W ramach znacznego nasilenia międzynarodowych działań egzekwujących prawo wymierzonych w nielegalną infrastrukturę kryptowalutową, Niemiecki Federalny Urząd Policji Kryminalnej (BKA), we współpracy z prokuraturą we Frankfurcie, skonfiskował ponad 34 mln euro (38 mln dolarów) w kryptowalutach związanych z praniem funduszy z masowego ataku na Bybit, który miał miejsce w lutym 2025 roku.
Przejęte aktywa - w tym Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC) i Dash (DASH) - zostały zabrane z eXch, mało znanej platformy kryptowalutowej działającej od dawna na obrzeżach gospodarki kryptowalutowej jako anonimowa usługa wymiany. Władze również zlikwidowały niemiecką infrastrukturę serwerową eXch, przejmując ponad osiem terabajtów danych w ramach skoordynowanej akcji przeciwko kluczowemu kanałowi prania pieniędzy.
Jest to trzecia największa konfiskata kryptowalut w historii niemieckiej federalnej policji kryminalnej i rzuca światło na to, jak słabo regulowane usługi kryptowalutowe nadal odgrywają kluczową rolę w praniu środków z głównych włamań, eksploitów i działalności darkwebowej.
eXch: Długotrwały mixer kryptowalutowy działający bez nadzoru
Platforma eXch, która rzekomo działała od 2014 roku, służyła jako centrum wymiany kryptowalut, które pozwalało użytkownikom anonimowo wymieniać różne aktywa cyfrowe - bez wdrożenia protokołów know-your-customer (KYC) ani przeciwdziałania praniu pieniędzy (AML).
W odróżnieniu od scentralizowanych giełd, które są obecnie zobowiązane przepisami europejskimi i amerykańskimi do śledzenia aktywności użytkowników, zgłaszania podejrzanych transakcji i składania raportów do władz, eXch jawnie pozycjonowało się jako nie-kustodialne, pseudonimowe połączenie między głównymi kryptowalutami, w tym monetami prywatnościowymi.
Według niemieckich prokuratorów, platforma przetworzyła ponad 1,9 mld dolarów w transakcjach przez okres swojej działalności. Znacząca część tego przepływu, twierdzą, prawdopodobnie była powiązana z działalnością przestępczą, w tym ze środkami z ataku na Bybit w lutym 2025 roku, w którym hakerzy zdobyli 1,4 mld dolarów w aktywach cyfrowych, co czyni go jednym z największych centralnych eksploatacji giełdowych na rekordzie.
Powiązania śledcze z atakiem Bybit i innymi głównymi eksploatacjami
Śledztwa cyfrowe niemieckich władz i niezależnych analityków wskazały na eXch jako centralny kanał do przekształcania i ukrywania skradzionych aktywów kryptowalutowych, zwłaszcza zaraz po ataku na Bybit. Śledczy blockchain ZachXBT, znany z odkrywania nielegalnych tras prania pieniędzy, był jednym z pierwszych, którzy podkreślili rolę eXch w zakrywaniu ponad 35 mln dolarów w ETH powiązanych z atakiem Bybit.
W poście udostępnionym w lutym ZachXBT zauważył, że 5 000 ETH powiązanych z atakiem zostało wysłanych na nowe adresy, a następnie wypłukane przez eXch zanim zostało skonwertowane na Bitcoin za pomocą Chainflip, innego narzędzia interoperacyjnego. Te transakcje odzwierciedlały wzór obserwowany w innych atakach, w tym tych związanych z północnokoreańską grupą Lazarus, chociaż nie potwierdzono bezpośrednich przypisań.
Oprócz ataku na Bybit, eXch rzekomo służyło do przetwarzania skradzionych funduszy z innych głośnych kradzieży, w tym eksploitu Multisig, incydentu FixedFloat i ataku na wierzycieli Genesis na 243 mln dolarów, według ZachXBT i innych śledczych blockchain.
Odpowiedź prawna: konfiskata infrastruktury i dochodzenie
kryminalne
9 maja niemieckie agencje egzekwujące prawo przeprowadziły skoordynowane operacje przeszukań i konfiskat, przejmując kontrolę nad infrastrukturą backendową eXch, która był a hostowana na serwerach zlokalizowanych w Niemczech. Śledczy przeszukują teraz ponad osiem terabajtów przejętych danych, które mogą zawierać zapisy adresów portfeli, dzienniki komunikacji i metadane transakcji, które mogą łączyć operatorów eXch - i ich użytkowników - z działalnością przestępczą.
BKA uznało eXch nie za legalnego dostawcę usług finansowych, ale za narzędzie do "wymiany kryptowalut", które umożliwiało anonimowe i szybkie pranie aktywów cyfrowych, szczególnie o nielegalnym pochodzeniu. Prokuratorzy podkreślili, że tego typu infrastruktura stanowi poważne zagrożenie dla przejrzystości finansowej i egzekwowania AML.
Starszy prokurator Benjamin Krause stwierdził: "Wymiana kryptowalut jest istotnym składnikiem podziemnej gospodarki. Pozwala hakerom, carderom i aktorom darknetu na ukrywanie i ponowne wykorzystanie dochodów z ich przestępstw. Zlikwidowanie tych usług jest istotne dla zakłócenia finansowej warstwy cyberprzestępczości."
