Back to Blog

Was sind Instant Krypto-Börsen und warum sind sie ein Hotspot für Geldwäsche?

June 24, 2025
6 min read

Dieser Artikel fasst die wichtigsten Ergebnisse des Papiers "Towards Understanding and Analyzing Instant Cryptocurrency Exchanges" zusammen, das von ACM SIGMETRICS 2025 angenommen wurde.

Die Welt der Kryptowährungen entwickelt sich ständig weiter und bringt innovative Dienstleistungen zur Verbesserung des Benutzererlebnisses hervor. Eine solche Innovation sind Instant Cryptocurrency Exchanges (ICEs), Plattformen, die den Prozess des Austauschs digitaler Vermögenswerte über verschiedene Blockchains hinweg vereinfachen sollen. Wie bei vielen neuen Technologien können jedoch gerade die Funktionen, die Komfort bieten, auch für böswillige Zwecke ausgenutzt werden.

In dem kürzlich erschienenen Papier des BlockSec-Teams, „Towards Understanding and Analyzing Instant Cryptocurrency Exchanges", haben wir eine umfassende Studie von ICEs durchgeführt, mit dem Ziel, ihre Funktionsweise, legitimen Anwendungsfälle und – am wichtigsten – wie sie für illegale Aktivitäten wie Geldwäsche ausgenutzt werden, aufzudecken. Darüber hinaus haben wir eine systematische Methodik entwickelt, um illegale Gelder zu verfolgen, die über ICE-Dienste fließen.

Verstehen von ICEs: Der grundlegende Arbeitsablauf

Bevor wir uns den dunkleren Aspekten zuwenden, ist es wichtig zu verstehen, wie ICEs im Allgemeinen funktionieren. Wir haben einen typischen vierstufigen Prozess für ICE-Operationen zusammengefasst (wie in Abbildung 1 dargestellt):

Abb. 1. Arbeitsablauf von ICE-Diensten
Abb. 1. Arbeitsablauf von ICE-Diensten
  1. Benutzeranfrage (Off-Chain)

Der Prozess beginnt damit, dass ein Benutzer eine Anfrage auf der ICE-Plattform initiiert. Diese Anfrage, die außerhalb der Kette (off-chain) erfolgt, enthält Details wie die Quell- und Zielkryptowährungen, die Beträge und die Zieladresse für die ausgetauschten Gelder. Dieser Off-Chain-Charakter trägt zur Privatsphäre des Benutzers bei, schafft aber auch Herausforderungen bei der Nachverfolgung.

  1. Einzahlung (On-Chain)

Der ICE-Dienst generiert eine eindeutige Einzahlungsadresse für den Benutzer, der dann seine Quellkryptowährung an diese Adresse überträgt. Diese Transaktion wird auf der Quell-Blockchain aufgezeichnet.

  1. Geldverwaltung & Auszahlung (On-Chain)

Nachdem die Einzahlung bestätigt wurde, verwaltet der ICE-Dienst den „sofortigen Austausch“. Mithilfe seiner Liquiditätspools (oder in Zusammenarbeit mit anderen, klassifiziert als „Standalone" und „Delegated" Typen) sendet er die Zielkryptowährung an die Zieladresse des Benutzers. Diese Auszahlung wird auf der Ziel-Blockchain aufgezeichnet.

  1. Aggregation (On-Chain)

ICE-Dienste konsolidieren oft Gelder von mehreren Einzahlungsadressen in größeren Hot Wallets zur einfacheren Verwaltung. Dies ist ebenfalls eine On-Chain-Aktivität.

Während die anfängliche Benutzeranfrage außerhalb der Kette stattfindet, sind die Einzahlungs- und Auszahlungstransaktionen innerhalb der Kette. Es ist jedoch schwierig, eine spezifische Einzahlung mit einer spezifischen Auszahlung zu verknüpfen, da der ICE-Dienst als Vermittler fungiert und Gelder von mehreren Benutzern mischt.

Das zweischneidige Schwert: Komfort vs. illegale Nutzung

ICEs bieten unbestreitbaren Komfort: schnelle, Cross-Chain-Swaps, oft ohne die strengen Know-Your-Customer (KYC)-Verfahren, die von zentralisierten Börsen (CEXes) verlangt werden. Leider schafft dieser Mangel an strengen KYC-Verfahren in Kombination mit unvollständigen On-Chain-Daten für einzelne Benutzeranfragen eine attraktive Lücke für illegale Akteure.

