Cross-Chain Swaps rekonstruieren: Wie Blockchain-Forensiker Krypto-Transfers über Bridges weiterverfolgen

In vielen Blockchain-Ermittlungen entsteht ein scheinbarer Endpunkt, sobald Vermögenswerte an einen Bridge- oder Swap-Dienstleister übertragen werden. Die Transaktion zeigt einen bekannten Service. Das Analyse-Tool weist eine Plattform aus. Der sichtbare Token-Transfer endet an einer Adresse, die als Bridge, Router oder Wallet-Dienst gelabelt ist. Für viele Ermittler ist an dieser Stelle Schluss. Aus forensischer Sicht ist genau dieser Punkt jedoch häufig der Beginn einer tieferen Analyse. Denn Cross-Chain-Transaktionen enthalten oft mehr Informationen, als in der Standardansicht einer On-Chain-Analyseplattform sichtbar wird.

„Eine Bridge ist nicht automatisch das Ende der Spur. Häufig ist sie nur der Übergang in eine andere technische Darstellung.“

Kurz erklärt: Wie lassen sich Cross-Chain Swaps rekonstruieren?

Cross-Chain Swaps können rekonstruiert werden, indem die ursprüngliche Transaktion auf der Quellchain analysiert, die Event Logs des Bridge- oder Swap-Kontrakts ausgewertet und die Zielchain über Parameter wie dstChainId identifiziert werden. Anschließend müssen Empfängeradresse und Zieltoken gegebenenfalls in das Adressformat der Zielchain konvertiert und mit Transaktionen auf dem passenden Zielchain-Explorer abgeglichen werden. Im untersuchten Beispiel zeigt Etherscan nicht nur einen USDT-Transfer an Bitget Wallet: Swap Bridge, sondern in den Logs auch die Zielchain TRON, die Zieladresse und das Zieltoken.

Was ist eine Bridge?

Eine Blockchain-Bridge ist ein technischer Dienst, der Vermögenswerte zwischen unterschiedlichen Blockchains bewegt.

Dabei findet nicht zwingend ein einfacher Transfer von Wallet A zu Wallet B statt. Je nach Architektur werden Assets auf der Quellchain in einen Kontrakt eingezahlt, in einem Liquiditätspool verrechnet, über einen Solver geroutet oder auf der Zielchain durch ein entsprechendes Asset ausgezahlt.

Für Nutzer sind Bridges Komfortfunktionen. Für Ermittler sind sie analytische Übergangspunkte.

Ausgangslage der Beispieltransaktion

Die untersuchte Ethereum-Transaktion lautet:

• 0x231b6bacc6bb15c9df7e8fc6ec8ecdd08ffe33900599b23658243cfd94073c98

In der normalen Transaktionsansicht ist sichtbar, dass 78.000 USDT übertragen wurden.

Der Absender war:

• 0x91Be42767923E7Bc342316cEC7E3402c8362B11D

Interagiert wurde mit:

• 0x22cE84A7F86662b78E49C6ec9E51D60FddE7b70A

Dieser Kontrakt ist auf Etherscan als Bitget Wallet: Swap Bridge gelabelt.

Für eine oberflächliche Analyse sieht der Fall damit zunächst klar aus: USDT wurden an einen Bridge-Dienst übertragen.

Aber diese Darstellung ist unvollständig.

Warum die Standardansicht nicht ausreicht

Die Standardansicht eines Explorers oder Analyse-Tools zeigt häufig nur den offensichtlichsten Teil einer Transaktion.

Im Beispiel ist das der ERC-20-Transfer von USDT.

Was dort nicht unmittelbar als Ermittlungsweg sichtbar wird, sind die Bridge-spezifischen Zusatzinformationen. Diese befinden sich in den Transaction Receipt Event Logs.

Dort werden technische Ereignisse dokumentiert, die ein Smart Contract während der Ausführung ausgibt. Für normale Nutzer sind diese Logs oft irrelevant. Für Blockchain-Forensiker können sie fallentscheidend sein.

„Wer nur den Token-Transfer betrachtet, sieht den Eingang in die Bridge. Wer die Logs auswertet, sieht den möglichen Ausgang auf der Zielchain.“

Der entscheidende Hinweis in den Logs

In den Logs der Beispieltransaktion findet sich ein Event mit der Bezeichnung BKBridge.

Dieses Event enthält unter anderem folgende Felder:

• vaultReceiver
• sender
• receiver
• srcToken
• dstToken
• srcChainId
• dstChainId
• amount
• timestamp

Diese Felder beschreiben nicht nur, dass Assets an einen Bridge-Kontrakt übertragen wurden. Sie enthalten Hinweise darauf, wohin die Assets im Rahmen des Cross-Chain-Vorgangs weitergeleitet werden sollten.

