Back to Blog

Nach dem Gefrorenen: On-Chain-Analyse von USDT-Blacklisting und Terrorfinanzierung

MetaSleuth
July 11, 2025
8 min read

Einleitung

Stablecoins haben in den letzten Jahren ein rasantes Wachstum erfahren. Infolgedessen betonen Regulierungsbehörden zunehmend die Notwendigkeit von Mechanismen zur Sperrung illegaler Gelder. Wir stellen fest, dass große Stablecoins wie USDT und USDC bereits über solche Funktionen verfügen. In der Praxis gab es zahlreiche Fälle, in denen Gelder im Zusammenhang mit Geldwäsche und anderen illegalen Aktivitäten erfolgreich eingefroren wurden.

Darüber hinaus deuten unsere Forschungsergebnisse darauf hin, dass Stablecoins nicht nur zur Geldwäsche verwendet werden, sondern auch häufig zur Finanzierung terroristischer Organisationen eingesetzt werden. Daher zielt dieser Blog darauf ab, das Thema aus zwei Perspektiven zu untersuchen. Erstens analysieren wir systematisch eingefrorene USDT-Transaktionen. Zweitens untersuchen wir, wie eingefrorene Gelder mit Terrorismusfinanzierung zusammenhängen.

Haftungsausschluss: Diese Analyse basiert ausschließlich auf öffentlich zugänglichen Daten und kann Ungenauigkeiten enthalten. Wenn Sie Kommentare oder Korrekturen haben, kontaktieren Sie uns bitte unter [email protected].

Analyse blockierter Adressen von USDT

Datenerhebung

Unsere Methodik zur Identifizierung und Verfolgung von Tether-Adressen auf der schwarzen Liste basiert auf der direkten Überwachung von On-Chain-Ereignissen. Der Prozess, der durch den Quellcode des Tether-Smart-Contracts bestätigt wurde, ist wie folgt:

  • Ereignisidentifizierung: Wir stellten fest, dass der Tether-Smart-Contract seine schwarze Liste verwaltet, indem er zwei spezifische Ereignisse auslöst: AddedBlackList beim Hinzufügen einer Adresse und RemovedBlackList beim Entfernen einer Adresse.
  • Datensatzkonstruktion: Die extrahierten Daten werden verwendet, um einen umfassenden Zeitreihen-Datensatz zu erstellen. Für jede Adresse auf der schwarzen Liste erfassen wir die folgenden Felder: die Adresse selbst, den Zeitstempel der Aufnahme in die schwarze Liste (blacklisted_at) und, falls zutreffend, den Zeitstempel der Entfernung aus der schwarzen Liste (unblacklisted_at).
function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);

Ergebnisse

Unsere Analyse von Tether (USDT)-Daten auf den Blockchains Ethereum und Tron zeigt einen auffälligen Trend. Seit dem 1. Januar 2016 wurden insgesamt 5.188 Adressen auf die schwarze Liste gesetzt, was zur Sperrung von Vermögenswerten im Wert von über 2,9 Milliarden US-Dollar führte.

Allein zwischen dem 13. und 30. Juni 2025 wurden 151 Adressen auf die schwarze Liste gesetzt – davon 90,07 % auf dem Tron-Netzwerk (Liste der Adressen). Der Gesamtwert, der in diesem kurzen Zeitraum eingefroren wurde, erreichte erstaunliche 86,34 Millionen US-Dollar.

