PlusToken-Betrüger versuchen, Bitcoins durch CoinJoin zu waschen

Bitcoin-User, die ihre Coins durch CoinJoin privatisieren, leben unter Umständen gefährlich. Denn derzeit laufen wieder viele Bitcoins aus dem großen PlusToken-Betrug in einen Mixer ein, vermutlich Wasabi. Dies birgt nicht nur ein Risiko für den Bitcoin-Kurs, falls die Coins auf Börsen verkauft werden – sondern auch für die User von CoinJoin-Mixern, die womöglich Gefahr laufen, ihre Privatsphäre zu verlieren.

Von den westlichen Medien größtenteils ignoriert, waren die in China verbreiteten PlusToken der bisher größte Betrug in der Geschichte von Kryptowährungen. Das relativ ordinäre Ponzi-Spiel holte von Investoren Kryptowährungen – vor allem Bitcoin und Ether – im Wert von mehr als drei Milliarden Dollar ein. Nachdem die Polizei auf den Fall aufmerksam wurde, sind die Betreiber des Betrugs geflohen. Ein Teil von ihnen wurde verhaftet, ein weiterer Teil ist aber noch auf freiem Fuß und versucht, die eingenommen Kryptowährungen zu waschen und auf Börsen gegen Fiatgeld zu wechseln.

An dieser Stelle wird der Datenschutz auf Blockchains interessant. Denn eine Blockchain ist in keiner Weise anonym. Stattdessen sind die Transaktionen im Klartext in ihr abgespeichert. Diese enthalten zwar keine echten Namen, sind aber durch die Adressen als Pseudonyme nachverfolgbar. Nachdem bekannt wurde, auf welchen Adressen die Betreiber von PlusToken ihre Beute abgelegt hatten, wurde es für diese schwierig, die Bitcoins auf Börsen zu überweisen, ohne zu riskieren, dass die Coins dort eingefroren werden.

Für die meisten Menschen ist es relativ einfach, Privatsphäre auf einer Blockchain zu erhalten. Man muss lediglich mehrere Wallets bilden, Adressen nicht wieder verwenden und im Zweifel noch Wallets mit integrierten Mixern wie Wassabi oder Samourai verwenden oder die Bitcoins gegen anonyme Kryptowährungen wie Monero eintauschen. Wenn man nicht von der Polizei als hochrangiger Verbrecher verfolgt wird, dürfte dies vollkommen ausreichen, um die eigene Privatsphäre zu schützen.

Wenn man allerdings wie PlusToken knapp 200.000 Bitcoins besitzt und wegen eines Milliardenbetrugs gesucht wird, wird es unfassbar schwierig. Solche Summen hinterlassen überall ihre Spuren; sie durch Mixer zu bringen oder gegen anonyme Kryptowährungen zu tauschen, ist ähnlich aussichtslos, wie ein Kamel durch ein Nadelöhr zu zwängen. Die Menge ist einfach zu groß. Daher versuchen die PlusToken-Macher auch schon seit dem Sommer 2019, ihre Bitcoins zu verschleiern.

Ein Bericht auf Research.OXT.me breitet nun aus, was man über den Werdegang der PlusToken-Coins weiß. Von Ende Juni bis August war nur eine minimale Bewegung festzustellen. Von August bis heute dagegen gibt es Versuche, die Coins zu bewegen, dabei ihre Spuren zu verwaschen und sie auf der chinesischen Börse Huobi zu verkaufen. Der Blockchain-Analyst ErgoBTC hat bereits Ende Oktober 2019 festgestellt, dass die PlusToken-Betreiber die Wallet Wasabi benutzen, um mit deren integriertem CoinJoin-Algorithmus die Bitcoins zu waschen. Dabei war es unvermeidbar, dass sie deutliche Spuren hinterließen.

“Kürzlich bin ich auf ein seltsames Verhalten eines Wales gestoßen, der hunderte von Wasabi-Mix-Outputs verschmolzen hat,” schreibt der Analyst, “Nachdem ich seiner Spur gefolgt bin, bin ich auf Tausende von Bitcoin gestoßen, die anscheinend einem massiven Betrug, PlusToken, gehören.” PlusToken habe zwischen August und September versucht, 50.000 Bitcoin – das wären heute etwa 350 Millionen Euro – zu mixen. Diese Coins gingen zunächst durch einen Prozess des “Selbst-Mischens”, den die Wasabi-Wallet anbietet.