Besonders relevant sind:

• sender: 0x91Be42767923E7Bc342316cEC7E3402c8362B11D
• receiver: 0x5638DB18F545391903d8d554dc7292B6A338D713
• srcToken: 0xdAC17F958D2ee523a2206206994597C13D831ec7
• dstToken: 0xa614f803B6FD780986A42c78Ec9c7f77e6DeD13C
• srcChainId: 1
• dstChainId: 728126428
• amount: 78000000000

Da USDT auf Ethereum sechs Dezimalstellen verwendet, entspricht dieser Wert 78.000 USDT.

Warum die Zieladresse konvertiert werden muss

Ein häufiger Stolperstein bei Cross-Chain-Analysen ist das Adressformat.

TRON-Adressen werden in der Praxis meist im Base58Check-Format dargestellt und beginnen häufig mit T.

In den Logs kann die Zieladresse jedoch in einem hexadezimalen Format erscheinen, das wie eine Ethereum-Adresse aussieht:

• 0x5638DB18F545391903d8d554dc7292B6A338D713

Für eine Weiteranalyse auf TRON muss diese Adresse in das TRON-kompatible Format konvertiert werden.

Im Beispiel ergibt sich daraus:

• THq7DyDfkuS1hvwjyF6bK6zeqxUNZ7ykcy

Auch das Zieltoken lässt sich konvertieren:

• 0xa614f803B6FD780986A42c78Ec9c7f77e6DeD13C

entspricht auf TRON:

• TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t

Diese Adresse ist als USDT-Tokenadresse auf TRON bekannt.

Damit wird aus einem scheinbaren Endpunkt wieder ein analysierbarer Transaktionspfad.

Warum Ermittler manchmal das Haupttool verlassen müssen

Professionelle Analyseplattformen sind unverzichtbar. Sie helfen bei Wallet-Clustering, Risikobewertung, Exchange-Erkennung, Visualisierung und Fallstrukturierung.

Trotzdem gibt es Situationen, in denen ein Analyst das Haupttool kurzfristig verlassen muss.

Das ist insbesondere dann der Fall, wenn:

• ein Bridge-Protokoll nicht vollständig unterstützt wird
• eine Cross-Chain-Konvertierung nicht automatisch dargestellt wird
• Nicht-EVM-Chains beteiligt sind
• Event Logs manuell ausgewertet werden müssen
• spezielle Adresskonvertierungen erforderlich sind
• Explorer-Daten, Dokumentationen oder OSINT-Quellen ergänzend benötigt werden

Das ist kein Widerspruch zur Tool-Nutzung. Es ist operative Blockchain-Forensik .

„Tools liefern Sichtbarkeit. Forensische Analyse entsteht dort, wo Daten richtig eingeordnet werden.“

Warum „Bubbling“ keine forensische Analyse ersetzt

In der Praxis ist bei unerfahrenen Analysten häufig ein Muster zu beobachten, das als „Bubbling“ bezeichnet wird.

Gemeint ist damit das rein lineare Weiterverfolgen von Transaktionen, bis ein scheinbarer Endpunkt erreicht ist. Häufig ist das eine gelabelte Exchange, ein Bridge-Dienst, ein Swap-Router oder eine bekannte Service-Adresse.

Dabei werden Transaktionen zwar grafisch weitergeklickt, aber nicht ausreichend analysiert.

Aus forensischer Sicht ist Bubbling problematisch, weil es den Eindruck einer Analyse erzeugt, ohne die relevanten Daten tatsächlich auszuwerten.

„Bubbling zeigt, wohin ein Tool grafisch führt. Forensische Analyse prüft, was die Transaktionsdaten tatsächlich bedeuten.“

Gerade bei Bridges und Cross-Chain-Swaps führt Bubbling häufig zu falschen Endpunkten. Eine Adresse wie Bitget Wallet: Swap Bridge kann dann wie das Ende der Spur wirken, obwohl die Event Logs bereits Informationen zur Zielchain, Zieladresse und zum Zieltoken enthalten.

Im untersuchten Beispiel wäre eine Bubbling-Analyse beim gelabelten Bridge-Kontrakt stehen geblieben. Die operative Analyse beginnt jedoch genau dort: in den Logs, in den dekodierten Parametern und in der technischen Rekonstruktion des Cross-Chain-Vorgangs.

Die forensische Bedeutung für Ermittler, Kanzleien und Compliance-Teams

Cross-Chain-Swaps sind in Betrugs-, Geldwäsche- und Verschleierungsfällen besonders relevant.

