Die Blockchain-Überwachungs-Firma Chainalyses berichtet über die Trends im Bitcoin-Cybercrime und analysiert Börsen-Hacks, Darknet-Markets und Scams auf Ethereum. Gleichzeitig plaudert ein mutmaßlicher Angestellter der Firma auf reddit aus dem Nähkästchen. Was er sagt, zeigt, wie hilflos Blockchain-Überwacher gegenüber modernen Methoden zur Erhöhung der Privatsphäre sind.
Chainalyses ist einer der führenden Blockchain-Überwacher. Die Firma untersucht die Blockchain von Bitcoin und anderen Kryptowährungen, um die Anonymität derjenigen, die sie benutzen, zu brechen. Dazu analysiert sie einerseits die Transaktionsdaten, um zu erkennen, welche Adressen zusammengehören; andererseits sammelt sie weitere, externe Daten, etwa IP-Adressen, um die pseudonymen Blockchain-Adressen mit echten Identitäten zu verbinden. Die Tools von Chainalyses werden von Behörden genutzt, um Kriminelle zu finden, und von Börsen, um den Regulierungsbestimmungen gerecht zu werden.
Mit einem neuen Bericht informiert Chainalyses darüber, was auf der dunklen Seite der Blockchain passiert und wie das Ökosystem bzw. die Strafverfolger damit umgehen. Der Bericht fokusiert sich auf drei Themen: Hacker, die Börsen ausräumen, Darknet-Markets sowie Betrug mit Ethereum. Für diejenigen, die sich für diese Themen interessieren, ist er eine gute Ergänzung zu den jährlichen Berichten von Euro- und Interpol.
Die Königsdisziplin: Börsen hacken
Den weiterhin mit Abstand größten Schaden im mit Bitcoin verwandten Cybercrime richten die Hacks von Börsen an. Laut Chainalyses werden die Hacks von zwei Hacker-Gruppen dominiert, die für mindestens 60 Prozent aller bekannten Diebstähle verantwortlich sind und allein im Jahr 2018 Coins im Wert von etwa einer Milliarde Dollar erbeutet haben. Das Hacking von Börsen ist, so Chainalyses, „das lukrativste aller Crypto-Crimes“. Der Beitrag der Firma zu Erforschung der Hacks liegt darin, dass sie untersucht, wie die Hacker ihre erbeuteten Coins zu „echtem“ Geld machen. „Wir versuchen, das Hacking zu ‚dekodieren‘, was meint, dass wir versuchen, Einsichten zu erlangen, wie die Hacker die Assets nach dem initialen Verbrechen bewegen, wie lange sie brauchen, um sie auf einer Börse zu wechseln, und ob wir dadurch in Erfahrung bringen können, wer sie sind.“
Was also hat Chainalyses herausgefunden? Die Hacks der beiden Gruppen haben im Durchschnitt 90 Millionen Dollar erbracht. Es lohnt sich also, eine Schwachstelle bei Börsen zu finden. Die Hacker bewegen die gestohlenen Coins danach „durch ein komplexes Muster von Wallets und Börsen, um zu versuchen, ihre Herkunft zu verschleiern.“ Die Coins werden im Durchschnitt mindestens 5.000 Mal bewegt. Danach ruhen sie für eine gewisse Zeit, mindestens 40 Tage, „bis das Interesse an dem Diebstahl abgeflaut ist.“ Danach geht es schnell: „Mindestens 50 Prozent der gehackten Guthaben werden innerhalb von 112 Tagen gewechselt, und 75 Prozent innerhalb von 168 Tagen.“ Die beobachteten Hacker-Gruppen versuchen beide, die Spuren zwischen der Tat und dem Wechsel zu verschleiern, benutzen dafür aber verschiedene Methoden. Auf diese Weise kann Chainalyses sie erkennen. Die individuellen Transaktionsmuster sagen auch viel über die Kompetenz und Motivation der Hackergruppen aus.
