Back to Blog

Nach dem Einfrieren: Eine On-Chain-Analyse der USDT-Blacklist und ihrer Verbindung zur Terrorismusfinanzierung

Phalcon
July 11, 2025
8 min read

Einführung

Stablecoins haben in den letzten Jahren ein rasantes Wachstum erlebt. Infolgedessen betonen Regulierungsbehörden zunehmend die Notwendigkeit von Mechanismen, die das Einfrieren illegaler Gelder ermöglichen. Wir beobachten, dass bedeutende Stablecoins wie USDT und USDC solche Funktionen bereits integriert haben. In der Praxis gab es zahlreiche Fälle, in denen Gelder, die mit Geldwäsche und anderen illegalen Aktivitäten in Verbindung stehen, erfolgreich eingefroren wurden.

Darüber hinaus deuten unsere Untersuchungen darauf hin, dass Stablecoins nicht nur zur Geldwäsche verwendet werden, sondern auch häufig bei der Finanzierung terroristischer Organisationen zum Einsatz kommen. Daher zielt dieser Blog darauf ab, das Thema aus zwei Perspektiven zu beleuchten. Erstens analysieren wir systematisch USDT-Transaktionen, die eingefroren wurden. Zweitens untersuchen wir, in welchem Zusammenhang eingefrorene Gelder mit der Terrorismusfinanzierung stehen.

Haftungsausschluss: Diese Analyse basiert ausschließlich auf öffentlich zugänglichen Daten und kann Ungenauigkeiten enthalten. Wenn Sie Kommentare oder Korrekturen haben, kontaktieren Sie uns bitte unter [email protected].

Analyse blockierter USDT-Adressen

Datenerfassung

Unsere Methodik zur Identifizierung und Nachverfolgung von auf der Blacklist stehenden Tether-Adressen basiert auf der direkten Überwachung von On-Chain-Ereignissen. Der Prozess, der durch den Quellcode des Smart Contracts von Tether bestätigt wurde, sieht wie folgt aus:

  • Ereignisidentifikation: Wir haben festgestellt, dass der Smart Contract von Tether seine Blacklist verwaltet, indem er zwei spezifische Ereignisse auslöst: AddedBlackList, wenn eine Adresse hinzugefügt wird, und RemovedBlackList, wenn eine Adresse entfernt wird.
  • Erstellung des Datensatzes: Die extrahierten Daten werden verwendet, um einen umfassenden Zeitreihen-Datensatz zu erstellen. Für jede auf der Blacklist stehende Adresse erfassen wir die folgenden Felder: die Adresse selbst, den Zeitstempel der Aufnahme auf die Blacklist (blacklisted_at) und, falls zutreffend, den Zeitstempel der Entfernung von der Blacklist (unblacklisted_at).
function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);

Ergebnisse

Unsere Analyse der Tether (USDT)-Daten auf den Blockchains von Ethereum und Tron offenbart einen auffälligen Trend. Seit dem 1. Januar 2016 wurden insgesamt 5.188 Adressen auf die Blacklist gesetzt, was zum Einfrieren von Vermögenswerten im Wert von über 2,9 Milliarden US-Dollar führte.

Allein zwischen dem 13. und 30. Juni 2025 wurden 151 Adressen gesperrt – 90,07 % davon im Tron-Netzwerk (Liste der Adressen). Der Gesamtwert der in diesem kurzen Zeitraum eingefrorenen Mittel erreichte erstaunliche 86,34 Millionen US-Dollar.

