Ökning av olaglig kryptovaluta genom crosschain-swaps
Minst 21,8 miljarder dollar i olaglig eller hög risk-kryptovaluta har flödat genom crosschain-swaps, en ökning från 7 miljarder dollar 2023, enligt uppskattningar från det brittiska blockchain-analysföretaget Elliptic. Elliptic tillskriver 12% av dessa rörelser till Nordkorea. Crosschain-swaps var tidigare en nischaktivitet reserverad för avancerade handlare och användare av decentraliserad finans (DeFi), men har nu utvecklats till en kärnkomponent i penningtvätt.
Olagliga aktörer skickar inte längre bara kryptovaluta genom mixers eller dumpa tokens på en enda decentraliserad börs (DEX). Numera rör sig medlen över flera blockkedjor för att frustrera utredare och undvika upptäckter. Den snabba ökningen på 211%, från 7 miljarder till 21,8 miljarder dollar, återspeglar den växande användningen av blockchain-broar, DEX och coin swap-tjänster, samt det ökande antalet blockkedjor.
”När man ser tillbaka, låt oss säga för ett decennium sedan, var de primära kryptovalutorna och blockkedjorna Bitcoin och Ethereum, samt några andra,” sa Arda Akartuna, Elliptics APAC-ledande kryptobrottsforskare, till Cointelegraph. ”Det är ett alltmer multichain-ekosystem… som bara breddar de tillgängliga tillgångarna och de tillgängliga fördunklingskanalerna för brottslingar.”
Broar som motorvägar för crosschain-tvätt
En enda brotransaktion kan återspegla vanligt användarbeteende, men mönster av strukturerad eller multi-hop aktivitet är varningssignaler för koordinerade insatser för att bryta on-chain spåret, enligt Elliptics rapport om crosschain-brott 2025 som publicerades på onsdagen. Strukturerad kedjehoppning involverar att dela upp medel och distribuera dem samtidigt över flera blockkedjor. Multi-hop kedjehoppning innebär att flytta tillgångar från en kedja till en annan upprepade gånger. Båda teknikerna är ineffektiva av design och medför höga avgifter för att förvirra utredare.
Dessa metoder blir alltmer vanliga i höginsats-tvättoperationer. I ett tidigt fall 2025 stals 75 miljoner dollar av hackare som misstänks vara kopplade till Nordkorea från en namngiven börs och medlen broades i följd från Bitcoin till Ethereum, sedan till Arbitrum, Base och slutligen Tron — med både strukturerade och multi-hop taktiker. Dessa mönster är inte längre begränsade till statliga aktörer eller storskaliga stölder.
”Detta är inte bara hög nivå aktivitet reserverad för stora hackare. Du har mindre brottslingar som använder kedjehoppning för att tvätta medel — personer som finansierar spelvanor eller småbedrägerier. Så här mainstream har denna taktik blivit,” förklarade Akartuna.
Elliptic uppskattar att omkring en tredjedel av blockchain-utredningar nu involverar att spåra flöden över minst tre olika nätverk.
Crosschain-tvätt börjar i DeFi
DEXs ses ofta som transparenta och spårbara eftersom de verkar på blockkedjor. Men de används alltmer som ingångspunkter i krypto-tvättcykeln, särskilt när det handlar om tokens med låg likviditet. DEXs är plattformar där sådana tillgångar kan bytas mot mer allmänt accepterade tokens som USDT eller Ether utan att förlita sig på centraliserade plattformar som kan tillämpa Know Your Customer (KYC)-regler.
En fallstudie av Elliptic i sin rapport om crosschain-brott 2025 analyserade exploateringen i maj 2025 på Cetus — en stor likviditetsleverantör på Sui-blockkedjan — som gjorde det möjligt för angripare att tömma över 200 miljoner dollar i tokens. Angriparen använde först en DEX för att byta USDT till USDC, vilket Elliptic misstänker var för att dra nytta av lägre brokostnader. Dessa stablecoins broades sedan till Ethereum, där en DEX-aggregator återigen användes för att konvertera USDC till ETH.
