Von Björn Godenrath, Frankfurt

Zu den vielen Mythen rund um Kryptowährungen gehört die Vorstellung, dass sich diese besonders gut eignen, um Geldflüsse zu verschleiern und so illegal erworbene Mittel am Zugriff der Behörden vorbeizuschleusen. Eine solche Betrachtung lässt allerdings außer Acht, dass sich Transaktionen auf einer offenen Blockchain nachvollziehen lassen und dann von der Sender-Empfänger-Wallet aus entweder wieder in die Welt des Banken-Zahlungsverkehrs weitergeleitet werden oder aber zum Beispiel als Stablecoin oder spezieller „Privacy Coin“ auf anderen Handelsplätzen landen.

All dies ist mit forensischen Methoden immer besser nachvollziehbar. Wie das funktioniert, lässt sich am Beispiel der Beschlagnahmung von Coins illustrieren, die aus dem 2013 dichtgemachten Darknet-Marktplatz „Silk Road“ stammen: Am 3. November 2020 machten Gerüchte die Runde, dass 69369 Bitcoin im Wert von knapp 1 Mrd. Dollar von der Wallet mit der Adresse „1HQ3Go3ggs8pFnXuHVHRytPCq5fGG8Hbhx“ transferiert worden seien. Nachvollziehen ließ sich auch, dass diese Wallet erstmals seit April 2015 aktiv war und dass diese erstmals im April 2013 befüllt wurde in insgesamt 237 Transaktionen. Bekannt wurde auch, dass Hacker sich in ihren Foren bereits ausgetauscht hatten, wie die Wallet zu knacken wäre.

Einen ersten Hinweis auf die Silk-Road-Verbindung der Wallet gab es am 4. November durch die Analyse-Firma Elliptic, die zum einen daran erinnerte, dass das FBI damals 174000 Bitcoin von Silk-Road-Gründer Ross Ulbricht beschlagnahmte und dann auktionierte. Da Ulbricht eine mehrfach lebenslängliche Haftstrafe verbüßt und nur eingeschränkt online sein kann, blieb zunächst unklar, wer sich hier Zugang zur Wallet verschafft hatte.

Am 5. November folgte dann die Auflösung: Das US-Justizministerium gab bekannt, dass Kryptowährungen im Wert von 1 Mrd. Dollar beschlagnahmt worden seien, die im Zusammenhang mit Silk Road stünden. Diese seien im Rahmen von 54 Transaktionen von Silk Road unrechtmäßig entwendet worden, sprich Ulbricht wurde damals bestohlen. Der hatte zwar noch selbst die Online-Identität des Diebs festgestellt, konnte ihn aber nicht zur Herausgabe der Bitcoin bewegen.

Das gelang erst, als die vom US-Justizministerium beauftragten forensischen Blockchain-Experten Chainalysis zusammen mit der Steuerbehörde IRS die bislang unentdeckten Transaktionen sichtbar machten und daraufhin dem in den Dokumenten als „Individual X“ benannten Wallet-Besitzer ein Einverständnis zur Beschlagnahmung abrangen – man brauchte schließlich das Passwort.

Dieses spektakuläre Beispiel zeigt, dass über Kryptowährungen betriebene Delikte wie Geldwäsche und Steuerbetrug zwar möglich sind, die Behörden aber alles andere als wehrlos sind bei der Herstellung von Transparenz. Das fängt an mit der Visibilität von Wallet-Adressen und den darüber ausgeführten Transaktionen – der Weg hin zu einer Wallet fängt mit der Einzahlung über ein von einer Bank geführtem Konto/Depot an und setzt dort wieder an, wenn Kryptowährungen in Fiat-Währungen zurückgetauscht werden. An diesen Schnittstellen sollte die Bankenregulierung greifen.

Was auf der Blockchain und in den Wallets passiert, kann zwar kurzfristig verschleiert werden, lässt sich aber schrittweise auch entziffern. So verwenden Nutzer zum Schutz ihrer Anonymität gerne „Krypto-Mixer“, bei denen die Coins vieler Nutzer vor Auszahlung vermischt werden, was die Zuordnung von Zahlungsempfängern erschwert. So hatte Europol Mitte 2020 bemängelt, „Wasabi Wallet“ würde Ermittlungen im Zusammenhang mit Bitcoin erheblich erschweren, wenn nicht sogar unmöglich machen. Neben dem Mixer „CoinJoin“ lässt Wasabi das IP-Adressen verschleiernde TOR-Netzwerk als Standard zu. In dieser Kombination lassen sich unerkannt illegale Aktivitäten betreiben. Sobald es aber über eine zu KYC verpflichtete Kryptobörse geht, ist es vorbei mit der Anonymität – und in der EU gilt das für alle Kryptohändler.

