Der Hashflare Fall
Wir haben den Hashflare Betrugsfall für eine Veröffentlichung hier ausgewählt, da er beispielhaft für viele Betrugsfälle steht, welche das gleiche Prinzip nutzen. Das sogenannte Cloud Mining. Hierbei wird Rechenleistung an Kunden verkauft, welche für das Mining von Kryptowährungen verwendet wird. Im Betrugsfall ist diese Rechenleistung aber nicht vorhanden, oder nicht in dem Umfang vorhanden, in welchem sie verkauft wird und die angeblich erwirtschafteten Gewinne werden durch die Einzahlungen anderer Kunden finanziert. Es handelt sich hierbei also um ein klassisches Ponzi-, bzw. Pyramiden-Schema.
Leider sind Kryptowährungen hierfür geradezu wie geschaffen, da im Gegensatz zu beispielsweise einem gemieteten Webserver in der Cloud, das tatsächliche Vorhandensein der gemieteten Rechenleistung für einen Laien nur schwer zu überprüfen ist. Der Nachweis über ein zugrunde liegendes Ponzi Schema, also die Gewinnausschüttungen an die Kunden aus den Einzahlungen anderer Kunden und das Fehlen von Coinbase Transaktionen 1, ist mit Mitteln der Kryptoforensik hingegen recht einfach nachzuweisen.
Die Betreiber von Hasflare.io haben bereits vor dem Cloud Mining Betrug einen weiteren Betrug durch den Verkauf von angeblicher Mininghardware begangen, welche nie ausgeliefert wurde, und danach durch die Gründung einer angeblichen Kryptobank, bei welcher die Investorengelder unterschlagen wurden. In unserer Fallbeschreibung konzentrieren wir uns aber ausschließlich auf den Cloud Mining Betrug, welcher auf der Internetseite Hashflare.io begangen wurde, da wir diesen mit unseren Mitteln der Kryptoforensik genau analysieren konnten.
1 Wenn ein Miner einen neuen Bitcoin Block findet / generiert, bekommt er hierfür eine Belohnung in Form von neuen Bitcoins. Diese Belohnung wird mittels sogenannter Coinbase Transaktionen an den Miner ausgezahlt.
Datum
2015 – 2018
Schadenssumme
~42.000 BTC
(davon ~21.000 BTC wieder an Kunden ausgezahlt)
Status
offen
Analysedaten
Die ersten Verdachtsmomente
Cloud Mining von Kryptowährungen ist eigentlich von vornherein als Verdachtsmoment zu bewerten. Aus dem ganz einfachen Grund, dass es für einen Miner eigentlich wirtschaftlich keinen Sinn ergibt, seine Rechenleistung an Kunden zu vermieten. Anders als zum Beispiel bei Anbietern von Webservern, die für den Betreiber wirtschaftlich nur rentabel sind, wenn diese an Kunden vermietet werden, erwirtschaftet die Hardware für das Kyptomining Ihre Gewinne durch das Kryptomining. Hier noch einen Kunden zwischenzuschalten, an welchen man diese Rechenleistung vermietet, macht daher wirtschaftlich keinen Sinn, wenn man mit dem Mining wirklich Gewinne erzielen würde. Und eben dies wird ja von den Anbietern von Cloud Mining behauptet, dass man gewinnbringendes Kryptomining betreibt.
Als weiterer Verdachtsmoment konnte auch das Referral Programm von Hashflare gewertet werden. Hierbei wurden Kunden von Hashflare, welche weitere Kunden gewinnen, sehr hohe prozentuale Beteiligungen an deren Einzahlungen versprochen. Auch wenn es durchaus Referral Programme gibt, welche für seriöse Geschäftsmodelle genutzt werden, so ist es doch immer kritisch zu betrachten, wenn die prozentualen Beteiligungen hierbei sehr hoch sind. Hashflare hat für sein Referral Programm eine Provision in Höhe von 10% angeboten.
Und letzten Endes, wie das bei allen Ponzi-Schemen der Fall ist, müssen die Betreiber das Geschäft an irgendeinem Punkt beenden, da nicht mehr genügend Einzahlungen von Kunden vorhanden sind, um die Auszahlungen der angeblichen Gewinne zu finanzieren. Dieser Punkt war bei Hashflare Anfang 2018 erreicht. Hashflare hat dann einfach alle bestehenden Miningverträge annulliert. Hierbei wurden die bereits geleisteten Zahlungen für diese Verträge einfach einbehalten / unterschlagen. Dieses Vorgehen wurde von Hashflare damit begründet, dass das Mining nicht mehr rentabel wäre und es wurde auf die AGB verwiesen, welche für den Fall von 14 aufeinanderfolgenden Tagen der Unrentabilität des Minings, eine automatische Annullierung der Verträge vorsehen.