Unsere Forschung hat alarmierende Statistiken über den Missbrauch von ICEs aufgedeckt:

  • Insgesamt 12.473.290 US-Dollar an illegalen Geldern wurden über die analysierten ICE-Dienste gewaschen.
  • 432 bösartige Adressen (beteiligt an Phishing, Betrug usw.) erhielten ihre anfängliche Finanzierung von ICEs, was diese Plattformen zu einem Einstiegspunkt für illegale Aktivitäten macht.
Abb. 2. Monatlich über ICE-Dienste gewaschene illegale Gelder. Wichtige Vorfälle sind in Monaten mit höherer Geldwäscheaktivität markiert.
Abb. 2. Monatlich über ICE-Dienste gewaschene illegale Gelder. Wichtige Vorfälle sind in Monaten mit höherer Geldwäscheaktivität markiert.

Ein deutliches Beispiel ist der BitKeep-Vorfall, bei dem Angreifer über 2 Millionen US-Dollar über mehrere ICEs wuschen. Diese Plattformen brechen effektiv die Nachverfolgbarkeitskette und erschweren es den Behörden, die Geldspur zu verfolgen.

Die Schatten entlarven: Unsere Verfolgungsmethodik

Trotz der Herausforderungen ist es nicht unmöglich, die von ICEs gebotene Anonymität zu durchbrechen. In unserem Papier haben wir einen heuristikbasierten Abgleichsalgorithmus vorgeschlagen, um Benutzereinzahlungen und -auszahlungen auf konto-basierten Blockchains (wie Ethereum und anderen EVM-kompatiblen Chains) zu korrelieren.

Dieser Algorithmus basiert auf Erkenntnissen aus unserer Analyse:

  • Transaktionsreihenfolge: Eine Auszahlungstransaktion des ICE-Dienstes muss nach Bestätigung der Einzahlung des Benutzers erfolgen.
  • Geringe Preisabweichung & Anfragefrequenz: ICE-Benutzeranfragen stimmen im Allgemeinen eng mit den Marktpreisen überein. Darüber hinaus können trotz des hohen Transaktionsvolumens einzelne Ein- und Auszahlungstransaktionen oft anhand von Zeitstempeln und Werten unterschieden werden.
  • Effizienz von ICEs: ICE-Plattformen rühmen sich mit Geschwindigkeit, wobei Auszahlungen kurz nach Bestätigung der Einzahlungen initiiert werden.

Der Abgleichsalgorithmus arbeitet in drei Phasen:

  1. Identifizierung von Operationen: Identifizieren Sie alle Einzahlungs- und Auszahlungsoperationen im Zusammenhang mit dem ICE-Dienst, indem Sie Transaktionen analysieren, die mit seinen bekannten Hot Wallets über Blockchains hinweg verbunden sind.
  2. Berechnung des Werts: Berechnen Sie den Dollarwert jeder identifizierten Ein- und Auszahlungsoperation zum Zeitpunkt der Transaktion unter Verwendung historischer Preisdaten.
  3. Abgleich: Ordnen Sie Einzahlungen potenziellen Auszahlungen auf der Grundlage von zwei Metriken ab: der Differenz des Dollarwerts (V) und der Zeitdifferenz (T) zwischen Einzahlung und Auszahlung. Die Wiederverwendung von Adressen wird ebenfalls berücksichtigt, da Benutzer dieselbe Adresse über Ketten oder Transaktionen hinweg verwenden können.

Wichtigste Ergebnisse unseres Verfolgung-Algorithmus

Wir haben unseren Algorithmus anhand von Ground-Truth-Daten (historische Benutzeranfragen, die von zwei ICE-Diensten, FixedFloat und SideShift, bereitgestellt wurden) evaluiert und eine Gesamtgenauigkeitsrate von über 80 % erzielt. Dies ist signifikant und zeigt, dass trotz der undurchsichtigen Natur von ICEs ein erheblicher Teil der Transaktionen verknüpft werden kann.

Diese Fähigkeit, Ein- und Auszahlungen zu verknüpfen, hat tiefgreifende Auswirkungen auf die Verfolgung illegaler Gelder. Unsere Analyse von illegalen Geldern, die in ICEs eingezahlt wurden, hat beispielsweise häufige Muster aufgedeckt:

  • Ein großer Teil der illegalen Gelder, die auf Ethereum aus ICEs abgehoben wurden, wurde an andere Ethereum-Adressen gesendet, wobei ICEs als interne Mixer zur Unterbrechung der On-Chain-Verbindung verwendet wurden. Viele dieser Gelder wurden schließlich auf zentralisierten Börsen eingezahlt.
  • TRON war ein weiteres beliebtes Ziel für gewaschene Gelder auf der Blockchain.

Unsere Fallstudien, wie die Adresse „Fake_Phishing11675", zeigten, wie illegale Gewinne über ICEs (in diesem Fall wie FixedFloat) flossen, manchmal über mehrere Hops, bevor sie an zentralisierte Börsen gelangten. Selbst in komplexen Szenarien hat unser Algorithmus diese Wege erfolgreich aufgedeckt.

