Back to Blog

Geldwäsche-Beispiele in Krypto: 3 reale Fälle und was sie enthüllen

Phalcon Compliance
July 17, 2026
6 min read

7.400 ETH wurden über einen Mixer geleitet. Ein 20-Hop-Bridge-Angriff wurde in zwei Stunden ausgeführt. 151 Adressen wurden wegen Terrorismusfinanzierung auf die schwarze Liste gesetzt. Dies sind drei reale Fälle von Krypto-Geldwäsche, die jeweils eine permanente On-Chain-Spur hinterlassen haben. Die folgenden Beispiele umfassen Mixer-basierte Geldwäsche, einen DeFi-Bridge-Angriff und Terrorismusfinanzierung über Stablecoins. Jeder Fall enthüllt etwas Spezifisches darüber, wie Geldwäsche funktioniert. Jeder zeigt auch, was Compliance-Systeme erkennen müssen.

Diese Beispiele stammen aus dokumentierten Strafverfolgungsmaßnahmen, veröffentlichter Blockchain-Forschung und On-Chain-Analysen. Sie richten sich an Compliance-Fachleute, die mehr als nur Definitionen benötigen.


Warum Krypto-Beispiele für Compliance-Teams wichtig sind

Geldwäschebeispiele sind nicht nur historische Aufzeichnungen. Sie sind die Trainingsdaten für das Compliance-Urteilsvermögen. Sie bilden die Grundlage, auf der Risikoteams Erkennungslogik aufbauen, Screening-Schwellenwerte festlegen und entscheiden, welche Adressverhaltensweisen eine Eskalation rechtfertigen.

Krypto-Geldwäschebeispiele sind besonders lehrreich, weil On-Chain-Transaktionen dauerhaft aufgezeichnet werden. Im Gegensatz zur Bargeldwäsche, die nur begrenzte dokumentarische Beweise hinterlässt, hinterlässt Blockchain-Geldwäsche einen vollständigen Prüfpfad. Die Frage ist nicht, ob Beweise vorhanden sind. Die Frage ist, ob Compliance-Tools so aufgebaut sind, dass sie diese lesen können.

Der DOJ-Überblick zur Geldwäsche beschreibt den gesetzlichen Rahmen. Die folgenden Fälle zeigen, was dieser Rahmen in der Praxis antrifft.


Beispiel 1: Mixer-basierte Geldwäsche (Der Tornado Cash-Fall)

Tornado Cash ist ein dezentralisierter Ethereum-Mixer: Benutzer zahlen ETH in Standardbeträgen ein und heben äquivalente Beträge von einer neuen Adresse ab, wodurch die On-Chain-Verbindung zwischen Sender und Empfänger unterbrochen wird. Er wurde zum bevorzugten Layering-Werkzeug für mehrere kriminelle Gruppen, bevor das US-Finanzministerium ihn im August 2022 mit Sanktionen belegte.

MetaSleuth verfolgte ungefähr 7.400 ETH (rund 30 Millionen Dollar) durch Tornado Cash und kartierte die Geldflüsse durch Kraken, SimpleSwap und Binance. Der Fall zeigt, warum Pre-Deposit-Screening entscheidend ist. Diese 7.400 ETH hätten niemals in die Mixer-Plattform gelangen dürfen.

Beispiel 1: Mixer-basierte Geldwäsche (Der Tornado Cash-Fall)
Beispiel 1: Mixer-basierte Geldwäsche (Der Tornado Cash-Fall)

Die Sanktionsmaßnahme des US-Finanzministeriums gegen Tornado Cash stellte fest, dass ein Smart Contract – nicht nur eine Einzelperson – sanktioniert werden kann. Jede Adresse, die nach dem Sanktionsdatum mit einem sanktionierten Smart Contract interagiert, kann selbst in den Fall verwickelt sein.

Was dieser Fall offenbart: Mixer-Exposition beinhaltet nicht immer eine direkte Einzahlung. Gelder können bei einer Börse ankommen, nachdem sie zwei oder drei Hops zuvor einen Mixer passiert haben. Um Mixer-Exposition zu erkennen, ist ein Cross-Chain-Tracing erforderlich, das Gelder durch ihre gesamte Geschichte zurückverfolgt – nicht nur durch den letzten Hop.

Für weitere dokumentierte Fälle zu Pig-Butchering-Betrug und dem Bybit-Hack siehe unsere begleitenden Artikel Was bedeutet Geldwäsche? und Bedeutung von Geldwäsche.