  • Zeitliche Verteilung der Sperrereignisse: Spitzen bei den Sperraktivitäten wurden am 15., 20. und 25. Juni beobachtet, wobei der 20. Juni die höchste Anzahl aufwies: 63 gesperrte Adressen an einem einzigen Tag.
  • Verteilung eingefrorener Vermögenswerte auf Adressen: Die Top-10-Adressen mit den höchsten eingefrorenen Guthaben halten zusammen 53,45 Millionen US-Dollar, was 61,91 % der Gesamtsumme entspricht. Der durchschnittliche eingefrorene Betrag (571,76 Tsd. $) liegt deutlich höher als der Median (40,01 Tsd. $), was auf eine schiefe Verteilung hindeutet, bei der einige wenige Adressen mit hohem Volumen dominieren, während die meisten relativ kleine eingefrorene Guthaben aufweisen.
  • Verteilung des Lebensdauertwerts: Die gesamten historischen Zuflüsse zu diesen Adressen belaufen sich auf 807,76 Millionen US-Dollar, davon wurden 721,43 Millionen US-Dollar vor der Durchsetzung der Sperre versendet und 86,34 Millionen US-Dollar eingefroren. Dies deutet darauf hin, dass der Großteil der Gelder wahrscheinlich vor der Aufnahme auf die Blacklist bewegt wurde. Bemerkenswert ist, dass 17 % der auf der Blacklist stehenden Adressen keine ausgehenden Transaktionen aufwiesen, was auf eine mögliche Nutzung als temporäre Speicher- oder Sammelpunkte hindeutet – dies bedarf einer genaueren Untersuchung in zukünftigen Analysen.
  • Neu erstellte Konten werden am ehesten gesperrt: Unter allen auf der Blacklist stehenden Adressen waren 41 % neu erstellt (mit < 30 Tagen Aktivität), 27 % zeigten eine mittelfristige Aktivität (91–365 Tage) und nur 3 % hatten eine langfristige Nutzungshistorie (≥ 730 Tage). Dies zeigt, dass neu eingerichtete Konten überproportional ins Visier genommen werden.
  • Die meisten Konten erreichen einen „Ausstieg vor der Sperre“: Etwa 54 % der auf der Blacklist stehenden Adressen hatten bereits den Großteil ihrer Gelder transferiert (definiert als lebenslange Abflüsse ≥ 90 % der gesamten Zuflüsse), bevor sie auf die Blacklist gesetzt wurden. Zusätzlich wiesen 10 % zum Zeitpunkt der Sperrung einen Nullsaldo auf. Diese Muster deuten darauf hin, dass Durchsetzungsmaßnahmen oft nur den Restwert illegaler Ströme erfassen, während die meisten Vermögenswerte bereits gewaschen oder verschoben wurden.
  • Hohe Effizienz der Geldwäsche bei neuen Konten: Ein Streudiagramm von FlowRatio gegenüber DaysActive zeigt, dass neuere Konten nicht nur in der Anzahl und Häufigkeit der Sperren dominieren, sondern auch die höchste Geldwäscheeffizienz aufweisen, da sie Gelder effektiv vor der Entdeckung und Durchsetzung transferieren.

Dem Geld folgen

MetaSleuth unterstützte unsere Untersuchung durch die Nachverfolgung der 151 Tether-gesperrten Adressen, die zwischen dem 13. und 30. Juni von USDT blockiert wurden, wodurch wir sowohl die wichtigsten Finanzierer als auch die Endziele dieser Adressen identifizieren konnten.

Woher die Gelder kamen

  • Interne Kontaminierung (91 Adressen): Ein erheblicher Teil der Adressen erhielt Gelder von anderen auf der Blacklist stehenden Adressen, was auf ein stark vernetztes Geldwäschenetzwerk hinweist.
  • Gefälschte Phishing-Tags (37 Adressen): Viele vorgelagerte Quellen wurden auf MetaSleuth als „Fake Phishing“ markiert, was auf den Einsatz täuschender Tagging-Taktiken hindeutet, um illegale Aktivitäten zu verschleiern und der Entdeckung zu entgehen.

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

  • Hot Wallets von Börsen (34 Adressen): Zu den Geldquellen gehörten bekannte Hot Wallets von Börsen – Binance (20), OKX (7) und MEXC (7) –, was impliziert, dass die Zuflüsse von kompromittierten Konten oder „Mule“-Wallets zentralisierter Börsen stammen könnten.
  • Einzelner dominanter Verteiler (35 Adressen): Eine einzelne gesperrte Adresse tauchte wiederholt als vorgelagerte Quelle auf und fungierte wahrscheinlich als zentraler Sammelpunkt oder Mixer für die Verteilung illegaler Vermögenswerte.
  • Cross-Chain-Einstiegspunkte (2 Adressen): Einige Gelder stammten von Cross-Chain-Bridges, was darauf hindeutet, dass auch Inter-Chain-Geldwäschemechanismen im Geldfluss genutzt wurden.

Wohin die Gelder flossen

  • An andere auf der Blacklist stehende Adressen (54): Dieses Muster verstärkt die Existenz einer internen Geldwäsche-Schleife innerhalb des Netzwerks.
  • An zentralisierte Börsen (41): Gelder wurden über Einzahlungsadressen an zentralisierten Börsen abgezogen, darunter Binance (30), Bybit (7) und andere.
  • An Cross-Chain-Bridges (12): Dies weist auf Versuche hin, Vermögenswerte außerhalb des TRON-Ökosystems zu waschen, indem Cross-Chain-Transfermechanismen ausgenutzt werden.

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

Bemerkenswert ist, dass Börsen wie Binance und OKX an beiden Enden des Transaktionsflusses auftauchen – als Quellen für Zuflüsse (über Hot Wallets) und als Ziele für Abflüsse (über Einzahlungsadressen) –, was ihre zentrale Rolle bei der Geldbewegung unterstreicht. Die Kombination aus ineffektiver AML/CFT-Durchsetzung und Verzögerungen beim Einfrieren von Vermögenswerten könnte es ermöglicht haben, dass illegale Transfers stattfinden konnten, bevor regulatorische Maßnahmen greifen konnten.