Implikationen unserer Forschung

Unsere Forschung zeigt, dass ICEs zwar wertvolle Dienste anbieten, ihre aktuellen Betriebsmodelle jedoch ausgenutzt werden können. Die von uns entwickelte Verfolgungsmethodik bietet Forschern, Cybersicherheitsfirmen und Strafverfolgungsbehörden ein neues Werkzeug zur Bekämpfung von Finanzkriminalität im Krypto-Bereich. Sie unterstreicht, dass die von einigen ICEs gebotene „Privatsphäre" nicht unzerbrechlich ist. Durch die systematische Analyse von On-Chain-Daten können wir beginnen, illegale Transaktionen zu de-anonymisieren und das breitere Geldwäsche-Ökosystem zu verstehen.

Unsere Ergebnisse fordern eine nuancierte Diskussion über Regulierung und AML-Politik (Anti-Money Laundering) für ICEs. Während zu strenge Vorschriften die Innovation ersticken könnten, ermöglicht die aktuelle Landschaft eindeutig erheblichen Missbrauch. Ein ausgewogener Ansatz – der eine bessere Selbstregulierung durch ICEs, datenschutzfreundliche Analysen und fortschrittliche Verfolgungswerkzeuge wie die unseren kombiniert – kann helfen, bessere Ergebnisse zu erzielen.

Compliance neu definieren mit modernster Forschung

Angesichts der sich entwickelnden Taktiken zur Geldwäsche und anderer illegaler Aktivitäten ist BlockSec der Ansicht, dass nur kontinuierliche, fortschrittliche Forschungsfähigkeiten effektiven Risikoschutz und Compliance-Unterstützung bieten können.

BlockSec wurde von Professoren der Zhejiang University und führenden Sicherheitsexperten für Blockchain mitbegründet. Das Kernteam besteht aus Absolventen führender Universitäten weltweit. Das Team widmet sich seit langem der Spitzenforschung im Bereich der Blockchain-Sicherheit und hat Durchbrüche bei der Phishing-Prävention, der Geldnachverfolgung und der AML-Analyse erzielt. Unsere Arbeit wurde auf renommierten Konferenzen wie ACM SIGMETRICS, NDSS Symposium, CCS und WWW vorgestellt. Wir haben akademische Erkenntnisse und technische Fortschritte in das Design der Phalcon Compliance APP integriert und Virtual Asset Service Providern (VASPs) geholfen, die sich entwickelnden Anforderungen an Compliance und Risikomanagement zu erfüllen.

Die Phalcon Compliance APP integriert wichtige Funktionen wie über 400 Millionen Adresslabels, unbegrenzte Hop-Nachverfolgung und anpassbare Risikoregeln. Benutzer können Adressen und Transaktionen importieren, um On-Chain-Verhaltensweisen automatisch zu analysieren und Risikobereiche zu bewerten, was eine präzise Identifizierung von Bedrohungen im Zusammenhang mit Geldwäsche, Terrorismusfinanzierung, Phishing, Betrug und anderen illegalen Aktivitäten ermöglicht. Das System unterstützt automatisierte Warnungen, kollaborative Arbeitsabläufe, Blacklist-Management und die ein-klick-Generierung von STR-Berichten, die den Vorschriften in Jurisdiktionen wie den USA, Singapur und Hongkong entsprechen. Diese Funktionen ermöglichen es Organisationen, Compliance-Risiken effizient zu identifizieren, zu verwalten und darauf zu reagieren und ein dynamisches End-to-End-Risikomanagement zu gewährleisten.

Über BlockSec

BlockSec ist ein weltweit führendes Unternehmen im Bereich Blockchain-Sicherheit, das 2021 von einem Team renommierter Sicherheitsexperten gegründet wurde. BlockSec widmet sich der Verbesserung der Sicherheit und Benutzerfreundlichkeit des Web3-Ökosystems und bietet umfassende Lösungen – darunter Code-Audits, die Phalcon-Plattform für Sicherheits- und Compliance-Management sowie die MetaSleuth-Plattform für die Untersuchung und Verfolgung von Geldern.

Bis heute hat BlockSec über 500 renommierte Kunden weltweit betreut. Zu den Kunden gehören führende Web3-Unternehmen wie Coinbase, Cobo, Uniswap, Compound, MetaMask, Bybit, Mantle, Puffer, FBTC, Manta, Merlin und PancakeSwap sowie namhafte Regulierungs- und Beratungsunternehmen, darunter die Vereinten Nationen, das FBI, die SFC, PwC und FTI Consulting.

Website: https://blocksec.com

X: https://x.com/BlockSecTeam

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.