Beispiel 2: DeFi-Bridge-Angriff (Der LI.FI-20-Hop-Fall)

Der LI.FI-Exploit zeigt, wie gestohlene Gelder mit Maschinengeschwindigkeit durch DeFi-Infrastruktur bewegt werden. Beim LI.FI-Angriff wurden gestohlene Gelder innerhalb von 2 Stunden über 32 nachgelagerte Adressen verschoben. MetaSleuth verfolgte den längsten Pfad bis zu 20 Hops tief, wobei Teile in Tornado Cash flossen. (BlockSec, LI.FI-Angriff-Fallstudie)

Beispiel 2: DeFi-Bridge-Angriff (Der LI.FI-20-Hop-Fall)
Beispiel 2: DeFi-Bridge-Angriff (Der LI.FI-20-Hop-Fall)

Zwanzig Hops in zwei Stunden. Keine manuelle Compliance-Prüfung arbeitet in diesem Tempo. Bis ein menschlicher Ermittler begann, die Gelder zu verfolgen, war das Layering strukturell abgeschlossen.

Was dieser Fall offenbart: DeFi-Bridge-Angriffe erzeugen Layering, das komplex, aber on-chain vollständig lesbar ist. Die Gelder verschwinden nicht; sie bewegen sich. Ein Tracing-Tool, das unbegrenzte Hop-Tiefe und Cross-Chain-Verfolgung unterstützt, kann den vollständigen Pfad rekonstruieren. Die Compliance-Implikation lautet, dass das Screening an Börsen jede Adresse markieren muss, die sich innerhalb eines risikoverbundenen Clusters befindet – nicht nur direkte Gegenparteien.


Beispiel 3: Stablecoin-Geldwäsche und Terrorismusfinanzierung (151 gesperrte Adressen)

Terrorismusfinanzierung über Krypto folgt einem ähnlichen technischen Muster wie kommerzielle Geldwäsche, aber die Einsätze sind anders. Vermögenssperrungen im Zusammenhang mit Terrorismusfinanzierung unterliegen einer verschärften regulatorischen Kontrolle und können plattformweite Überprüfungen auslösen.

Beispiel 3: Stablecoin-Geldwäsche und Terrorismusfinanzierung (151 gesperrte Adressen)
Beispiel 3: Stablecoin-Geldwäsche und Terrorismusfinanzierung (151 gesperrte Adressen)

Die BlockSec-Analyse der USDT-Sperrungen zwischen dem 13. und 30. Juni 2025 ergab:

  • 151 gesperrte Adressen eingefroren, mit einem Gesamtbetrag von ungefähr 86,34 Millionen Dollar.

  • 90 % der gesperrten Adressen befanden sich im Tron-Netzwerk.

  • Vorgelagerte Einzahlungsquellen umfassten Binance (20 Adressen), OKX (7) und MEXC (7).

  • Hamas-verbundene Wallets gehörten zu den eingefrorenen Adressen.

(BlockSec, USDT-Terrorismusfinanzierungsanalyse)

Das FATF Virtual Assets Update 2025 stellt ausdrücklich einen deutlichen Anstieg von Betrug mit virtuellen Vermögenswerten und dessen Verbindung zur Terrorismusfinanzierung fest. Die aktualisierte FATF-Leitlinie verpflichtet Anbieter virtueller Vermögenswerte (VASPs), sowohl auf Sanktionsexposition als auch auf Indikatoren für Terrorismusfinanzierung zu screenen – nicht nur auf kommerzielle Betrugsmuster.

Für Plattformen, die USDT in großem Umfang verarbeiten, stellt die OFAC-Leitlinie zu Adressen digitaler Währungen klar, dass Transaktionen mit einer gesperrten Adresse – auch indirekt – nach US-amerikanischem Recht einen Sanktionsverstoß darstellen können.

Was dieser Fall offenbart: Die Daten der vorgelagerten Börsen sind besonders wichtig. Zwanzig der 151 gesperrten Adressen hatten frühere Interaktionen mit Binance. Sieben hatten jeweils frühere Interaktionen mit OKX und MEXC. Das bedeutet nicht, dass diese Börsen mitschuldig waren. Es bedeutet, dass gesperrte Adressen eine Einzahlungshistorie bei großen Plattformen hatten. Dies unterstreicht die Bedeutung einer kontinuierlichen Überwachung – nicht nur eines Screenings zum Zeitpunkt des Onboardings.


Für eine zugehörige operative Überprüfung ermöglicht BlockSecs USDT Freeze Checker Compliance-Teams, zu überprüfen, ob eine Tron- oder Ethereum-USDT-Adresse von Tether eingefroren wurde – was direkt relevant für die in Beispiel 3 gezeigte Art der Sperrung ist.