  • Zeitliche Verteilung von Blacklisting-Ereignissen: Spitzen bei der Blacklisting-Aktivität wurden am 15., 20. und 25. Juni beobachtet, wobei der 20. Juni die höchste Zahl aufwies: 63 Adressen wurden an einem einzigen Tag auf die schwarze Liste gesetzt.
  • Verteilung eingefrorener Vermögenswerte über Adressen hinweg: Die Top-10-Adressen mit den höchsten eingefrorenen Guthaben halten zusammen 53,45 Millionen US-Dollar, was 61,91 % des Gesamtbetrags ausmacht. Der durchschnittliche eingefrorene Betrag (571,76 K USD) ist deutlich höher als der Median (40,01 K USD), was auf eine schiefe Verteilung hindeutet, bei der wenige Adressen mit hohem Wert dominieren, während die meisten relativ kleine eingefrorene Guthaben aufweisen.
  • Lebenszeitwertverteilung: Die gesamten historischen Zuflüsse zu diesen Adressen belaufen sich auf 807,76 Millionen US-Dollar, davon wurden 721,43 Millionen US-Dollar vor der Durchsetzung gesendet und 86,34 Millionen US-Dollar wurden eingefroren. Dies deutet darauf hin, dass die Mehrheit der Gelder wahrscheinlich vor der Aufnahme auf die schwarze Liste bewegt wurde. Bemerkenswert ist, dass 17 % der Adressen auf der schwarzen Liste keine ausgehenden Transaktionen hatten, was auf eine mögliche Verwendung als temporäre Speicher- oder Sammelstellen hindeutet – was weitere Untersuchungen in zukünftigen Ermittlungen rechtfertigt.
  • Neu erstellte Konten werden am wahrscheinlichsten auf die schwarze Liste gesetzt: Unter allen Adressen auf der schwarzen Liste waren 41 % neu erstellt (mit < 30 Tagen Aktivität), 27 % zeigten mittelfristige Aktivität (91–365 Tage) und nur 3 % hatten eine langfristige Nutzungshistorie (≥ 730 Tage). Dies deutet darauf hin, dass neu eingerichtete Konten unverhältnismäßig stark ins Visier genommen werden.
  • Die meisten Konten erreichen einen „Pre-Freeze-Ausstieg“: Rund 54 % der Adressen auf der schwarzen Liste hatten bereits den Großteil ihrer Gelder transferiert (definiert als lebenslange Abflüsse ≥ 90 % der gesamten Zuflüsse), bevor sie auf die schwarze Liste gesetzt wurden. Darüber hinaus hatten 10 % zum Zeitpunkt der Sperrung ein Guthaben von Null. Diese Muster legen nahe, dass Durchsetzungsmaßnahmen oft nur den Restwert illegaler Flüsse erfassen, wobei die meisten Vermögenswerte bereits gewaschen oder transferiert wurden.
  • Hohe Geldwäscheeffizienz bei neuen Konten: Ein Streudiagramm von FlowRatio vs. DaysActive zeigt, dass neuere Konten nicht nur in Bezug auf Menge und Blacklisting-Häufigkeit dominieren, sondern auch die höchste Geldwäscheeffizienz aufweisen und Gelder effektiv abführen, bevor sie entdeckt und durchgesetzt werden.

Den Geldfluss verfolgen

MetaSleuth hat unsere Untersuchung unterstützt, indem es die Rückverfolgung der 151 Tether-Adressen auf der schwarzen Liste ermöglichte, die zwischen dem 13. und 30. Juni von USDT blockiert wurden, wodurch wir sowohl die wichtigsten Geldgeber als auch die Endziele im Zusammenhang mit diesen Adressen identifizieren konnten.

Woher die Gelder stammen

  • Interne Kontamination (91 Adressen): Ein erheblicher Teil der Adressen erhielt Gelder von anderen Adressen auf der schwarzen Liste, was auf ein hochgradig vernetztes Geldwäschenetzwerk hinweist.
  • Gefälschte Phishing-Tags (37 Adressen): Viele Upstream-Quellen wurden auf MetaSleuth als „gefälschtes Phishing“ gekennzeichnet, was auf die Verwendung täuschender Tagging-Taktiken hindeutet, um illegale Aktivitäten zu verschleiern und Erkennung zu vermeiden.

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

  • Exchange Hot Wallets (34 Adressen): Zu den Geldquellen gehörten bekannte Hot Wallets von Börsen – Binance (20), OKX (7) und MEXC (7) – was darauf hindeutet, dass die Zuflüsse von kompromittierten Konten oder Mule-Wallets in zentralisierten Börsen stammen könnten.
  • Einzelner dominanter Verteiler (35 Adressen): Eine einzelne Adresse auf der schwarzen Liste tauchte wiederholt als Upstream-Quelle auf und fungierte wahrscheinlich als zentraler Fondsaggregator oder Mixer zur Verteilung illegaler Vermögenswerte.
  • Cross-Chain-Einstiegspunkte (2 Adressen): Einige Gelder stammten aus Cross-Chain-Brücken, was darauf hindeutet, dass bei den Geldflüssen auch Inter-Chain-Geldwäschemechanismen genutzt wurden.

