In vielerlei Hinsicht erleichtert die der Blockchain innewohnende Transparenz kryptobezogene Ermittlungen für die Strafverfolgungsbehörden. Aber Fallstricke müssen überwunden werden, um keine Lücke zu ziehen.
Blockchains fungieren als große, dauerhafte und einsehbare Aufzeichnung fast aller Kryptowährungstransaktionen, die es Ermittlern ermöglichen, die Bewegung von Geldern zwischen Kryptoadressen zu verfolgen – etwas, das mit Fiat Money einfach nicht möglich ist.
Kryptowährungsadressen sind jedoch Pseudonyme, daher benötigen Ermittler zuverlässige Daten, die diese Adressen Diensten und Organisationen zuordnen, um verwertbare Informationen aus Blockchain-Transaktionsaufzeichnungen zu extrahieren. Falsche oder fehlende Adresszuweisungen und Missverständnisse darüber, wie Krypto-Unternehmen mit Geldern umgehen, können zu falschen Schlussfolgerungen führen. Es ist daher wichtig, dass Ermittler die besten Blockchain-Analysetools verwenden, um diese Fehler zu reduzieren und ihre Analyse abzuschließen. Hier sind drei der häufigsten Fehler, die bei Umfragen zu Kryptowährungen gemacht werden.
Sich in Kryptowährungsmischern verirren
Mixer sind Dienste, die den Geldweg verwischen, indem sie Kryptowährungen für mehrere Benutzer ansammeln und jeden Betrag in Höhe des ursprünglich angebotenen Betrags abzüglich der Serviceprovision neu verteilen. Jede endet mit einem „Mix“ aus Geld, das alle anderen gesammelt haben, was es schwieriger macht, eingehende und ausgehende Transaktionen zu verknüpfen. Mixer werden oft von Kriminellen verwendet, um die illegalen Vermögenswerte ihrer Kryptowährung zu verbergen. Mixer sind nicht unbedingt eine Sackgasse in der Blockchain-Analyse – Ermittler können oft weiterhin Gelder aufspüren, obwohl sie diese obskuren Dienste durchlaufen haben. Ermittler müssen sich jedoch darüber im Klaren sein, dass es sich um einen Mischer handelt, was nur möglich ist, wenn sie ein Blockchain-Analysetool verwenden, das die fraglichen Adressen als einem Mischer zugehörig identifiziert hat.
Nehmen Sie zum Beispiel die jüngsten Transaktionen der offiziellen DarkSide, der Ransomware-Variante hinter dem Angriff auf Colonial Pipeline im vergangenen Mai. Es wird darauf hingewiesen, dass der Beamte kurz nach dem Angriff das Geld in eine Zwischengeldbörse überwiesen hat, wo es bis zum 21. Oktober 2021 verblieb. An diesem Tag wurde das Geld in eine zweite Zwischengeldbörse und nach etwa einer Stunde an übertragen ein Mixer. Wir können diese Aktivität sehen, weil wir die Empfangsadresse in der letzten Transaktion als zu dem jeweiligen Mixer gehörend vordefiniert haben. Wenn Benutzer jedoch versuchen, diese Transaktion über einen Block-Explorer oder einen Blockchain-Analysator zu analysieren, der die Empfangsadresse nicht als Teil des Mixers indiziert hat, können sie nicht verstehen, was vor sich geht. Stattdessen sehen sie, wie das Geld schnell hintereinander an mehrere verschiedene Adressen geht, in einem “String-Peel” -Muster.
Eine „Peel Chain“ ist ein gängiges Transaktionsmuster in der Blockchain-Analyse, bei dem Gelder anscheinend mehrere Zwischenadressen durchlaufen. Tatsächlich sind diese Adressen Teil einer einzigen Brieftasche und werden automatisch generiert, um die verbleibenden Gelder aus bestimmten Transaktionen zu erhalten. Im Fall des anonymisierten Mixers sind die Zwischenadressen Teil des Mixers selbst – nicht der Brieftasche – die Geld an neue Adressen verteilt, die ebenfalls vom Mixer gehostet werden. Dieses Transaktionsmuster trug wahrscheinlich zu der Annahme bei, dass die Paring-Ketten selbst eine Verschleierungstechnik für Kriminelle sind, die Kryptowährung waschen wollen. Während Cyberkriminelle oft die Verwirrung ausnutzen, die sie bei Ermittlern verursachen können, sind sich ablösende Ketten ein völlig normales Muster dafür, wie Kryptowährungs-Wallets entworfen werden, um Gelder aus Transaktionen zu sammeln.
Wenn die Ermittler ein Blockchain-Analysetool verwendet hätten, das die von DarkSide-Beamten verwendeten Mixer-Adressen nicht indexiert hätte, wären sie möglicherweise zu dem Schluss gekommen, dass die Ransomware-Geldbewegungen nur Teil einer „abblätternden Kette“ waren. Es ist möglich, dass diese Ermittler zu dem falschen Schluss kamen, dass DarkSide-Gelder in einer oder mehreren selbst gehosteten Wallets gesammelt wurden, obwohl sie tatsächlich vermischt und an einen DarkSide-Administrator unter einer neuen Adresse gesendet wurden. Es scheint auch, dass diese Ermittler die Gelder weiter verfolgten – Gelder, die nicht mehr unter der Kontrolle von DarkSide-Beamten standen – als sie den Mixer verließen und in Diensten wie Kryptowährungsbörsen landeten. Dies kann zu falschen Vorladungen und Zeit- und Ressourcenverschwendung für Ermittler und Stipendien geführt haben.
Versuchen Sie, Geld über einen Dienst zu verfolgen
Daher übertragen Kriminelle häufig Kryptowährungen über zwischengeschaltete Wallets, um Ermittler in die Irre zu führen. Es ist relativ einfach, diese Transaktionen mit den meisten Analysetools zu verfolgen, da sich die Ermittler darauf verlassen können, dass die Blockchain ihnen nach jeder Transaktion die neue Adresse zeigt, an die sie die Gelder erhalten haben. Untersuchungen werden jedoch komplizierter, wenn Gelder über Dienste wie eine Börse überwiesen werden, da es unmöglich ist, nachzuverfolgen, wohin das Geld gesendet wurde, nachdem es die von einem Dienst gehostete Einzahlungsadresse erreicht hat. Die Blockchain allein – ohne Attributionsdaten – ist keine verlässliche Quelle mehr.
Dies liegt an der Art und Weise, wie Dienste Kryptowährungen für Benutzer verwalten. Wenn jemand Kryptowährung über einen Dienst an seine Einzahlungsadresse sendet, bleibt sie nicht einfach dort. Stattdessen überträgt der Dienst es intern, aggregiert es und kombiniert es nach Bedarf mit den Geldern anderer Benutzer. Beispielsweise bewahren viele Kryptowährungsbörsen aus Sicherheitsgründen einen Teil der eingezahlten Gelder in Cold Wallets getrennt vom Internet auf. Das gilt auch für die Welt des Papiergelds: Wer einen 20-Euro-Schein am Geldautomaten einzahlt und nach einer Woche 20 Euro abhebt, erhält nicht die gleiche hinterlegte Kaution.
Blockchains verfolgen keine Gelder mehr, sobald sie an den Dienst gesendet wurden, da der Eigentümer der Einzahlungsadresse normalerweise nicht derjenige ist, der sie überweist. Nur die Börse kennt die mit bestimmten Kunden verbundenen Ein- und Auszahlungen, und diese Informationen werden in Auftragsprotokollen aufbewahrt, die auf Blockchains oder Blockchain-Analyseplattformen nicht sichtbar sind. Unerfahrene Ermittler, die Block-Explorer oder Blockchain-Analysetools ohne dieses Wissen verwenden, versenden manchmal falsche Vorladungen, in denen sie den Austausch interner Adressinformationen anfordern, was Zeit und Ressourcen verschwendet.
Adressen, die verschachtelten Diensten oder Händlerdienstanbietern zugeordnet sind, konnten nicht gefunden werden
Verschachtelte Dienste sind Kryptowährungsdienste, die mit Adressen arbeiten, die von größeren Börsen gehostet werden, um die Liquidität und Transaktionen dieser Börsen zu nutzen. Over-the-Counter (OTC)-Marktplätze sind ein gängiges Beispiel, obwohl viele als eigenständige Dienste fungieren. Kunden von Händlerdienstanbietern arbeiten auf ähnliche Weise. Dies ermöglicht Mainstream-Unternehmen, Kryptowährungen als Zahlungsmittel für ihre Produkte und Dienstleistungen zu akzeptieren, genau wie Zahlungsunternehmen in der Bargeldwelt. Unternehmen, die Dienstanbieter nutzen, sind mit den oben beschriebenen sich überschneidenden Diensten vergleichbar, da sie Kryptowährung über Adressen erhalten, die von einem anderen Unternehmen gehostet werden. Dies bedeutet, dass Ermittler bei kryptobezogenen Ermittlungen falsche Schlussfolgerungen ziehen können, wenn sie auf eine Adresse zurückgeführt werden, die nicht korrekt als zu einem eingebetteten Dienst oder Anbieter gehörend identifiziert wurde.
Ein Beispiel dafür haben wir im Juni 2021 gesehen, als bekannt wurde, dass Adressen, die mit der Ransomware-Kette Ever101 verknüpft sind, Geld an eine Adresse von RubRatings senden, einer Website für Erwachsene, die Zahlungen in Kryptowährung akzeptiert. Diese Information war falsch. Ever101 schickte tatsächlich Geld an eine Einzahlungsadresse, die von einem Händlerdienstanbieter gehostet wird, bei dem RubRatings ebenfalls Kunde war. Die Ermittler haben sich geirrt, weil sie einen Blockchain-Analysator verwendet haben, der den Fehler gemacht hat, alle Adressen in den Wallets des Dienstanbieters als zu RubRatings gehörend zu indizieren, ohne zu wissen, dass RubRatings existiert. Ein Kunde, der Geld an Adressen erhält, die vom Dienstanbieter gehostet werden. Dieser Fehler hat die Strafverfolgungsbehörden möglicherweise dazu veranlasst, RubRatings anstelle des Dienstanbieters anzurufen, der unter der fraglichen Adresse möglicherweise weitere Informationen über das Konto bereitstellen kann.
Karten brauchen genaue Legenden
Wir sollten die Blockchain als eine Karte betrachten, die die Bewegungen von Kryptowährungen zeigt. Es ist nützlich, aber standardmäßig ist die Blockchain eine Landkarte, in der kein Land genannt wird, was ihre Arbeitsmöglichkeiten einschränkt. Blockchain-Datenplattformen ergänzen diese Karte, indem sie die erforderlichen Legenden bereitstellen, damit die Ermittler nachvollziehen können, wer die Gelder kontrolliert, wenn sie an eine bestimmte Adresse überwiesen werden. Wenn die Bildunterschriften ungenau sind, verschwenden die Ermittler Zeit und Ressourcen, um ungenauen Hinweisen nachzugehen.
Die oben beschriebenen Fehler laufen meistens auf eine falsche oder fehlende Identifizierung hinaus und erklären, warum es für Ermittler wichtig ist, die Erfolgsbilanz von Blockchain-Analyseanbietern bei der Zuordnung von Kryptoadressen zu guten Diensten zu bewerten. Letztendlich sind Blockchain-Analysetools nur so effektiv wie die damit verbundenen Daten.