Dies bedeutete für einen Kunden, welcher Anfang 2018 einen neuen Vertrag abgeschlossen hatte quasi einen Totalverlust.
Die ersten Ermittlungen
Hashflare war als Briefkastenfirma in Schottland registriert. Über diese Registrierung konnten die Urheber des Betruges nicht ausfindig gemacht werden.
Es gab aber auf der Hashflare.io Internetseite noch einen Hinweis auf die Firma Hashcoins.com, welche dort als Betreiber von Hashflare angegeben war. Bei Hashcoins.com handelt es sich um die anfangs erwähnte Firma, welche Mininghardware verkaufte, die nie ausgeliefert wurde. Auf einer archivierten Version der Hashcoins.com Internetseite fand sich schließlich die Auflistung der Urheber von Hashcoins.com und somit auch von Hashflare.io.
Die Urheber der schottischen Briefkastenfirma und Betreiber von Hashflare.io kamen aus Estland.
Der Nachweis des Betruges
Da uns nun die Urheber des Betruges bekannt waren, folgte im nächsten Schritt die Analyse der Bitcointransaktionen, um das ungefähre Ausmaß des Betruges zu ermitteln und um den Betrug nachzuweisen. Wir konnten in diesem Fall nur das ungefähre Ausmaß ermitteln, da für Kunden von Hashflare auch die Möglichkeit bestand, neben der Bezahlung mit Kryptowährungen, mittels Banküberweisung und Kreditkartenzahlungen Miningverträge abzuschließen. Unsere Möglichkeiten der Kryptoforensik beschränken sich auf die Analyse von Kryptotransaktionen, daher gab es eine Dunkelziffer, was die Bank- und Kreditkartenzahlungen betrifft.
Im ersten Schritt der folgenden Ermittlungen haben wir uns auf die Einzahlungen der Kunden und die geleisteten Auszahlungen konzentriert. Hierfür haben wir alle Einzahladressen von Hashflare ausfindig gemacht. Dies waren über 300.000 Bitcoinadressen. Zudem haben wir alle Auszahladressen ermittelt. Dies waren lediglich 35 Bitcoinadressen. Der Vergleich der Einzahlungen und der Auszahlungen ergab eine Differenz in Höhe von ~21.000 Bitcoin.
Im nächsten Schritt haben wir den Nachweis darüber erbracht, dass nie ein Bitcoin Mining stattgefunden hat. Hashflare hat das Bitcoin Mining angeblich über 5 verschiedene Mining-Pools betrieben. Wir haben also alle Bitcoinadressen dieser Mining-Pools ermittelt. Dies ergab ~280.000 einzelne Bitcoinadressen. Als nächstes haben wir analysiert, wie viele Einzahlungen Hashflare von den Adressen der Mining-Pools erhalten hat. Dies waren verschwindend geringe Beträge, welche dadurch zu erklären waren, dass Kunden von Hashflare ihre, bei diesen Mining-Pools erwirtschafteten Gewinne, in Hashflare investiert haben. Um den endgültigen Nachweis zu erbringen, dass kein Bitcoin Mining stattgefunden hatte, untersuchten wir alle Eingänge noch auf Coinbase Transaktionen ¹ hin. Die erwähnten Coinbase Transaktionen konnten wir nur in ebenso geringer Anzahl finden, wie die Einzahlungen von den Pooladressen. Diese waren also ebenfalls auf Kunden von Hashflare zurückzuführen.
Im letzten Schritt haben wir noch nachgewiesen, dass die Auszahlungen an die Kunden alle auf Einzahlungen von Kunden zurückzuführen waren. Ein Vergleich dieser Einzahlungen und Auszahlungen ergab letzten Endes, dass Hashflare ~50% aller Kundeneinzahlungen unterschlagen hatte. Es handelte sich dabei um die bereits erwähnten ~21.000 Bitcoin.
Das Fazit
Die Größe des beschriebenen Falles legt dar, dass der Cloud Mining Betrug ein sehr erfolgreiches Betrugsmodell darstellt. Wir haben auch Fälle ermittelt, welche zeitlich vor Hashflare stattgefunden haben und teilweise sogar noch umfangreicher waren als Hashflare.
Auch wenn die Urheber von Hashflare letzten Endes angeklagt und in die USA ausgeliefert wurden, wo Sie momentan auf Ihre Verhandlung warten, so ist ein Mangel an weiteren Cloud Mining Betrügern leider nicht zu beklagen.