Die erste Gruppe – Chainalyses nennt sie ‚Alpha‘ – ist ziemlich gruselig. Sie ist „eine gigantische, straff kontrollierte Organisation, die teilweise von nicht-monetären Zielen bewegt wird. Sie scheinen ebenso darauf aus zu sein, Verwüstung anzurichten, als ihre Profite zu maximieren.“ Chainalyses beschreibt die Gruppe als die kompetentere, die Coins professionell mischt, um zu verhindern, aufgespürt zu werden. Sobald sie die Coins gestohlen haben, beginnen sie, sie in schnellem Tempo zu mischen. Chainalyses konnte bis zu 15.000 Bewegungen von Coins nach einem Hack nachverfolgen. Auf diese Weise gelingt es Alpha, 75 Prozent der Beute innerhalb von 30 Tagen zu wechseln.
Die andere Gruppe dagegen, ‚Beta‘, wirkt kleiner und weniger organisiert, aber ausschließlich am Profit interessiert zu sein. „Sie scheinen weniger bemüht zu sein, es zu verhindern, aufgespürt zu werden, sondern versuchen nur eine schnelle Route finden zu wollen, um illegale Aseets in sauberes Geld zu wechseln.“ Dennoch braucht diese Gruppe länger, um die Coins zu wechseln, im Durchschnitt sechs bis 18 Monate, während sie sich viel weniger bemüht, die Spuren zu verschleiern. Sobald die Coins dann auf einer Börse sind, wechseln sie sie sofort, indem sie den allergrößten Teil an einem Tag verkaufen, was auch mal 32 Millionen Dollar ausgemacht hat.
Was kann man machen, um gegen diese Hacker vorzugehen? Chainalyses schlägt vor, besser zusammenzuarbeiten. Derzeit haben Börsen und Strafverfolger nur begrenzte Möglichkeiten, die gehackten Coins aufzuspüren. Es kommt daher regelmäßig vor, dass Börsen die gestohlenen Coins wechseln. Mindestens 135 Millionen Dollar der untersuchten Beute wurden über bekannte Börsen verkauft, da es für die Börsen extrem schwierig ist, sie von legalen Coins zu unterscheiden. „Mit dem Wissen, wie Hacker ihre Coins bewegen, können legitime Akteure ungewöhnliche Transaktionen erkennen, die mit kriminellen Aktivitäten zu tun haben können.“ Sowohl eine bessere Zusammenarbeit zwischen Börsen als auch die Hilfe von neutralen Akteuren – damit meint Chainalyses wohl zum Beispiel sich selbst – können hilfreich sein. Die Aufgabe ist alles andere als trivial. „Hacks nehmen zu, weil sie funktionieren. Es ist schwierig, sich gegen einen Angreifer dieser Stärke zu verteidigen.“ Die Hacks zu ‚dekodieren‘ sei aber ein erster Schritt, um sie zu unterbinden.
Darknet-Markets: Bemerkenswert resilient
Im zweiten Teil des Berichts widmet sich Chainalyses den Darknetmarkets. Das sind Marktplätze, die man üblicherweise über das Tor-Netzwerk erreicht, und auf denen anonyme Händler an anonyme Käufer meist illegale Waren wie Drogen verkaufen. Bezahlt wird in der Regel mit Bitcoin oder anderen Kryptowährungen. Trotz des wiederkehrenden erfolgreichen Vorgehens der Polizei gegen diese Darknetmärkte sind diese, meint Chainalyses, „bemerkenswert resilient … Wenn ein Markt schließt, kommt ein neuer und übernimmt seinen Platz.“ Die Preisbewegungen der volatilen Kryptowährungen hat auf die Aktivität der Darknetmärkte nur einen sehr begrenzten Einfluss, da deren User die Coins nicht benutzen, um zu spekulieren, sondern um etwas zu kaufen oder zu verkaufen. Während das Handelsvolumen auf den Börsen mit dem Fall der Kurse über das Jahr 2018 nachgelassen hat, blieb das auf den Darknet-Märkten recht konstant. Die Darknet-User sind, könnte man sagen, die besseren Bitcoin-User als die Spekulanten, da sie Bitcoin als Zahlungsmittel verwenden und damit eine konstante, kursunabhängige Nachfrage nach den digitalen Münzen schaffen.
