Trotz des Herunterfahrens im April kann die Austausch -Krypto -Wäschetplattform im Stealth -Modus noch operieren

Sobald ein Anlaufpunkt gegen Hacker und Drainer tauschte, wurde der Börsen im April von der deutschen Polizei geschlossen-aber die fortgesetzte Aktivität schlägt die Geschichte vor

German authorities shut down crypto exchange eXch in April after years of allegedly facilitating money laundering activity for hackers and cybercriminals.

Die deutschen Behörden schließen den Krypto -Austausch im April im April nach Jahren der angeblich erleichterten Geldwäscheaktivitäten für Hacker und Cyberkriminale.

The platform, which never implemented Know Your Customer checks, was best known for its instant cryptocurrency swapper, allowing bad actors to fly under the radar.

Die Plattform, die nie implementiert wurde, kennt Ihre Kundenprüfungen am besten für den sofortigen Kryptowährungsaustausch und ermöglichte es schlechten Akteuren, unter dem Radar zu fliegen.

Among eXch’s clients was the Lazarus Group. The North Korean state-backed hacking unit thrust eXch into the spotlight back in February, when it used the platform to funnel some of the $1.4 billion it stole from crypto exchange Bybit.

Unter den Kunden von BEUT war die Lazarus -Gruppe. Die nordkoreanische staatlich unterstützte Hacking-Einheit schob im Februar im Rampenlicht ins Rampenlicht, als sie die Plattform nutzte, um einige der 1,4 Milliarden US-Dollar, die sie von Crypto Exchange Bybit gestohlen hat, zu übertragen.

When Bybit traced its stolen funds to eXch and requested assistance, the exchange refused. This led to a fierce discussion over privacy versus security, but ultimately, eXch announced it would close its doors on April 17.

Als Bitbit seine gestohlenen Mittel auf Börsen zurückführte und um Hilfe bat, lehnte die Börse ab. Dies führte zu einer heftigen Diskussion über Privatsphäre im Vergleich zu Sicherheit, aber letztendlich kündigte BEUT an, dass es am 17. April seine Türen schließen würde.

However, according to security firm TRM Labs, the platform may have continued operating in stealth mode after the takedown. Here’s the rise, fall and afterlife of alleged crypto laundromat eXch.

Laut TRM Labs der Sicherheitsfirma hat die Plattform jedoch möglicherweise nach dem Takedown im Stealth -Modus betrieben. Hier ist der Aufstieg, den Herbst und das Leben nach dem Tod des mutmaßlichen Krypto -Waschsalonbörsens.

eXch shuts front door, keeps back door unlocked

Bör

Alongside its shutdown announcement, eXch posted a message claiming it would not facilitate criminal proceeds. The post was removed within hours, and operations quietly resumed — signs of an internal disagreement or perhaps even a calculated attempt to lower visibility, according to TRM.

Neben seiner Ankündigung der Abschaltung veröffentlichte BEUT eine Nachricht, in der behauptet wurde, dass sie den Straferlös nicht erleichtern würde. Der Posten wurde innerhalb von Stunden entfernt und die Operationen wurden leise wieder aufgenommen - Anzeichen einer internen Meinungsverschiedenheit oder vielleicht sogar eines berechneten Versuchs, die Sichtbarkeit zu senken, laut TRM.

German authorities seized eXch’s servers and confiscated 34 million euros ($38 million) in crypto, along with more than eight terabytes of data, effectively dismantling its public-facing infrastructure.

Die deutschen Behörden beschlagnahmten die Server von BEUT und beschlagnahmten 34 Millionen Euro (38 Millionen US-Dollar) in Krypto sowie mehr als acht Terabyte Daten, wodurch die öffentlich ausgerichtete Infrastruktur effektiv abgebaut wurde.

Related: North Korean spy slips up, reveals ties in fake job interview

Verwandte: Nordkoreanische Spion wird ausrutscht, enthüllt Krawatten im gefälschten Vorstellungsgespräch

“Just like we saw with Garantex rebranding as Grinex, eXch didn’t fully die after the shutdown. It quietly kept servicing a handful of partners via API, which meant laundering activity continued even after the public takedown,” said Jeremiah O’Connor, co-founder and chief technology officer of security firm Trugard.

„Genau wie wir bei Garantex Rebranding als Grinex gesehen haben, starb Börse nach der Abschaltung nicht vollständig. Es war stillschweigend eine Handvoll Partner über die API, was bedeutete, dass die Wäscheaktivität auch nach dem öffentlichen Takedown fortgesetzt wurde“, sagte Jeremiah O'Connor, Mitbegründer und Chief Technology Officer der Sicherheitsfirma Trugard.

O’Connor added that it’s not unlikely for such platforms to serve loyal customers even after seizures.

O'Connor fügte hinzu, dass es für solche Plattformen nicht unwahrscheinlich ist, loyale Kunden auch nach Anfällen zu bedienen.

“The people behind eXch.ch took full advantage of operating across multiple countries. The domain was registered through a UK-based provider, listed Switzerland as an admin location, hosted infrastructure in France, and had servers seized in Germany,” O’Connor said.

"Die Personen hinter dem Austausch nutzten den Betrieb in mehreren Ländern voll aus. Die Domain wurde über einen in Großbritannien ansässigen Anbieter registriert, die Schweiz als Administrator-Standort, die Infrastruktur in Frankreich veranstaltet und in Deutschland die Server beschlagnahmt", sagte O'Connor.

It’s still unclear if eXch will kill its API or come back under a new name. TRM said in the May 2 blog post that the platform’s remaining back-end access continued to provide anonymization infrastructure for threat actors.

