die ökonomischen Dynamiken im Darknet erledigen den Job von selbst; die Szene kannibalisiert sich, und das Ergebnis ist dasselbe: Ein Markt schließt, die Masse schwimmt zum nächsten, die Falle schnappt zu, die Polizei bekommt einen Haufen Daten von Drogenhändlern und -käufern, und die Szene ist verunsichert.