Aufgrund der hohen Menge an Transaktionen und sich wiederholender Muster geht ErgoBTC aber davon aus, dass das Selbst-Mischen durch einen eigenen Algorithmus geschehen ist. Bei diesem Vorgang verteilt jemand seine Coins auf verschiedene Adressen, die ihm gehören, und bildet Transaktionen, die die Coins vermischen. Es funktioniert so ähnlich wie CoinJoin und macht es schwieriger, Transaktionen zu verknüpfen, da das Muster komplexer wird. Da aber keine andere Partei beteiligt ist, bricht es keine deterministischen Verbindungen zwischen Inputs und Outputs. “Das Ergebnis ist, dass diese Coins zu 100 Prozent verlinkt bleiben.” Ein Ermittler muss nur genügend Geduld und Know-How haben. Insgesamt gingen mindestens 35.000 Bitcoins durch diesen Prozess.

Danach benutzte der Hacker den Mixer von Wasabi, um seine Coins mit denen anderer User zu vermischen. Das Volumen dabei war so hoch, dass ErgoBTC es als eine Art “Sybil Angriff” beschreibt. “Für einen Mixing-Service wird ein Sybil-Angriff oft so definiert, dass ein User vorgibt, viele zu sein. In diesem Fall haben wir einen Wal, der vorgibt, viele Teilnehmer am Mixing-Prozess zu sein, indem er verschiedene Mixing-Clients laufen lässt.” Der Betrag war einfach zu groß, um richtig durch Wasabi gemixt zu werden, weshalb die PlusToken-Macher weiterhin vor allem mit sich selbst mixen mussten und nur zum Teil andere Parteien involviert waren.

Allerdings gingen sie dabei nicht ganz sauber vor, da sie die Adressen, auf denen die gemischten Coins nach dem Mixen landeten, mehrfach verwendeten. Auf diese Weise wurden die Spuren der Betrüger erneut erkennbar. Es scheint kaum möglich zu sein, solche Mengen an Coins zu waschen, allein schon der operative Aufwand, um es so zu machen wie die PlusToken-Betrüger, muss gewaltig gewesen sein. Und das war, schreibt ErgoBTC, “nicht die Art, wie man tausende von BTC mixen sollte.”

Ein Nebeneffekt war, dass auch die anderen, vermutlich ehrlichen Nutzer von Wasabi in Mitleidenschaft gezogen wurden. Auf der einen Seite wird das Mixing weniger effektiv, wenn eine Partei viele Plätze darin einnimmt und nachverfolgbar ist. Die Gewinne an Privatsphäre wurden geringer. Auf der anderen Seite vermischen die User von Wasabi ihre eigenen Coins mit denen von gesuchten Betrügern, was bedeuten könnte, dass die Polizei bei der Verfolgung der Betrüger auch auf die Spur der anderen User gerät und deren Coin-Bewegungen sehr viel gründlicher untersucht, als sie es unter normalen Umständen machen würde. Neben einem unerwünschten Kontakt mit Polizisten und Staatsanwälten könnte dies auch zur Folge haben, dass die Privatsphäre durch den Mixer nicht größer, sondern vielmehr geringer wird.

Insgesamt haben die Betrüger mehr als 10.000 Bitcoin durch den Wasabi-Mixer getrieben und Teile davon auf die Wallets der Börse Huobi überwiesen. Huobi ist einem Bericht von Chainalyses zufolge ein beliebtes Ziel von Betrügern und Kriminellen zu sein, die Geld durch Bitcoin waschen.

Nachdem es nach Oktober still um die PlusToken-Coins war, meldet ErgoBTC jetzt wieder eine Bewegung.

13.000 Bitcoins seien am Wochenende in einen Mixer gegangen, darunter auch so gut wie alle vorher PlusToken zugeschriebene beim Mixing angefallenen Wechselgelder. Sollten die Betrüger ihrem bisherigen Muster folgen, ist anzunehmen, dass die Coins bald auf Huobi auflaufen – falls sie nicht schon dort sind – und dann verkauft werden. Daher könnte dies in einem weiten Einsacken der Bitcoin-Preise münden – oder sogar schon eine Erklärung für die Kurseinbrüche der Nacht von Sonntag auf Montag sein.

Auch für die Nutzer von Wasabi oder anderen Mixern ist das eine schlechte Nachricht, weil nun die Gefahr besteht, die eigenen Coins mit denen von PlusToken zu vermischen und sich damit womöglich zum Ziel von Ermittlern zu machen.