Das Volumen der Darknetmärkte erreichte 2017 eine Spitze mit einem Volumen von 700 Millionen Dollar. Nachdem AlphaBay und Hansa Mitte des Jahres schlossen, ging das Volumen um rund 60 Prozent zurück. Mittlerweile hat es sich aber wieder erholt und ist fast auf demselben Stand wie 2017. Der neue größte Markt ist der russischsprachige Hydra, auf dem laut Chainalyses bereits mehr als 780 Millionen Dollar aufgelaufen sind.
Die Strafverfolgung hat zwar bemerkenswerte Erfolge gegen die Darknet-Märkte gefeiert. Doch diese reagieren darauf, indem sie selbst stärker dezentral werden. Laut hochrangigen Polizeibeamten, so Chainalyses, wichen die Kriminellen immer mehr auf verschlüsselte Messaging-Apps aus, wie Telegram oder WhatsApp, um ihre Deals abzuschließen. Dies macht es so gut wie unmöglich, dass die Polizei das gesamte Netzwerk trifft, indem sie eine Webseite schließt. Zugleich erhöht dies aber auch das Risiko der User, da sie ihrem Gegenmann vertrauen müssen.
Ethereum-Scams
Im dritten Teil des Chainalyses-Berichts geht es schließlich um Betrug mit Ethereum. Das ist, wie die Firma erklärt, eher ein Nischenthema. „Nur 0,01 Prozent der Ether wurden 2018 durch Betrug gestohlen, das sind weniger als 36 Millionen Dollar, aber doppelt so viel wie 2017. Das macht Betrug durch die Ethereum-Blockchain eines der Crypto-Crimes mit den geringsten Einnahmen. Außerdem nahm die Anzahl der Scams im Jahr 2018 ab, auch wenn die verbliebenen größer, ausgeklügelter und erheblich lukrativer wurden.“
Aber warum gerade Ether? „Ether ist seit langem als die Kryptowährung der Wahl für Betrug bekannt.“ Dafür gebe es eine Vielzahl von Gründen: Unter anderem weil die Ethereum-Smart-Contracts für ICOs benutzt werden, also dezentrale Investments durch den Verkauf von Token, die der User mit einer Ethereum-Transaktion einleitet. Betrüger nutzten dies aus durch Phishing Scams, die Leute auf gefälschte Investment-Seiten lockten. Eine Zeitlang gingen solche Links durch Slack- und Telegram-Chatchannels. Neben diesen Phishing-Scams gab es auch zahlreiche Exit Scams unter den ICOs sowie Ponzi-Systeme.
Chainalyses hat zwischen Ende 2016 und Ende 2018 mehr als 2.000 Adressen von Betrügern auf Ethereum ermittelt, die von knapp 40.000 Usern Geld empfangen haben. 75 Prozent der Scams fanden 2018 statt, die Anzahl der betrogenen User hat sich zwischen 2017 und 2018 vervierfacht. Der allergrößte Teil fand aber im ersten Quartal 2018 statt, danach flauten die Betrügereien wieder ab.
Das Wesen der Geldwäsche mit Kryptowährungen
Anschließend erklärt Chainalyses, wie Geldwäsche bei Kryptowährungen ihren Erfahrungen nach abläuft. Dabei wird die Herkunft der schmutzigen Coins zunächst durch bestimmte Transaktionsverfahren – etwa CoinJoin oder CoinShuffle und so weiter – verschleiert, danach werden sie über Börsen oder andere Plattformen gegen „echtes“ Geld gewechselt.