Wohin die Gelder flossen

  • Zu anderen Adressen auf der schwarzen Liste (54): Dieses Muster verstärkt die Existenz einer internen Geldwäscheschleife innerhalb des Netzwerks.
  • Zu zentralisierten Börsen (41): Gelder wurden über Einzahlungsadressen auf zentralisierten Börsen, darunter Binance (30), Bybit (7) und andere, ausgezahlt.
  • Zu Cross-Chain-Brücken (12): Zeigt Versuche, Vermögenswerte über das TRON-Ökosystem hinaus zu waschen, indem Cross-Chain-Transfermechanismen genutzt werden.

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

Bemerkenswert ist, dass Börsen wie Binance und OKX sowohl am Anfang als auch am Ende des Transaktionsflusses erscheinen – als Zuflussquellen (über Hot Wallets) und als Ziele für den Abfluss (über Einzahlungsadressen) –, was ihre zentrale Rolle bei der Geldbewegung unterstreicht. Die Kombination aus ineffektiver AML/CFT-Durchsetzung und Verzögerungen bei der Sperrung von Vermögenswerten hat möglicherweise illegale Überweisungen ermöglicht, bevor regulatorische Maßnahmen greifen konnten.

Wir empfehlen, dass Kryptowährungsbörsen als wichtige Ein- und Ausgänge robustere Überwachungs-, Erkennungs- und Sperrmechanismen einführen, um solche Risiken proaktiv zu mindern.

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

Analyse der Terrorismusfinanzierung

Um tiefere Einblicke in USDT-Aktivitäten zu gewinnen, die möglicherweise mit Terrorismusfinanzierung in Verbindung stehen, haben wir offizielle Dokumente untersucht – insbesondere die von Israels National Bureau for Counter Terror Financing (NBCTF) herausgegebenen Verwaltungsbeschlagnahmungsverfügungen. Obwohl wir anerkennen, dass keine einzelne Datenquelle ein vollständiges Bild liefert, nutzen wir diesen Datensatz als repräsentatives Fallbeispiel, um eine konservative Untergrenze des USDT zu verstehen, das möglicherweise in die Terrorismusfinanzierung involviert ist.

Ergebnisse

Unsere Überprüfung der NBCTF-Veröffentlichungen ergab mehrere wichtige Erkenntnisse:

  • Zeitpunkt der Beschlagnahmungsverfügungen: Seit der Eskalation des israelisch-iranischen Konflikts am 13. Juni 2025 wurde nur eine neue Beschlagnahmungsverfügung erlassen, datiert vom 26. Juni. Zuvor wurde die letzte Verfügung am 8. Juni erlassen, was trotz steigender Spannungen eine spürbare Verzögerung zeigt.
  • Häufigkeit und Zielsetzung seit dem 7. Oktober 2024: Seit Ausbruch des israelisch-palästinensischen Konflikts wurden acht Beschlagnahmungsverfügungen erlassen. Davon identifizieren vier ausdrücklich „Hamas“ als Ziel, während nur eine – die jüngste – „Iran“ erwähnt.
  • Umfang der angezielten Vermögenswerte: Die kombinierten Verfügungen zielten auf eine breite Palette von Vermögenswerten ab, darunter:
    • 76 USDT (Tron)-Adressen
    • 16 BTC-Adressen
    • 2 Ethereum-Adressen
    • 641 Binance-Konten
    • 8 OKX-Konten

Unsere On-Chain-Untersuchung der 76 USDT Tron-Adressen ergab eine entscheidende operative Erkenntnis über die Reaktion von Tether im Verhältnis zu den NBCTF-Beschlagnahmungsverfügungen. Zwei unterschiedliche Muster traten auf:

  • Proaktives Blacklisting: Tether hatte 17 Hamas-bezogene Adressen bereits vor der öffentlichen Bekanntgabe der entsprechenden Beschlagnahmungsverfügungen auf die schwarze Liste gesetzt. Diese präventiven Maßnahmen erfolgten im Durchschnitt 28 Tage im Voraus, wobei der früheste Fall 45 Tage vor der offiziellen Veröffentlichung stattfand.
  • Schnelle Reaktion: Bei den übrigen Adressen, die zum Zeitpunkt der öffentlichen Bekanntgabe noch nicht auf der schwarzen Liste standen, reagierte Tether umgehend. Die durchschnittliche Zeit bis zum Blacklisting nach einer Beschlagnahmungsverfügung betrug 2,1 Tage, was eine schnelle operative Abwicklung als Reaktion auf offizielle Mandate zeigt.