Es ist immer noch unklar, ob Börse seine API tötet oder unter einen neuen Namen zurückkommt. TRM sagte im Blog-Beitrag vom 2. Mai, dass der verbleibende Back-End-Zugriff der Plattform weiterhin Anonymisierungsinfrastruktur für Bedrohungsakteure bietet.

No KYC, pooled liquidity draws illicit funds to eXch

Kein KYC, gepoolte Liquidität zieht illegale Mittel zum Austausch an

EXch’s origins trace back to 2014, according to “Fantasy,” lead investigator at crypto insurance firm Fairside Network. In an October 2024 investigation, Fantasy identified the platform’s first public appearance as a BitcoinTalk forum account promoting automatic swaps between Bitcoin (BTC), Perfect Money and BTC-e vouchers — payment methods commonly associated with high-risk transactions.

Laut „Fantasy“, leitender Ermittler bei der Crypto Insurance Fairside Network, ist die Ursprünge von Börsen zu 2014 zurück. In einer Untersuchung im Oktober 2024 identifizierte Fantasy das erste öffentliche Erscheinungsbild der Plattform als BitCointalk-Forum-Konto, das automatische Swaps zwischen Bitcoin (BTC), perfektem Geld und BTC-E-Gutscheinen fördert-Zahlungsmethoden, die üblicherweise mit Hochrisikotransaktionen verbunden sind.

Fantasy also traced the original Bitcoin wallet tied to eXch and found it was likely funded via BTC-e, the now-defunct crypto exchange shuttered by US authorities in 2017 for its role in laundering criminal proceeds.

Fantasy verfolgte auch die ursprüngliche Bitcoin-Brieftasche, die mit dem Börsen verbunden war, und stellte fest, dass sie wahrscheinlich über BTC-E finanziert wurde, dem inzwischen nicht mehr existierenden Krypto-Austausch, der 2017 von den US-Behörden für seine Rolle bei der Wäsche von Straferlöbern geschlossen wurde.

Fantasy’s forensic research found that the modernized form of eXch emerged in 2022, when its Ethereum hot wallet was first funded. Not long after, it became a hub for prominent crypto drainers.

Die forensische Forschung von Fantasy ergab, dass die modernisierte Form des Austauschs im Jahr 2022 entstand, als das Ethereum Hot Wallet erstmals finanziert wurde. Nicht lange danach wurde es ein Drehscheibe für prominente Krypto -Drainer.

Monkey Drainer — the first known large-scale drainer-as-a-service operator — used eXch before its retirement. Other draining service providers like Pink Drainer and Inferno Drainer also passed funds through the platform, along with several major exploiters.

Der Affenabfluss-der erste bekannte großflächige Drainer-AS-A-Service-Operator-wurde vor seiner Pensionierung Börsen verwendet. Andere Anbieter von Draining -Dienstleistern wie Pink Drainer und Inferno Drainer haben sowie mehrere große Ausbeuter über die Plattform über die Plattform übertragen.

EXch required no identity verification, allowing users to move funds with anonymity. That made it an attractive tool for cybercriminals looking to clean stolen assets.

Börsen erforderte keine Identitätsüberprüfung, sodass Benutzer Mittel mit Anonymität verschieben können. Das machte es zu einem attraktiven Werkzeug für Cyberkriminelle, die gestohlene Vermögenswerte reinigen wollten.

“EXch managed to stay active for years — despite facilitating obvious illicit activity — because there’s still a big gap between what regulators ‘can’ do and how fast technology is moving,” Amit Levin, former investigator at Binance, told Cointelegraph.

"Auch hat es geschafft, jahrelang aktiv zu bleiben - obwohl es offensichtliche illegale Aktivitäten erleichtert, weil es immer noch eine große Lücke zwischen dem, was die Aufsichtsbehörden" tun können, und wie schnell die Technologie bewegt ", gegenüber CoinTelegraph.

The platform also drew confidence from threat actors by using a pooled liquidity system that blended user deposits and withdrawals, making it difficult for investigators and law enforcement to trace the flow of funds.

Die Plattform gewann auch Vertrauen von Bedrohungsakteuren, indem sie ein gepooltes Liquiditätssystem einsetzte, das Benutzereinlagen und -abhebungen verband, was es den Ermittlern und Strafverfolgungsbehörden schwer macht, den Mittelfluss zu verfolgen.

When eXch knew and did nothing

Als Börse nichts wusste und nichts tat

EXch denied laundering funds for North Korean crypto hackers, and in its shutdown notice, it framed the project as an attempt by privacy enthusiasts to “restore balance” in the industry. It criticized Anti-Money Laundering enforcement and condemned companies offering address risk scoring APIs as “parasites” profiting off government fear.

Börsen bestritt die Wäschemonds für nordkoreanische Krypto -Hacker und beanstandete das Projekt als Versuch von Datenschutzbegeisterten, das Gleichgewicht in der Branche wiederherzustellen. Es kritisierte, dass die Durchsetzung der Geldwäsche gegen Geldwäsche und verurteilte Unternehmen verurteilte, die APIs mit Adressrisiken als „Parasiten“ anbieten, die von der Angst vor der Regierung profitieren.

“Service providers in the crypto space are, for the most part, not decentralized; that is, they retain control over or access to customers’ assets, as demonstrated in the case of eXch,” Gal Arad Cohen, partner at S. Horowitz & Co, told Cointelegraph.

"Dienstanbieter im Krypto -Bereich sind größtenteils nicht dezentralisiert. Das heißt, sie behalten die Kontrolle über oder den Zugang zu Kundenvermögen, wie im Fall von Börsen gezeigt", sagte Gal Arad Cohen, Partner bei S. Horowitz & Co, gegenüber CoinTelegraph.