Wir empfehlen Kryptobörsen als wichtige Ein- und Ausstiegspunkte, robustere Überwachungs-, Erkennungs- und Blockierungsmechanismen einzuführen, um solche Risiken proaktiv zu mindern.

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

Analyse der Terrorismusfinanzierung

Um tiefere Einblicke in USDT-Aktivitäten zu gewinnen, die potenziell mit Terrorismusfinanzierung in Verbindung stehen, haben wir offizielle Dokumente untersucht – insbesondere die Beschlagnahmungsanordnungen der israelischen National Bureau for Counter Terror Financing (NBCTF). Obwohl wir anerkennen, dass keine einzelne Datenquelle ein vollständiges Bild liefert, verwenden wir diesen Datensatz als repräsentative Fallstudie, um eine konservative Untergrenze der USDT zu verstehen, die potenziell an der Terrorismusfinanzierung beteiligt sind.

Ergebnisse

Unsere Durchsicht der NBCTF-Publikationen ergab mehrere wichtige Erkenntnisse:

  • Zeitpunkt der Beschlagnahmungsanordnungen: Seit der Eskalation der israelisch-iranischen Konflikte am 13. Juni 2025 wurde nur eine neue Beschlagnahmungsanordnung erlassen, datiert auf den 26. Juni. Davor wurde die letzte Anordnung am 8. Juni erlassen, was trotz zunehmender Spannungen auf eine deutliche Verzögerung hindeutet.
  • Häufigkeit und Zielsetzung seit dem 7. Oktober 2024: Seit Ausbruch des israelisch-palästinensischen Konflikts wurden acht Beschlagnahmungsanordnungen veröffentlicht. Von diesen identifizieren vier explizit die „Hamas“ als Ziel, während nur eine – die aktuellste – den „Iran“ erwähnt.
  • Umfang der betroffenen Vermögenswerte: Die gesammelten Anordnungen zielten auf eine breite Palette von Vermögenswerten ab, darunter:
    • 76 USDT (Tron)-Adressen
    • 16 BTC-Adressen
    • 2 Ethereum-Adressen
    • 641 Binance-Konten
    • 8 OKX-Konten

Unsere On-Chain-Untersuchung der 76 USDT Tron-Adressen enthüllte eine entscheidende operative Erkenntnis bezüglich der Reaktion von Tether im Vergleich zu den Beschlagnahmungsanordnungen des NBCTF. Zwei unterschiedliche Muster traten hervor:

  • Proaktive Blacklisting: Tether hatte bereits 17 mit der Hamas verbundene Adressen vor der öffentlichen Bekanntgabe der entsprechenden Beschlagnahmungsanordnungen auf die Blacklist gesetzt. Diese präventiven Maßnahmen erfolgten im Durchschnitt 28 Tage im Voraus, wobei der früheste Fall 45 Tage vor der offiziellen Veröffentlichung stattfand.
  • Schnelle Reaktion: Für die übrigen Adressen, die zum Zeitpunkt der öffentlichen Bekanntgabe noch nicht auf der Blacklist standen, reagierte Tether umgehend. Die durchschnittliche Zeit bis zur Sperrung nach einer Beschlagnahmungsanordnung betrug 2,1 Tage, was eine schnelle operative Reaktionsfähigkeit auf offizielle Mandate zeigt.

Diese Ergebnisse deuten auf eine enge und in einigen Fällen präventive Zusammenarbeit zwischen Stablecoin-Emittenten (Tether) und Strafverfolgungsbehörden hin – was der weit verbreiteten Wahrnehmung entgegenwirkt, dass Kryptowährungen vollständig außerhalb des Rahmens regulatorischer und sicherheitsrelevanter Aufsicht funktionieren.

Fazit und AML/CFT-Herausforderungen

Unsere Untersuchung zeigt, dass Stablecoins wie USDT zwar leistungsstarke Werkzeuge für Transparenz und Kontrolle bei Transaktionen bieten, aber auch neue Herausforderungen für die Durchsetzung der Bekämpfung von Geldwäsche (AML) und Terrorismusfinanzierung (CFT) darstellen. Das Vorhandensein von miteinander vernetzten Geldwäsche-Schleifen, Cross-Chain-Verschleierung, verzögerten Durchsetzungsmaßnahmen und der Ausnutzung zentralisierter Börsen verdeutlicht systemische Schwachstellen im aktuellen Compliance-Ökosystem.