Was diese Beispiele für Ihre Plattform bedeuten

Drei Fälle. Drei verschiedene Geldwäschemechanismen. Ein gemeinsamer Nenner: Jeder Fall hinterließ On-Chain-Beweise, die speziell entwickelte Tools hätten erkennen können.

Fall Betrag Primäre Methode Geldwäschephase Erkennungsmethode Compliance-Implikation
Tornado Cash-Netzwerk ~30 Mio. $ verfolgt (MetaSleuth-Analyse) Mixer-Einzahlungen, Multi-Börsen-Layering Layering Pre-Deposit-Mixer-Expositions-Screening Ohne Pre-Deposit-Screening gelangen Mixer-verbundene Gelder auf die Plattform und erzeugen nachgelagerte Beschlagnahmeexposition
LI.FI-Bridge-Angriff Nicht offengelegt 32 Adressen, 20-Hop-Kette, Cross-Chain Layering Tiefen-Hop-Cross-Chain-Tracing Nur-Batch-Screening verfehlt den vollständigen Layering-Pfad; Echtzeit-Cross-Chain-Tracing ist erforderlich, um ihn zu rekonstruieren
USDT-Terrorismusfinanzierung 151 Adressen gesperrt (Jun. 2025) Tron-basiertes USDT, Börseinzahlungen Placement Blacklist-Monitoring + vorgelagerte Börsenanalyse Die Verarbeitung von Geldern von gesperrten vorgelagerten Adressen löst Sanktionsexposition aus, unabhängig von der Hop-Anzahl

Informationen darüber, wie AML-Compliance in der Praxis für Börsen und VASPs funktioniert, finden Sie unter AML Compliance für Krypto.

Häufig gestellte Fragen

F: Wenn eine Krypto-Plattform unwissentlich Geldwäsche-Gelder verarbeitet hat, die später identifiziert werden, welcher rechtlichen Exposition ist die Plattform ausgesetzt?

Die Haftung der Plattform hängt davon ab, ob zum Zeitpunkt der Transaktion ein funktionierendes AML-Programm vorhanden war. Gemäß FinCEN-Leitlinien können Plattformen, die angemessene Screening-Verfahren aufrechterhalten und bei Bedarf SARs eingereicht haben, für Safe-Harbor-Schutz in Frage kommen. Plattformen ohne AML-Kontrollen riskieren zivilrechtliche Geldbußen, die FinCEN verhängt hat und die in jüngsten Strafverfolgungsmaßnahmen von 1 Million bis über 100 Millionen Dollar reichten. Eine nachträgliche Abhilfe beseitigt die vergangene Exposition nicht.

F: Benachrichtigt die Einreichung eines Verdachtsmeldungsberichts (SAR) die gemeldete Person oder Einrichtung?

Nein. Gemäß 31 U.S.C. § 5318(g)(2) ist Finanzinstituten ausdrücklich untersagt, dem Betroffenen eines SAR mitzuteilen, dass ein Bericht eingereicht wurde. Ein Verstoß gegen diese Vertraulichkeitsanforderung ist selbst ein Bundesverbrechen. Der Betroffene hat kein gesetzliches Recht zu erfahren, dass er gemeldet wurde, und das Institut kann die Existenz eines SAR auf Nachfrage weder bestätigen noch verneinen.

F: Können rotierende Einweg-Wallet-Adressen das On-Chain-Compliance-Screening zuverlässig umgehen?

Nicht gegen cluster-basierte Analysen. Blockchain-Analysesysteme gruppieren Adressen anhand gemeinsamer Transaktionsmuster: gemeinsame Eingaben, Zeitkorrelationen und Wiederverwendung von Einzahlungsadressen. Selbst wenn ein Geldwäscher durch Hunderte von frisch generierten Adressen rotiert, kann Verhaltens-Clustering diese Adressen mit einer bekannten Einheit oder einem Risikokluster verknüpfen. Die 32 nachgelagerten Adressen des LI.FI-Angriffs wurden auf diese Weise innerhalb von Stunden nach dem Exploit kartiert, obwohl jede Adresse frisch generiert und nur einmal verwendet worden war.

→ Buchen Sie eine Phalcon Compliance-Demo und sehen Sie, wie diese drei Geldwäschemuster vor der Abwicklung erkannt werden — Demo buchen

Häufig gestellte Fragen
Häufig gestellte Fragen

Start Real-Time AML with Phalcon Compliance

Turn Phalcon Network alerts into actions with Phalcon Compliance. Use verified blockchain intelligence to screen wallets, monitor transactions and investigate risks. This helps you respond quickly and stay compliant in the digital assets ecosystem.

Phalcon Compliance