Die Geschichte von eXch
Einst ein beliebter Swapper für Hacker und Kriminelle wurde eXch im April von der deutschen Polizei abgeschaltet. Doch die anhaltende Aktivität deutet darauf hin, dass die Geschichte noch nicht zu Ende ist. Ohne Know Your Customer (KYC)-Überprüfungen war eXch kein typischer Krypto-Austausch; vielmehr fungierte es als sofortiger Swap-Dienst, der es Kriminellen und Cyberkriminellen ermöglichte, über lange Zeiträume hinweg unentdeckt zu agieren.
Zu seinen Kunden gehörte unter anderem die Lazarus-Gruppe, eine staatlich unterstützte nordkoreanische Hackergruppe. Diese rückte eXch im Februar ins Rampenlicht, als sie die Plattform nutzte, um einen Teil der 1,4 Milliarden US-Dollar, die sie von Bybit gestohlen hatte, zu transferieren. Als Bybit die gestohlenen Mittel zu eXch zurückverfolgen konnte, bat das Unternehmen um Hilfe, doch die Plattform weigerte sich. Dies führte zu einer heftigen Diskussion über Privatsphäre versus Sicherheit. Letztendlich gab eXch am 17. April bekannt, dass man schließen würde; am 30. April wurde dies offiziell von den deutschen Behörden vollzogen. Laut dem Sicherheitsunternehmen TRM Labs könnte die Plattform jedoch nach der Schließung im Stealth-Modus weiterbetrieben worden sein.
eXch – Schließung und Hintertür
Hier ist die Geschichte von Aufstieg, Fall und dem Nachleben des angeblichen Krypto-Wäschereibetriebs eXch.
eXch schloss die Vordertür, hielt jedoch die Hintertür offen. Neben der Ankündigung seiner Schließung veröffentlichte eXch eine Mitteilung, in der behauptet wurde, man werde keine kriminellen Erlöse erleichtern. Diese Mitteilung wurde innerhalb von Stunden entfernt und die Aktivitäten wurden leise wieder aufgenommen – Anzeichen für einen internen Konflikt oder vielleicht sogar einen kalkulierten Versuch, die Sichtbarkeit zu verringern, so TRM. Die deutschen Behörden beschlagnahmten die Server von eXch und konfiszieren 34 Millionen Euro (rund 38 Millionen US-Dollar) in Kryptowährungen sowie mehr als acht Terabyte an Daten, was die öffentliche Infrastruktur effektiv demontierte.
„Wie wir bereits bei Garantex gesehen haben, das sich in Grinex umbenannte, starb eXch nach dem Shutdown nicht vollständig. Es bediente leise eine Handvoll Partner über die API, was bedeutete, dass die Geldwäscheaktivitäten auch nach der öffentlichen Abschaltung weitergingen“, sagte Jeremiah O’Connor, Mitgründer und Chief Technology Officer des Sicherheitsunternehmens Trugard.
O’Connor fügte hinzu, dass es nicht unwahrscheinlich sei, dass solche Plattformen auch nach Beschlagnahmungen treue Kunden bedienen. „Die Betreiber von eXch.ch nutzten die Vorteile, in mehreren Ländern tätig zu sein. Die Domain wurde über einen britischen Anbieter registriert, der die Schweiz als Administrationsstandort angab; die Infrastruktur wurde in Frankreich gehostet und die Server wurden in Deutschland beschlagnahmt“, erklärte O’Connor.
Die Zukunft von eXch und ob sie ihre API abschalten oder unter einem neuen Namen zurückkehren, ist noch unklar. TRM erklärte in einem Blogbeitrag vom 2. Mai, dass der verbliebene Backend-Zugang der Plattform weiterhin Anonymisierungsinfrastruktur für Bedrohungsakteure bereitstellt.
Ursprünge und illegale Aktivitäten
Die Ursprünge von eXch reichen bis ins Jahr 2014 zurück. Es ist unklar, wie sich die Situation weiter entwickeln wird.
