In una grande escalation degli sforzi delle forze dell'ordine internazionali che prendono di mira le infrastrutture crittografiche illecite, l'Ufficio Federale della Polizia Criminale della Germania (BKA), in coordinamento con l'ufficio del procuratore pubblico di Francoforte, ha sequestrato criptovalute per un valore di oltre 34 milioni di euro ($38 milioni) che erano collegate al riciclaggio di fondi dall’enorme hackeraggio da $1,4 miliardi di Bybit avvenuto a febbraio 2025.
Gli asset sequestrati - comprendenti Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), e Dash (DASH) - sono stati prelevati da eXch, una piattaforma criptovalutaria poco conosciuta che ha operato a lungo ai margini dell'economia crittografica come servizio di scambio anonimo. Le autorità hanno anche chiuso l'infrastruttura del server tedesco di eXch, sequestrando oltre otto terabyte di dati in quello che hanno definito un abbattimento coordinato di un importante gateway di riciclaggio.
Questa è la terza maggiore confisca di criptovalute nella storia delle forze dell'ordine federali tedesche e mette in luce come i servizi crittografici non regolamentati continuino a svolgere un ruolo centrale nel riciclaggio dei proventi di grandi hackeraggi, exploit e attività sul dark web.
eXch: un mixer crittografico di lunga data senza supervisione
La piattaforma eXch, che si dice fosse operativa dal 2014, serviva come hub di scambio crittografico che permetteva agli utenti di scambiare anonimamente vari asset digitali - senza l'implementazione di protocolli conosci-il-tuo-cliente (KYC) o antiriciclaggio (AML).
A differenza delle borse centralizzate che ora sono obbligate, secondo le normative europee e statunitensi, a monitorare l'attività degli utenti, segnalare transazioni sospette e inviare rapporti alle autorità, eXch si è posizionata esplicitamente come ponte non-custodial e pseudonimo tra le principali criptovalute, comprese le monete orientate alla privacy.
Secondo i pubblici ministeri tedeschi, la piattaforma ha processato oltre $1,9 miliardi in volume di transazioni nel corso della sua storia operativa. Una parte significativa di questo flusso, affermano, è probabilmente collegata ad attività criminali, compresi fondi dal furto di febbraio 2025 di Bybit, in cui gli hacker hanno portato via $1,4 miliardi in asset digitali, rendendolo uno dei maggiori exploit mai registrati su una piattaforma centralizzata.
Collegamenti forensi all'hack di Bybit e altri exploit importanti
Le analisi forensi digitali delle autorità tedesche e di analisti indipendenti indicavano eXch come un canale centrale per convertire e oscurare asset crittografici rubati, specialmente nel periodo immediatamente successivo al hack di Bybit. L'investigatore blockchain ZachXBT, conosciuto per aver scoperto percorsi di riciclaggio illeciti, è stato tra i primi a mettere in evidenza il ruolo di eXch nell'offuscare oltre $35 milioni in ETH collegati al furto di Bybit.
In un post condiviso a febbraio, ZachXBT osservava che 5.000 ETH legati all'exploit erano stati inviati a nuovi indirizzi e poi riciclati attraverso eXch prima di essere convertiti in Bitcoin via Chainflip, un altro strumento di interoperabilità. Queste transazioni riflettevano un modello visto in altri hackeraggi, inclusi quelli legati al gruppo Lazarus della Corea del Nord, sebbene non sia stato confermato alcun collegamento diretto.
Oltre a Bybit, si presume che eXch fosse utilizzato per processare fondi rubati da altri furti di alto profilo, inclusi l’exploit Multisig, l'incidente FixedFloat e l'attacco al creditore Genesis da $243 milioni, secondo ZachXBT e altri investigatori blockchain.
La risposta legale: sequestro dell'infrastruttura e indagine penale
Il 9 maggio, le agenzie di forze dell'ordine tedesche hanno eseguito operazioni di ricerca e sequestro coordinate, prendendo il controllo dell'infrastruttura backend di eXch, ospitata su server basati in Germania. Gli investigatori stanno ora esaminando oltre otto terabyte di dati sequestrati, che potrebbero contenere registrazioni di indirizzi wallet, log di comunicazione e metadati transazionali che potrebbero legare gli operatori di eXch - e i loro utenti - ad attività criminali.