Kontekst regulacyjny i branżowy: ewoluujący krajobraz AML w
Europie
Konfiskata ma miejsce, gdy Unia Europejska przygotowuje się do wdrożenia swojego rozporządzenia o przeciwdziałaniu praniu brudnych pieniędzy (AMLR) do lipca 2027 roku, które wprowadzi surowe wymagania dotyczące KYC i zakazuje monet prywatnościowych na licencjonowanych platformach. Przypadek eXch ilustruje, dlaczego regulatorzy UE coraz bardziej martwią się zdecentralizowanymi i pseudonimowymi narzędziami, które plasują się poza istniejącymi regulacyjnymi perymetrami.
W ramach AMLR, platformy jak eXch - jeżeli chciałyby działać w EU - byłyby zobowiązane do weryfikacji tożsamości użytkowników, monitorowania interakcji portfeli i dzielenia się danymi transakcyjnymi z krajowymi Jednostkami Wywiadu Finansowego. Regulacja również uprawnia agencje do szybkiego działania przeciwko nie zarejestrowanym podmiotom działającym na terenie lub obsługującym obywateli UE.
Jednak egzekwowanie pozostaje złożone. Usługi jak eXch często działają jako modele hybrydowe, trasy przez scentralizowane i zdecentralizowane sieci, co utrudnia roszczenia jurysdykcyjne i pozwala im działać przez lata bez poddawania się kontroli.
Udane zatrzymanie przez BKA sygnalizuje ewolucję zdolności egzekwowania prawa i współpracy transgranicznej. To również odzwierciedla rosnącą presję na regulatorów, aby proaktywnie celować w nielegalną infrastrukturę kryptowalutową, zamiast czekać na zajścia hacków i próbować śledzić środki po fakcie.
Anonimowość vs. zgodność: debata nad usługami wymiany
Platformy jak eXch zajmują kontrowersyjne miejsce w ekosystemie kryptowalut. Z jednej strony, umożliwiają większą płynność, interoperacyjność łańcuchów i pseudonimowość - cechy, które wielu użytkowników uważa za istotne dla etosu kryptowalut. Z drugiej strony, są często wykorzystywane przez złośliwe podmioty dążące do obfuskacji pochodzenia skradzionych środków.
W przeciwieństwie do mixerów jak Tornado Cash, które polegają na mechanizmach obfuskacji opartych na smart kontraktach, eXch działało bardziej jak scentralizowany mixer bez kontroli zgodności, według analityków. Pozwalało użytkownikom na wymianę środków bez rejestracji, sprawdzeń KYC czy nawet dzienników kontrahentów. Konfiskata wyraźnie pokazuje, że nawet usługi nie-kustodialne lub o niskiej opiekuńczości znajdują się teraz na radarach agencji egzekwujących prawo.
Wyzwaniem dla regulatorów jest rozróżnienie technologii zwiększających prywatność od platform ułatwiających przestępcze działania, zwłaszcza gdy ta sama infrastruktura może być używana zarówno przez legalnych, jak i nielegalnych aktorów.
Koniec linii dla eXch
Stając w obliczu rosnącego nadzoru po ataku na Bybit, eXch ogłosiło publicznie w połowie kwietnia, że zakończy swoją działalność do 1 maja, powołując się na rosnącą presję ze strony agencji wywiadowczych i "wrogie środowiska regulacyjne."
W pożegnalnym poście na BitcoinTalk operatorzy platformy stwierdzili: "Mimo że mogliśmy działać pomimo niektórych nieudanych prób zamknięcia naszej infrastruktury, nie widzimy sensu w prowadzeniu działalności w wrogim środowisku, gdzie jesteśmy celem SIGINT tylko dlatego, że niektórzy nieprawidłowo interpretują nasze cele."
Zamykanie działalności, a następnie majowa konfiskata, sygnalizują efektywne zakończenie niemal dekady działalności eXch. Niemniej analitycy ostrzegają, że inne platformy o podobnej funkcjonalności prawdopodobnie pojawią się, aby zająć ich miejsce - o ile egzekwowanie prawa, regulacje i technologiczne zabezpieczenia nie będą się rozwijać równolegle.
Ostateczne myśli
Zatrzymanie eXch stanowi kolejny ważny kamień milowy w walce przeciwko praniu pieniędzy z wykorzystaniem kryptowalut, ale również uwypukla ograniczenia obecnych modeli egzekwowania. Aktorzy przestępczy stają się coraz bardziej wyrafinowani, polegając na mostach między łańcuchami, zdecentralizowanych giełdach, mixerach i wymianach krypto-do-krypto, aby obfuskować ślady i wypłacać środki.
Mając miliardy dolarów rocznie kradzione w kryptowalutach - rok 2025 już gromadzi jeden z najgorszych lat na rekordzie - eksperci ds. bezpieczeństwa twierdzą, że celowanie w infrastrukturę prania jest tak samo ważne jak obrona przed początkowymi hackami.
Obejmuje to budowanie lepszych systemów do monitorowania transakcji w czasie rzeczywistym, śledztwa na łańcuchu i koordynacji regulacyjnej w różnych jurysdykcjach, zwłaszcza gdy kryptowaluty coraz głębiej zakorzeniają się w globalnym systemie finansowym.
Jednocześnie, zniuansowane podejście do polityki jest niezbędne. Jak zauważają krytycy surowego nadzoru, zbyt restrykcyjne egzekwowanie AML może spowodować, że projektowane będą pod jurysdykcyjną arbitraż, osłabiając zarówno innowacje, jak i nadzór.
Krytyczna, że konfiskata 38 mln dolarów w kryptowalutach dokonana przez Niemcy w ramach operacji nad eXch wyróżnia się nie tylko rozmiarem, ale także tym, co ujawnia o lukach w regulacji kryptowalut i ewoluującej wyrafinowaniu metod prania pieniędzy.