Methodik & Verfahren

Adressen, die in einer Transaktion gemeinsam als Inputs erscheinen, gehören mit hoher Wahrscheinlichkeit derselben Entität. Basis-Heuristik der Blockchain-Forensik.

• Common-Input-Ownership (Sharedspending)
• Co-Spending-Analyse über mehrere Transaktionen
• Sub-Sharedspending bei partiellen Ausgaben
• Kann durch CoinJoins und Mixer unterlaufen werden

Erkennung der Rückgeld-Ausgabe bei Bitcoin-Transaktionen. Change-Adressen gehören dem Absender und erweitern das Cluster.

• Round-Number-Heuristik (runde Zahlbeträge vs. krumme Change)
• Optimal-Change-Heuristik (nicht-optimaler Output = Change)
• Fresh-Address-Detection (neue, unbenutzte Adresse = Change)
• Peel-Chain-Erkennung (wiederholtes Aufbrechen großer Beträge)

Erkennung kollaborativer Transaktionen, um CoinJoins nicht irrtümlich zu clustern. Einsatz in Kombination mit den Multi-Input-Heuristiken.

• Equal-Output-CoinJoin (Wasabi, Samourai Whirlpool)
• JoinMarket-Detektor (Maker-Taker-Muster)
• Wasabi-Wallet-Signatur (ZeroLink-Koordination)
• PayJoin- / BIP-78-Detektor (Sender-Receiver-Kooperation)

Identifikation klassischer Mixing-Dienste anhand ihrer typischen Ein- und Ausgangs-Muster.

• ChipMixer-Pattern (2^x-Chip-Größen)
• Sinbad- / Blender-Pattern
• Chipping-Pattern (Splitting in Standard-Größen)
• Tornado-Cash-Bridge (Rückführung aus EVM-Mixern)
• Vortex- / Helix-Pattern (Timing-basiert)

Cross-Chain-Swaps erlauben den direkten Tausch von Coins zwischen unterschiedlichen Blockchains — ohne zentrale Börse und damit ohne KYC. Ursprünglich für Arbitrage gedacht, werden sie zunehmend zur Verschleierung der Herkunft genutzt. Unser Coinator erkennt die typischen On-Chain-Muster mehrerer etablierter Protokolle.

• THORChain (BTC ↔ ETH, BNB, AVAX, ATOM, DOGE, LTC, BCH)
• Chainflip (BTC ↔ ETH, SOL, Arbitrum, Polkadot)
• Bridgers-Aggregator (BTC ↔ diverse EVM- und Non-EVM-Chains)

Wiederkehrende zeitliche Muster verraten Wallet-Eigenschaften — privat vs. Dienst, Region, Nutzungstyp.

• Wallet-Aktivitäts-Zeitfenster (Tageszeit- oder Wochentag-Cluster)
• Regelmäßige Eingänge (Salary-Pattern)
• Dust-Attack-Erkennung (forensische Tracking-Versuche)
• Gehäuftes Ausgabeverhalten (Burst-Spending)

Analyse der Graph-Struktur: Wer fließt wohin, mit wie vielen Zwischenstationen?

• Fan-out-Analyse (Layering-Schichten)
• Fan-in-Analyse (Aggregations-Knoten)
• Peel-Chain-Traversierung (lange Ketten kleiner Abflüsse)
• Temporal-Transaction-Sequencing (zeitlich gekoppelte Ketten)

Erkennung der Entitätstypen hinter Adressen: Börse, Mining-Pool, Payment-Gateway, Custodian.

• Exchange-Fingerprinting (typische Hot-Wallet-Muster)
• Mining-Pool-Coinbase-Detektion (Payout-Patterns, Coinbase-Messages)
• Payment-Provider-Pattern (BitPay, NowPayments, Strike …)
• ETF-Custodian-Pattern (Coinbase-Custody, Gemini-Custody u. a.)

Verfolgung „kontaminierter" Coins durch die Blockchain — zentrales Konzept für Mittelherkunfts-Prüfungen und AML.

• Poison-Taint (jede Verknüpfung färbt vollständig)
• Haircut-Taint (proportional nach Fraktion)
• FIFO (First-In-First-Out nach Eingangs-Zeit)
• LIFO (Last-In-First-Out nach Eingangs-Zeit)

Ergänzende Heuristiken, die gezielt einzelne Aspekte beleuchten.

• Address-Reuse-Detection (Mehrfach-Nutzung als Wallet-Alter-Indikator)
• Wallet-Software-Fingerprinting (z.B. Electrum, Trezor, Ledger, ...)
• KI-basierte Verfahren zur noch besseren Wechselgeld-Adress-Erkennung
• Machine-Learning-Verfahren zur präzisen Ausreißererkennung