Die kriminelle Verwendung von Mixern beschränkt sich älteren Daten von Chainalysis zufolge aber vor allem auf Coins, die aus Hacks von Kryptomarktplätzen stammen und gut 8% ausmachen – wobei dezen­trale Dienste wie Wasabi bedeutsamer werden. Aktuellen Daten zufolge stammen weniger als 1% der über DEX („Decentralized Exchanges“) abgewickelten Transaktionen von kriminellen Akteuren, bei einem kumulierten DEX-Handelsvolumen von gut 144 Mrd. Dollar.

Allerdings erwartet Chainalysis, dass DeFi in diesem Jahr stärker von kriminellen Akteuren genutzt wird, da diese dezentralen Handelsplätze nur vom Software-Code ohne Kon­trollinstanz für Compliance im Einzelfall gesteuert werden – Anpassungen an die Governance erfolgen über Updates des Codes, was aber in der Regel nur der Steuerung der Incentives dient.

Brisant ist der Hinweis der Forensiker auf den Dark-Market-Händler Televend, der auf Telegram über verschlüsselte Chatbots operiert und dabei bereits 150000 Händler mit Verkäufern verbindet. Käufer erhalten eine automatisch erstellte Bit­coin-Adresse zur Überweisung, Televend greift nur eine Kommission ab, ohne die Gelder/Coins selbst mit eigener Infrastruktur zu berühren. Diese dezentrale Architektur könnte zumindest für den Moment das perfekte Verbrechen darstellen – aber die Behörden sind auch schon vormals anonymen Telegram-Nutzern auf die Pelle gerückt.

Dabei ist der gesamte Umfang krimineller Aktivität im Kryptowährungsbereich 2020 gegenüber dem Vorjahr signifikant rückgängig, wenn man erste Studien zurate zieht. Dem jüngst von Chainalysis vorgelegten Report zufolge war ein Transaktionsvolumen von 10 Mrd. Dollar betroffen, was 0,34% des Marktes (Spotmarkt und Derivate) ausmacht. Das sind natürlich keine Peanuts, aber es zeigt sich vielleicht schon eine Reaktion auf Compliance-Wächter wie Chainalysis, Notabene und Elliptic. 2019 betrug das Volumen von Transaktionen mit kriminellen Geldern noch 21,4 Mrd. Dollar.

Und was ist mit sogenannten „Privacy Coins“ wie Monero (XMR), Zcash (ZEC) und Dash? Diese haben im Code Funktionalitäten zur Wahrung der Privatsphäre eingebaut. Außer einem – leicht zu entwirrenden – Mixer in der Funktion „Private Send“ hat Dash wenig zu bieten. Zcash ist mit der verschlüsselnden Funktion der „Shielded Pools“ schon besser aufgestellt. Eingesetzt wird die Technologie des „Zero Knowledge Proof“ für den Wallet-Besitzer, um die Echtheit der (anonymen) Gegenpartei einer Transaktion sicherzustellen.

Und während „Private Send“ von Dash nicht mal bei 1% der Transaktionen gewählt wird, greifen immerhin 14% der Zcash-Transaktionen per Opt-in auf einen der „Shielded Pools“ zurück – aber nur 6% sind komplett abgeschirmt. Damit diese Token für legale Zwecke eingesetzt werden können, erfasst Chainalysis diese über ihre KYT (Know Your Transaction) und ermöglicht so zum Beispiel Kryptobörsen die Compliance für die Verwahrung solcher Coins.

Am härtesten zu knacken im Sinne eines Transaktions-Tracking ist Monero, deren Verwendung für illegale Zwecke wie Lösegeld-Auszahlung bei Cyberattacken-Erpressung steigt. Um Monero auf die Schliche zu kommen, hatte das IRS deshalb im Oktober Integra FEC und Chain­alysis damit beauftragt, die Datenschutzfunktionen von Monero zu knacken. Gut 1,2 Mill. Dollar macht die „Criminal Investigation Division“ des IRS dafür locker. Das IRS will dabei auch erkunden lassen, wie das Zusammenspiel von Privacy Coins und Zahlungen über Layer-2-Blockchains wie das Lightning Network (Bitcoin) und Raiden (Ethereum) funktioniert. Seit September arbeitet zudem Cipher Trace daran, Monero-Transaktionen verfolgbar zu machen. Auftraggeber ist das US-Heimatschutzministerium – was zeigt, dass der Staat sich nicht dauerhaft vorführen lässt.

Da neben den Kryptowährungen auch tokenisierte Assets auf die Blockchain kommen, dürfte die Nachfrage für forensische Blockchain-Experten weiter ansteigen. Das schlägt sich auch in der Bewertung von Chainalysis nieder: Im Rahmen einer Series-C-Runde im November über 100 Mill. Dollar stieg das Start-up mit einer Bewertung von 1 Mrd. Dollar zum Einhorn auf.

Zuletzt erschienen:

Gesetzgeber hat noch einiges auf der Agenda (2. Februar)

Im Gespräch mit Mitgründer des Bundesverbands der Geldwäschebeauftragten (29. Januar)