Il BKA ha caratterizzato eXch non come un fornitore di servizi finanziari legittimo, ma come uno strumento per il “crypto swapping” che consentiva il riciclaggio anonimo e veloce di asset digitali, in particolare da origini illecite. I pubblici ministeri hanno sottolineato che questo tipo di infrastruttura rappresenta un serio rischio per la trasparenza finanziaria e l'applicazione dell'AML.
Il procuratore pubblico senior Benjamin Krause ha dichiarato: “Lo swapping di criptovalute è un componente essenziale dell'economia sotterranea. Permette agli hacker, ai carder e agli attori del darknet di nascondere e riutilizzare i proventi dei loro crimini. Abbattere questi servizi è fondamentale per interrompere il livello finanziario del crimine informatico.”
Contesto normativo e industriale: il panorama AML in evoluzione dell'Europa
Il sequestro avviene mentre l'Unione Europea si prepara ad attuare il suo ampio regolamento Anti-Money Laundering (AMLR) entro luglio 2027, che introdurrà requisiti stringenti di KYC e vieterà le monete privacy sulle piattaforme autorizzate. Il caso di eXch illustra perché i regolatori dell'UE sono sempre più preoccupati per gli strumenti decentralizzati e pseudonimi che si trovano al di fuori dei perimetri normativi esistenti.
Sotto l'AMLR, piattaforme come eXch - se cercano di operare all'interno dell'UE - sarebbero tenute a verificare le identità degli utenti, monitorare le interazioni dei wallet e condividere i dati transazionali con le Unità di Intelligenza Finanziaria nazionali. Il regolamento consente inoltre alle agenzie di agire rapidamente contro le entità non registrate che operano o servono i cittadini dell'UE.
Tuttavia, l'applicazione rimane complessa. Servizi come eXch spesso funzionano come modelli ibridi, instradando attraverso reti sia centralizzate che decentralizzate, rendendo difficili le rivendicazioni giurisdizionali e permettendo loro di continuare a operare per anni prima di affrontare controlli.
L’abbattimento riuscito da parte del BKA segna un'evoluzione nella capacità delle forze dell'ordine e nella collaborazione transfrontaliera. Riflette anche la crescente pressione sui regolatori per mirare proattivamente alle infrastrutture crittografiche illecite, anziché aspettare che si verifichino hackeraggi e tentare di rintracciare i fondi successivamente.
Anonimato vs. Conformità: il dibattito sui servizi di scambio
Piattaforme come eXch occupano uno spazio controverso all'interno dell'ecosistema crittografico. Da un lato, consentono maggiore liquidità, interoperabilità cross-chain e pseudonimato - caratteristiche che molti utenti considerano essenziali per l'etica della crittografia. D'altro canto, sono spesso sfruttate da attori malevoli che cercano di offuscare l'origine dei fondi rubati.
A differenza dei mixer come Tornado Cash, che si affidano a meccanismi di offuscamento basati su smart contract, eXch ha funzionato più come un mixer centralizzato senza controlli di conformità, secondo gli analisti. Permetteva agli utenti di scambiare fondi senza registrazione, controlli KYC o anche log delle controparti. Il sequestro chiarisce che persino i servizi non-custodial o a bassa custodia sono ora nel mirino delle agenzie di applicazione della legge.
La sfida per i regolatori consiste nel distinguere tra tecnologie che migliorano la privacy e piattaforme che favoriscono il crimine, specialmente quando la stessa infrastruttura può essere utilizzata sia da attori legittimi che illeciti.
Fine della linea per eXch
Di fronte a una crescente pressione dopo l'hackeraggio di Bybit, eXch ha pubblicamente annunciato a metà aprile che avrebbe cessato le operazioni entro il 1° maggio, citando l'aumento della pressione da parte delle agenzie di intelligence e "ambienti normativi ostili".
In un post di addio su BitcoinTalk, gli operatori della piattaforma hanno dichiarato: "Anche se siamo stati in grado di operare nonostante alcuni tentativi falliti di chiudere la nostra infrastruttura, non vediamo alcun motivo per operare in un ambiente ostile in cui siamo il bersaglio del SIGINT semplicemente perché alcune persone fraintendono i nostri obiettivi."
La chiusura, seguita dal sequestro di questo mese, segna la fine effettiva di quasi un decennio di operazioni di eXch. Eppure, gli analisti avvertono che altre piattaforme con funzioni simili probabilmente emergeranno per prenderne il posto - a meno che l'applicazione, la regolamentazione e le salvaguardie tecnologiche non si evolvano in tandem.
Considerazioni finali
L’abbattimento di eXch segna un altro importante traguardo nella lotta contro il riciclaggio di denaro abil