Centraliserade stablecoins som USDT och USDC har funktioner som gör att deras utgivare kan frysa medel. Ether, som är den inhemska tillgången på Ethereum-blockkedjan, har inte den funktionen. Brottslingar utnyttjar också den öppna designen av DEX-aggregatorer och automatiserade marknadsgörare (AMMs) för att styra transaktioner på sätt som minskar slippage och undviker upptäckter.
Till exempel passerar tvättflöden ofta genom flera obskyra handelspar innan de slår sig ner i en likvid token. I många fall utförs dessa byten i små partier eller via smarta kontrakt för att undvika att utlösa varningar för penningtvätt (AML). Även om DEXs inte är inneboende crosschain, blir distinktionen mindre tydlig i nyare tjänster eftersom de också erbjuder inhemska cross-asset swaps, enligt Elliptic.
Coin swap-sajter i crosschain-tvätt
Coin swap-tjänster fungerar mer som underjordiska valutaväxlare. De tillåter användare att anonymt byta tillgångar över olika blockkedjor med minimal friktion, ingen registrering och ofta inga meningsfulla kontroller för penningtvätt (AML). Som ett resultat har dessa tjänster blivit ett verktyg för en mängd olagliga aktörer, särskilt de som verkar på darknet-marknader, ransomware-nätverk och online-kortbedrägerier.
Dessa plattformar skiljer sig från broar och DEXs genom att de fungerar som centraliserade mellanhandar men avsiktligt verkar i oklara eller tillåtande jurisdiktioner. Många annonserar direkt på darknet-forum och Telegram-kanaler, ofta med löften om att acceptera ”smutsig BTC” eller betonar sin icke-samarbete med brottsbekämpande myndigheter.
Vissa erbjuder till och med tjänster som beväpnade kontantupphämtningar, penga-räknande eller ”skatt”-kontantnedslag, där fysisk valuta begravs på förhand överenskomna platser i utbyte mot kryptovaluta. Elliptic rapporterade att omkring 25% av olagliga och hög-riskflöden genom coin swap-tjänster är kopplade till online-spel, särskilt plattformar som saknar mainstream-licenser.
Många av dessa sajter, särskilt de kopplade till rysktalande och sydostasiatiska operatörer, är också kopplade till bedrägerier som ”pig butchering” och narkotikahandel, vilket skapar en sluten loop av hög-riskfonder som återvinns mellan olagliga spel- och tvättnätverk.
Katten-och-musen-verktyg som jagar crosschain-tvätt
Kedjehoppning, som en gång var en marginal taktik, är nu rutin. Tvättmetoder som en gång förlitade sig på mixers eller enkla byten har utvecklats till komplexa sekvenser som sträcker sig över flera kedjor, tokens och plattformar — ofta strukturerade för att slösa analytikers tid eller bryta automatiserad spårning.
I det 75 miljoner dollar fall som Elliptic kopplade till Nordkorea rörde sig medlen genom fem blockkedjor i snabb följd. Liknande mönster dyker också upp i mindre bedrägerier, vilket tyder på att komplexitet i sig har blivit strategin. Att spåra dessa rörelser beror fortfarande på synlighet — och en växande uppsättning verktyg.
Plattformar som Elliptic Investigator, Chainalysis Storyline och TRM Forensics är byggda för att automatisera och visualisera crosschain-analys, medan centraliserade stablecoin-utgivare förbehåller sig rätten att frysa flaggade tillgångar.
”Det spelar ingen roll om de har försökt göra det över fem olika blockkedjor eller bara en gång — vi kan följa dessa medel automatiskt genom våra utredningsverktyg. Något som verkligen är manuellt och kan ta flera timmar, kan du nu göra på några klick och minuter eftersom det är helt automatiserat,” sa Akartuna.
Det är en ojämn match, men infrastrukturen för att bekämpa krypto-brottslighet anpassar sig också.