Der Großteil wird über Börsen (65 Prozent) oder Peer-to-Peer-Börsen (12 Prozent gewechselt). Die verbleibenden 23 Prozent laufen durch andere Services, etwa Mixer, ATMs oder Gambling-Seiten. Allerdings räumt Chainalyses ein, dass ihre Kenntnisse begrenzt sind. Ein wesentlicher Teil der kriminellen Aktivität beginnt offchain, ist also, anders als Hacks oder Darknetmärkte, nicht direkt auf der Blockchain erkennbar. Als Beispiel nennt die Firma grenzüberschreitende Zahlungen von Drogenkartellen. Um solche Arten von Geldwäsche zu identifizieren, müsste man Anomalien erkennen, etwa Spitzen in der Frequenz und Größe von Transaktionen. Dies zuverlässig hinzubekommen dürfte aber schwierig bis unmöglich sein.
Kryptowährungen spielen eine Rolle in der globalen Geldwäsche. Aber aufgrund der steigenden KYC-Anforderungen im Ökosystem, erklärt Chainalyses, seien sie kein Wunderwerkzeug für die Geldwäsche von großen kriminellen Organisationen. Dennoch werden sie oft von kleineren Akteuren, etwa lokalen Drogenhändlern, erfolgreich benutzt.
Die Chainalyses-Leaks
Chainalyses versteht sich als Firma, die dem Ökosystem der Kryptowährungen hilft, ehrlich zu sein. In der Bitcoin-Szene ist das Unternehmen aber reichlich unbeliebt, weil es versucht, die Anonymität der Nutzer zu brechen. Es gibt schon lange zahlreiche Gerüchte darüber, welche Methoden Chainalyses benutzt und wozu das Unternehmen in der Lage ist.
Beinah zeitgleich zum Bericht hat nun ein mutmaßlicher ehemaliger Angestellter von Chainalyses aus dem Nähkästchen geplaudert. Er hat sich als solcher auf Reddit vorgestellt und angeboten, alle Fragen zu beantworten. Natürlich kann man nicht prüfen, ob er tatsächlich bei Chainalyses arbeitet, aber seine Antworten klangen plausible. Kurz darauf hat er seinen Account sowie alle Posts gelöscht, doch das Internet vergisst natürlich nicht. Jemand hat über Twitter Screenshots der wichtigsten Aussagen aus den „Chainalyses-Leaks“ gepostet.
Er erklärt, dass er dies macht, weil er die Arbeit von Chainalyses ethisch verwerflich findet. Denn die Firma versuche, die Anonymität in einem System zu unterminieren, das geschaffen wurde, um Anonymität zu ermöglichen. Allerdings hält er das Unterfangen von Chainalyses schon jetzt für gescheitert. Zwar hat das Unternehmen schon in mehreren hundert Fällen geholfen, Kriminelle aufzuspüren, doch die zunehmende Reife von Werkzeugen, um die Privatsphäre zu erhöhen, sei es für Bitcoin, sei es durch einen Altcoin, sowie zukünftige Verbesserungen der Privatsphäre im Bitcoin-Protokoll wie Schnorr-Signaturen, würden den Service von Chainalyses abgesehen von kleinen Nischenzwecken sinnlos machen.
So fällt es Chainalyses immer schwerer, IP-Adressen von Usern zu identifizieren. Die Firma hat einmal sehr viele Bitcoin-Knoten betrieben, um zu erkennen, von welcher IP-Adresse eine Transaktion ausging. Aber die Erfolgswahrscheinlichkeit, die richtige Adresse zu treffen, ist auf weniger als ein Prozent gesunken. Schwer verdaulich sind für die Firma Wallets wie Wassabi oder CoinJoin-Plattformen wie JoinMarket. „Es gibt keine Möglichkeit, es zu deanonymisieren … Wenn jeder Wassabi benutzen würde, hätte Chainalyses kein Geschäftsmodell mehr.“
Es sieht also, wenn man es so sieht und dem angeblichen Mitarbeiter glaubt, gar nicht so schlecht um die Privatsphäre bei Bitcoin aus.