Mehrere zentrale Herausforderungen stechen hervor:

  • Reaktive vs. proaktive Durchsetzung: Obwohl Tether sowohl proaktives als auch reaktives Blacklisting-Verhalten zeigte, basieren die meisten AML/CFT-Maßnahmen immer noch auf Ex-post-Maßnahmen, was es illegalen Akteuren ermöglicht, vor dem Eingreifen erhebliche Geldbeträge zu bewegen.
  • Blinde Flecken bei Börsen: Zentralisierte Börsen bleiben ein kritischer Teil der Geldwäschepipeline und tauchen oft sowohl als Einstiegs- als auch als Ausstiegspunkte auf. Unzureichende Überwachung oder langsame Reaktionszeiten an diesen Gateways ermöglichen es, dass verdächtige Geldflüsse weitgehend ungehindert weitergehen.
  • Komplexität der Cross-Chain-Geldwäsche: Die Nutzung von Bridges und Multi-Chain-Infrastrukturen erschwert die Rückverfolgbarkeit, da illegale Akteure zunehmend weniger regulierte Ökosysteme und auf Bridges basierende Verschleierungsmethoden ausnutzen, um Compliance-Prüfungen zu umgehen.

Um diese Probleme anzugehen, empfehlen wir den Akteuren des Ökosystems – insbesondere Stablecoin-Emittenten, Börsen und Regulierungsbehörden –, den gemeinsamen Informationsaustausch zu verbessern, in Echtzeit-Verhaltensanalysen zu investieren und Cross-Chain-Compliance-Frameworks zu implementieren. Nur durch rechtzeitige, koordinierte und technisch ausgereifte AML/CFT-Bemühungen können wir die Rechtmäßigkeit und Sicherheit des Stablecoin-Ökosystems wirksam schützen.

BlockSec-Initiativen

Bei BlockSec setzen wir uns dafür ein, die Sicherheit und regulatorische Widerstandsfähigkeit des Krypto-Ökosystems voranzutreiben. Unsere Bemühungen im Bereich der Bekämpfung von Geldwäsche (AML) und Terrorismusfinanzierung (CFT) konzentrieren sich darauf, handlungsrelevante Informationen, proaktive Erkennung und nachvollziehbare Durchsetzungsmechanismen zu ermöglichen.

Erstens wurde unsere Plattform Phalcon Compliance entwickelt, um Börsen, Regulierungsbehörden, Finanzinstituten und Krypto-Projekten (einschließlich Krypto-Zahlungen und DEXs) dabei zu helfen, verdächtige Aktivitäten in Echtzeit zu erkennen. Sie bietet On-Chain-Risikobewertung, Transaktionsüberwachung und Adress-Screening über mehrere Chains hinweg und hilft Unternehmen dabei, Compliance-Anforderungen zu erfüllen.

Parallel dazu unterstützt MetaSleuth, unser Online-Untersuchungstool, Analysten und die Öffentlichkeit dabei, illegale Geldflüsse mit intuitiven Visualisierungen und Cross-Chain-Tracking nachzuverfolgen. MetaSleuth wird bereits von über 100 Strafverfolgungs- und Compliance-Behörden weltweit eingesetzt, darunter Finanzregulatoren, Strafverfolgungsbehörden und globale Beratungsunternehmen.

Zusammen spiegeln diese Tools unsere Mission wider: die Lücke zwischen Blockchain-Transparenz und behördlicher Durchsetzung zu schließen und gleichzeitig die Integrität des dezentralen Finanzsystems zu schützen.

Sign up for the latest updates
So wählen Sie eine für Ihr Unternehmen passende Blockchain-Compliance-Plattform aus

So wählen Sie eine für Ihr Unternehmen passende Blockchain-Compliance-Plattform aus

Auf 10.000 aktive USDT kommen ca. 13 USDT aus fragwürdigen Quellen. Ihre Plattform entscheidet, ob diese Kontamination Ihre Bilanz erreicht.

Krypto-Compliance-Tools: Ein praktischer Leitfaden für die Web3- und TradFi-Integration

Krypto-Compliance-Tools: Ein praktischer Leitfaden für die Web3- und TradFi-Integration

Aufsichtsbehörden verhängten 2024 Strafen von 4,2 Mrd. USD. Für Web3- und TradFi-Teams ist die Wahl der richtigen Compliance-Infrastruktur keine Option mehr, sondern eine Notwendigkeit.

Leitfaden für Krypto-Compliance-Software: Technische Frameworks & Top-Tools

Leitfaden für Krypto-Compliance-Software: Technische Frameworks & Top-Tools

FATF, MiCA, OFAC – drei Regulierer, eine Frage für jeden VASP: Ist Ihr Compliance-Stack für die nächste oder die letzte Prüfung ausgelegt?