In der Welt der Kryptowährungen ist Privatsphäre ein zentrales Thema. Krypto-Mixer wie Railgun werden genutzt, um Transaktionen zu verschleiern und die Identität von Nutzern zu schützen. Durch die Mischung von digitalen Coins wird die Herkunft der Gelder verschleiert, sodass Transaktionen kaum zurückzuverfolgen sind. Im Jahr 2022 landete der Krypto-Mixer Tornado Cash auf der schwarzen Liste des US-Finanzministeriums, da ihm vorgeworfen wurde, Milliarden für kriminelle Gruppen, darunter die nordkoreanische Hackergruppe Lazarus, gewaschen zu haben.

Die Lazarus-Gruppe soll laut US-Behörden Mixer wie Blender.io, Tornado Cash, Railgun und Sinbad.io genutzt haben, um gestohlene Kryptowährungen zu waschen. Mixer werden häufig genutzt, um gestohlene Gelder aus Blockchain-Anwendungen wie dem Online-Spiel Axie Infinity oder der Harmony-Bridge zu verschleiern. Die Lazarus-Gruppe hat Berichten zufolge Kryptowährungen im Wert von über 3 Mrd. US-$ erbeutet.

Eine von Forbes durchgeführte Untersuchung zeigt, dass Railgun auffällig oft genutzt wurde, um diese gestohlenen Gelder zu verschleiern. Trotz der Vorwürfe wurde Railgun, im Gegensatz zu den anderen Mixern, bisher nicht sanktioniert. Neue Daten deuten jedoch darauf hin, dass das Unternehmen Digital Currency Group (DCG), das unter anderem den 25 Mrd. US-$ schweren Kryptofonds Grayscale betreibt, von den Geldströmen bei Railgun profitiert hat. Zwischen Juni 2023 und heute erhielt DCG 436.906 US-$ an Gebühren von Railgun – etwa 18 Prozent des gesamten Railgun-Gebühreneinkommens von 2,4 Mio. US-$ in diesem Zeitraum. Laut dem Analyseunternehmen Elliptic könnte Railgun 2023 für bis zu 60 Mio. US-$ an Geldwäscheaktivitäten der Lazarus-Gruppe genutzt worden sein.

Eine Stellungnahme von DCG blieb aus, und auch Railgun reagierte nicht auf Anfragen.

Der Harmony-Hack
Im Juni 2022 stahl die Lazarus-Gruppe laut FBI 100 Mio. US-$ an Kryptowährungen aus der Harmony-Blockchain-Brücke, indem sie die Zugangsdaten eines Administrators kompromittierte. Nach monatelangem Stillstand wurden die gestohlenen Gelder im Januar 2023 zu Railgun verschoben. Die Transaktionen erfolgten in 71 Schritten über 184 Zwischenkonten und wurden schliesslich auf die Börsen Huobi, Binance und OKX verteilt.

DCGs Investment in Railgun
DCG hatte im Januar 2022 10 Mio. US-$ in Railgun investiert und erhielt dafür 5 Millionen RAIL-Token. Diese Token wurden gestaked, das heisst, sie wurden als Sicherheiten im Netzwerk hinterlegt, um an Entscheidungen teilnehmen und Netzwerkgebühren erhalten zu können. Zusätzlich spendete DCG 7,1 Mio. US-$ in Form der Stablecoin DAI an Railguns Treasury. Aus der Untersuchung geht hervor, dass DCG im Januar 2023 auf bis zu 260.000 US-$ an Gebühren, die mutmasslich aus Geldwäsche-Aktivitäten stammten, Anspruch gehabt hätte. DCG wartete jedoch bis Juni 2023, um seine Gebühren abzurufen.

Blockchain-Experte Jonathan Reiter erklärt, dass „die blosse Verzögerung beim Abruf von Gebühren aus mutmasslichen Geldwäscheaktivitäten die Sache nicht weniger illegal macht“. Laut Analyst Matthew Sampson ist die Auszahlung von Railgun-Gebühren automatisiert – DCG stand das Geld also unabhängig vom Zeitpunkt des Abrufs zu.

Compliance-Herausforderungen im DeFi-Bereich
DCGs Beteiligung an Railgun zeigt, wie schwer es für dezentrale Finanzplattformen (DeFi) ist, die Balance zwischen Privatsphäre und Gesetzeskonformität zu wahren. Nach US-Recht sind Krypto-Dienste dazu verpflichtet, sicherzustellen, dass sie keine Transaktionen durchführen, die gegen Sanktionen verstossen. Laut IRS-Spezialisten muss jede Plattform kontrollieren, was auf ihr geschieht, um kriminelle Aktivitäten zu verhindern.

Die Durchsetzung dieser Gesetze gestaltet sich jedoch schwierig. Die amerikanische Finanzaufsichtsbehörde FinCEN ist chronisch unterbesetzt, und es gibt tausende Fälle von Finanzkriminalität, die bearbeitet werden müssen. Railgun selbst versucht, seine Compliance zu verbessern, indem es mit Chainway Labs kooperiert und die sogenannte „Proof of Innocence“-Technologie implementiert, die Nutzern erlaubt, die saubere Herkunft ihrer Token zu belegen.

Letztendlich, so Patrick Tan von ChainArgos, „wird ein vollständig dezentralisiertes System nie vollständig konform sein – die Kriminellen sind der Technologie immer einen Schritt voraus.“

Text: Javier Paz
Foto: Traxer