Wie wir THORChain-Swaps forensisch zurückverfolgen

Cross-Chain-Swaps sind eine der schwierigsten Herausforderungen für die Blockchain-Forensik. Sobald Coins eine Chain verlassen, helfen klassische UTXO-Heuristiken nicht mehr weiter — die Spur „verschwindet" aus Sicht eines reinen Bitcoin-Clustering-Tools. THORChain ist dabei eines der populärsten Protokolle: nativ, dezentral, ohne Wrapper-Tokens, unterstützt BTC ↔ ETH, BNB, AVAX, ATOM, DOGE, LTC, BCH.

In diesem Beitrag zeigen wir, wie Coinator THORChain-Swaps erkennt und — mit gewisser Wahrscheinlichkeit — über die Chain-Grenze hinweg rekonstruiert.

Wie THORChain funktioniert (Kurzfassung)

Bei einem Swap zahlt der Nutzer auf der Ursprungs-Chain (z. B. BTC) auf eine Vault-Adresse ein. THORNodes beobachten den Einzahlungs-TX, poolen ihn und führen auf der Ziel-Chain eine Auszahlung durch. Die Vault-Adressen rotieren regelmäßig (Churn-Mechanismus), werden aber öffentlich kommuniziert — das ist der Ansatzpunkt.

Kritische Eigenschaften für die Forensik:

• Vault-Adressen sind vorhersagbar und öffentlich (thornode.ninerealms.com u. a.)
• Jeder Swap hat ein Memo-Feld (BTC-OP_RETURN oder Ethereum-Calldata), in dem Absender Ziel-Chain und Ziel-Adresse codiert
• Timing zwischen Ein- und Auszahlung liegt typischerweise bei Sekunden bis Minuten

Unsere Erkennungs-Heuristiken

Schritt 1 — Vault-Adress-Matching

Coinator pflegt eine laufend aktualisierte Liste aller historischen und aktuellen THORChain-Vault-Adressen. Jede Einzahlung an eine solche Adresse wird sofort als potenzieller Swap markiert.

Schritt 2 — Memo-Dekodierung

Die BTC-Einzahlung enthält in einem OP_RETURN-Output ein Memo im Format SWAP:ETH.ETH:0xEmpfaengerAdresse:Mindestbetrag. Coinator parst dieses Memo und extrahiert:

• Ziel-Chain
• Ziel-Adresse
• Mindest-Output (für Slippage-Schutz)

Schritt 3 — Timing-Korrelation

Auf der Ziel-Chain wird die korrespondierende Auszahlung gesucht:

• Empfänger-Adresse stimmt mit Memo überein
• Zeitfenster 1–15 Minuten
• Betrag passt (modulo Gebühren und Slippage) zum Einzahlungs-Wert in Ziel-Währung

Bei Übereinstimmung wird die Cross-Chain-Verknüpfung mit Konfidenz-Score dokumentiert.

Was das Ganze praktisch bedeutet

Ein anonymisiertes Beispiel aus einer Ermittlung:

Ransomware-Opfer zahlt 3,8 BTC an eine Erpresser-Adresse. Die Coins werden über drei Peel-Chain-Hops gesplittet, dann gehen 1,1 BTC an einen THORChain-Vault mit Memo SWAP:ETH.ETH:0xabc.... Coinator identifiziert die entsprechende ETH-Auszahlung bei 0xabc... und folgt weiter auf Ethereum-Seite — bis der Empfänger schließlich einen DEX-Aggregator nutzt und die Mittel in Stablecoins tauscht.

Die rekonstruierte Kette endet nicht an der BTC/ETH-Grenze — sie geht für Ermittler zwei Chains weiter. Das ist der entscheidende Unterschied zu rein Bitcoin-fokussierten Tools.

Die Grenzen

So präzise die Heuristik ist — sie ist nicht unfehlbar:

• Wenn ein Angreifer einen „Pass-Through"-Nutzer als Proxy verwendet (bezahlt jemanden, der in seinem Namen swappt), wird die Verknüpfung schwerer.
• Bei extremer Slippage (z. B. bei seltenen Pool-Paaren) werden Timing/Betrag weniger eindeutig.
• Memos mit fehlerhaftem Format führen zu Default-Rückerstattung, was forensisch anders aussieht.

Deshalb liefert Coinator für jede Cross-Chain-Verknüpfung einen Konfidenz-Score und die zugrundeliegenden Beweisstücke — nicht eine Ja/Nein-Behauptung.

Chainflip, Bridgers und andere

Dieselbe methodische Grundstruktur (Vault-Matching, Memo-/Calldata-Dekodierung, Timing-Korrelation) wenden wir auch für Chainflip und für den Bridgers-Aggregator an. Details zu allen Cross-Chain-Heuristiken finden Sie in unserer Methodik-Übersicht.