Diese Ergebnisse deuten auf eine enge und in einigen Fällen präventive Zusammenarbeit zwischen Stablecoin-Emittenten (Tether) und Strafverfolgungsbehörden hin – was die gängige Vorstellung herausfordert, dass Kryptowährungen vollständig außerhalb des Rahmens der regulatorischen und sicherheitstechnischen Aufsicht funktionieren.

Fazit und AML/CFT-Herausforderungen

Unsere Untersuchung zeigt, dass Stablecoins wie USDT zwar leistungsstarke Werkzeuge für Transparenz und Transaktionskontrolle bieten, sie aber auch neue Herausforderungen für die Geldwäschebekämpfung (AML) und die Terrorismusfinanzierung (CFT) darstellen. Das Vorhandensein von vernetzten Geldwäschekreisläufen, Cross-Chain-Verschleierung, verzögerten Durchsetzungsmaßnahmen und der Ausnutzung zentralisierter Börsen unterstreicht systemische Schwachstellen im aktuellen Compliance-Ökosystem.

Mehrere Schlüsselherausforderungen treten hervor:

  • Reaktive vs. proaktive Durchsetzung: Während Tether sowohl proaktives als auch reaktives Blacklisting-Verhalten zeigte, basieren die meisten AML/CFT-Maßnahmen immer noch auf Ex-post-Maßnahmen, die es illegalen Akteuren ermöglichen, erhebliche Gelder zu bewegen, bevor eingegriffen wird.
  • Blind Spots bei Börsen: Zentralisierte Börsen bleiben ein kritischer Teil der Geldwäschepipeline und erscheinen oft sowohl als Ein- als auch als Ausstiegsstellen. Unzureichende Überwachung oder langsame Reaktionszeiten an diesen Einfallstoren ermöglichen es, dass verdächtige Flüsse weitgehend ungehindert weiterlaufen.
  • Komplexität der Cross-Chain-Geldwäsche: Die Nutzung von Brücken und Multi-Chain-Infrastrukturen erschwert die Nachverfolgbarkeit, da illegale Akteure zunehmend weniger regulierte Ökosysteme und brückenbasierte Verschleierung nutzen, um Compliance-Prüfungen zu umgehen.

Um diese Probleme anzugehen, empfehlen wir den Teilnehmern des Ökosystems – insbesondere Stablecoin-Emittenten, Börsen und Regulierungsbehörden –, den Austausch von Geheimdienstinformationen zu verbessern, in Echtzeit-Verhaltensanalysen zu investieren und Cross-Chain-Compliance-Frameworks zu implementieren. Nur durch zeitnahe, koordinierte und technisch ausgefeilte AML/CFT-Anstrengungen können wir die Legitimität und Sicherheit des Stablecoin-Ökosystems wirksam schützen.

BlockSecs Bemühungen

Bei BlockSec setzen wir uns dafür ein, die Sicherheit und regulatorische Widerstandsfähigkeit des Krypto-Ökosystems voranzutreiben. Unsere Bemühungen im Bereich der Geldwäschebekämpfung (AML) und der Terrorismusfinanzierung (CFT) konzentrieren sich darauf, umsetzbare Erkenntnisse, proaktive Erkennung und nachvollziehbare Durchsetzungsmechanismen zu ermöglichen.

Erstens wurde unsere Phalcon Compliance-Plattform entwickelt, um Börsen, Aufsichtsbehörden, Finanzinstituten und Krypto-Projekten (einschließlich Krypto-Zahlungen und DEX) zu helfen, verdächtige Aktivitäten in Echtzeit zu erkennen. Sie bietet On-Chain-Risikobewertung, Transaktionsüberwachung und Adressprüfung über mehrere Ketten hinweg und hilft Unternehmen, Compliance-Anforderungen zu erfüllen.

Parallel dazu ermöglicht MetaSleuth, unser Online-Untersuchungstool, sowohl Analysten als auch der Öffentlichkeit, illegale Geldflüsse mit intuitiven Visualisierungen und Cross-Chain-Tracking zu verfolgen. MetaSleuth wurde bereits von über 100 Strafverfolgungs- und Compliance-Behörden weltweit übernommen, darunter Finanzaufsichtsbehörden, Strafverfolgungsbehörden und globale Beratungsunternehmen.

Zusammen spiegeln diese Tools unsere Mission wider: die Lücke zwischen Blockchain-Transparenz und behördlicher Durchsetzung zu schließen und gleichzeitig die Integrität des dezentralen Finanzsystems zu schützen.

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation