Der Krypto-Swapper eXch, einst ein Hotspot für Cyberkriminelle, wurde von deutschen Behörden spektakulär stillgelegt. Doch trotz Beschlagnahmungen deuten aktuelle Berichte darauf hin, dass die Plattform möglicherweise weiter operiert. Ein Blick hinter die Kulissen.
In der Welt der Kryptowährungen gibt es Plattformen, die unfreiwillig im Rampenlicht stehen. Ein prominentes Beispiel ist eXch, ein Krypto-Swapper, der jahrelang als Zufluchtsort für Cyberkriminelle diente. Nach einer spektakulären Abschaltung durch deutsche Behörden im April 2023 schien die Geschichte beendet. Doch Berichte deuten darauf hin, dass eXch wider Erwarten weiter operiert.
eXch begann 2014 auf BitcoinTalk und entwickelte sich ab 2022 zu einem zentralen Knotenpunkt für berüchtigte Krypto-Drainer wie Monkey Drainer und Pink Drainer. Diese nutzten eXch, um gestohlene Mittel zu waschen und anonym zu bleiben.
eXch verzichtete komplett auf Know-Your-Customer (KYC)-Checks, was anonyme Transaktionen ermöglichte – ideal für Kriminelle. Die Plattform nutzte ein System gepoolter Liquidität, um Ein- und Auszahlungen zu mischen und die Verfolgung von Geldflüssen zu erschweren.
Die nordkoreanische Hackergruppe Lazarus Group nutzte im Februar 2025 eXch nach dem Diebstahl von 1,4 Milliarden USD in Ethereum-Tokens von Bybit. eXch verweigerte die Kooperation bei der Rückverfolgung, was eine Debatte über Privatsphäre vs. Sicherheit auslöste.
Trotz Abschaltung und Beschlagnahmung von Servern und Millionen, deuteten Berichte von Sicherheitsfirmen an, dass eXch weiterhin verdeckt operierte, indem es API-Zugänge nutzte, um Geldwäscheaktivitäten fortzusetzen.
Die Betreiber nutzten eine komplexe internationale Struktur: Domain in Großbritannien, Admin in der Schweiz, Infrastruktur in Frankreich gehostet, Server in Deutschland beschlagnahmt. Diese internationale Verstrickung macht die Regulierung und Bekämpfung solcher Plattformen extrem schwierig.
Neben der Lazarus Group wurde eXch auch mit dem Fluss von Mitteln in Verbindung gebracht, die mit Child Sexual Abuse Material (CSAM) assoziiert sind. TRM Labs bestätigte, dass die Plattform über API-Zugänge weiterhin Geldwäsche für solche Zwecke ermöglichte, selbst nach der offiziellen Stilllegung.
Die Abschaltung gilt als Erfolg, doch Experten warnen, dass kriminelle Akteure leicht zu alternativen Projekten migrieren. Alex Katz von Kerberus nennt THORChain als Beispiel, das ebenfalls zur Verschleierung von Spuren genutzt wurde. Dies unterstreicht die ständige Notwendigkeit der Wachsamkeit.
Finanzintermediäre im Kryptosektor sind ähnlichen Risiken ausgesetzt wie traditionelle Anbieter und sollten denselben regulatorischen Standards unterliegen, so Experte Gal Arad Cohen.