Wenn ein Fall an einer Bridge scheinbar endet, können dahinter weitere verwertbare Informationen liegen:

• Zieladresse auf einer anderen Chain
• tatsächliches Zielasset
• nachgelagerte Transfers
• Exchange-Einzahlungen
• weitere Wallet-Cluster
• Verbindung zu anderen Opferströmen
• Ansatzpunkte für Freeze- oder Auskunftsersuchen
• belastbare Beweismittel für Kanzleien oder Behörden

Gerade bei zeitkritischen Fällen kann dieser Unterschied erheblich sein.

Wird die Zielchain frühzeitig erkannt, können weitere Maßnahmen strukturierter vorbereitet werden. Dazu gehören die Sicherung der relevanten Transaktionsdaten, die Dokumentation der technischen Rekonstruktion und die Kommunikation mit professionellen Gegenstellen.

Was Blockchain-Forensik leisten kann und was nicht

Blockchain-Forensik kann Transaktionen analysieren, Zahlungsflüsse rekonstruieren, Wallet-Strukturen untersuchen und technische Beweise sichern.

Sie kann aber keine Rückholung von Kryptowerten garantieren.

Auch ersetzt sie keine rechtliche Beratung und keine behördlichen Ermittlungsbefugnisse. Juristische Schritte müssen durch Rechtsanwälte und Behörden geprüft und umgesetzt werden.

Die Aufgabe operativer Blockchain-Forensik liegt darin, die technische Grundlage zu schaffen: nachvollziehbar, dokumentiert und belastbar.

Was Betroffene oder Fallbearbeiter sichern sollten

Wenn in einem Fall eine Bridge- oder Swap-Transaktion auftaucht, sollten möglichst früh folgende Informationen gesichert werden:

• Transaktionshash
• betroffene Wallet-Adressen
• Token und Beträge
• Zeitpunkte der Transaktionen
• Screenshots der Explorer-Ansichten
• Event Logs
• beteiligte Smart Contracts
• bekannte Labels von Analyseplattformen
• Kommunikation mit Tätern oder Gegenparteien
• Hinweise auf Exchanges oder Dienstleister
• bereits vorhandene Reports oder Graphen

Je früher diese Daten gesichert werden, desto besser kann eine spätere Analyse nachvollzogen werden.

Lassen Sie Cross-Chain-Spuren professionell prüfen

Wenn eine Transaktionsspur bei einer Bridge, einem Swap-Router oder einem bekannten Service-Cluster endet, ist der Fall nicht automatisch abgeschlossen. AQ Forensics prüft Cross-Chain-Transaktionen, rekonstruiert Bridge- und Swap-Vorgänge, wertet Event Logs aus und erstellt belastbare Analyseunterlagen für Unternehmen, Kanzleien, Geschädigte und professionelle Fallbearbeiter.

Schlussbemerkung

Der vorliegende Fall zeigt, warum moderne Blockchain-Ermittlungen nicht an der Oberfläche enden dürfen.

Eine Standardansicht kann den Eindruck vermitteln, dass Vermögenswerte lediglich an einen Bridge-Dienst übertragen wurden. Die Event Logs zeigen jedoch, dass weitere technische Informationen vorhanden sein können: Zielchain, Empfängeradresse, Zieltoken, Betrag und Zeitstempel.

Erfahrene Analysten erkennen solche Hinweise, konvertieren Adressformate, prüfen Zielchains und rekonstruieren den weiteren Zahlungsfluss.

Genau darin liegt der Unterschied zwischen Bubbling und operativer Blockchain-Forensik:

Nicht das Weiterklicken bis zum nächsten Label ist entscheidend, sondern die technische Auswertung der Transaktionsdaten.

Über den Autor

Albert Quehenberger leitet internationale Untersuchungen im Bereich Kryptowährungsbetrug, Blockchain-Forensik und digitale Vermögensanalysen.

Der Schwerpunkt seiner Arbeit liegt auf der Analyse transnationaler Scam-Infrastrukturen, Wallet-Tracking, Geldwäscheprozessen sowie der strukturierten Untersuchung organisierter Kryptokriminalität.

Albert Quehenberger

Founder & CEO AQ Forensics

Quellen & weiterführende Informationen

• Etherscan: Ethereum-Transaktion 0x231b6bacc6bb15c9df7e8fc6ec8ecdd08ffe33900599b23658243cfd94073c98
• Tronscan: Öffentlicher Blockchain-Explorer für die Validierung der TRON-Zielchain und TRON-kompatibler Adressen
• Crystal Intelligence: Ergänzende Analyseumgebung für Wallet-Flows, Service-Exposures und Transaktionsgraphen
• Bitget Wallet Developer Documentation: Cross-Chain-Log-Felder und Chain-ID-Zuordnung, einschließlich trx: 728126428