On-Chain-Analyse ist das Fachgebiet, das aus öffentlichen Blockchain-Daten reale Identitäten, Absichten und Risiken ableitet. Jede Transaktion, die du je signiert hast, liegt in einem Ledger, das für immer jeder lesen kann. Es gibt keinen Admin, der sie verbergen könnte, kein Ablaufdatum und keinen Privatsphäre-Schalter. Spezialisierte Firmen — und zunehmend auch Hobbyisten mit einem Laptop — verdienen ihren Lebensunterhalt damit, diese rohe Historie in benannte Entitäten, Verhaltensprofile und Risikoscores zu verwandeln.
Wenn du jemals Krypto an eine größere Exchange gesendet oder von ihr empfangen, einen Freelancer bezahlt, ein NFT geminted oder einem Creator ein Trinkgeld zukommen lassen hast, hast du bereits einen On-Chain-Fußabdruck. Zu verstehen, was Analysten sehen können und was nicht, ist der erste Schritt zu der Entscheidung, wie sehr es dich kümmert — und was du dagegen tust.
Was On-Chain-Analyse tatsächlich tut
Die Arbeit zerfällt in drei zentrale Operationen, die aufeinander aufbauen.
1. Adress-Clustering. Blockchains zeigen einzelne Adressen, aber eine einzelne Person oder ein Unternehmen kontrolliert in der Regel viele. Analysten gruppieren diese Adressen mithilfe von Heuristiken zu Clustern — Muster, die zwar kein Beweis, statistisch aber zuverlässig sind. Das klassische Beispiel bei Bitcoin ist die Common-Input-Ownership-Heuristik: Wenn eine Transaktion in einer einzigen Signatur aus mehreren Inputs zahlt, gehören diese Inputs mit hoher Wahrscheinlichkeit zur selben Wallet. Die Wechselgeldadress-Erkennung — also herauszufinden, welcher Output der an den Sender zurückgegebene Rest ist — ist eine weitere. Zusammen verdichten sie Tausende roher Adressen zu einem deutlich kleineren Graphen von Entitäten.
2. Entitäten-Labelling. Ein Cluster ist nichts weiter als ein Klumpen Adressen, bis ihm jemand einen Namen anheftet. Labels stammen aus externen Belegen: Einzahlungsadressen, die aus Anmeldungen bei Exchanges gescrapt werden, Adressen aus Gerichtsakten, Sanktionslisten wie der OFAC, von Opfern offengelegte Hacker-Wallets und Adressen, die Leute selbst auf Twitter oder Etherscan posten. Sobald eine Adresse in einem Cluster gelabelt ist, propagiert das Label auf das gesamte Cluster.
3. Flow-Analyse. Sind die Cluster gelabelt, können Analysten Geldflüsse über mehrere Hops verfolgen: wer wem wann wie viel über welche Zwischenstationen geschickt hat — einschließlich Mixer, Bridges und Exchanges.
Wer On-Chain-Analyse betreibt
Eine Handvoll Firmen dominiert die kommerzielle Seite, und ein langer Schwanz unabhängiger Forscher füllt die Lücken.
- Chainalysis (
chainalysis.com) ist die älteste und bekannteste. Sie verkauft Tools an Exchanges für Compliance und an US-Strafverfolgungsbehörden für Ermittlungen und veröffentlicht den vielzitierten jährlichen Crypto Crime Report. - Elliptic (
elliptic.co) hat ihren Sitz in Großbritannien und fokussiert sich auf Finanzkriminalitäts-Compliance für Banken, Exchanges und Behörden. - TRM Labs (
trmlabs.com) spielt in einem ähnlichen Feld, mit Schwerpunkt auf Cross-Chain-Risikoscoring. - Arkham (
arkm.com) ist stärker auf Endkunden ausgerichtet: bietet einen kostenlosen Explorer mit Entitäten-Labels und betreibt eine öffentliche Intel Exchange, in der Nutzer Kopfgelder für die Deanonymisierung bestimmter Adressen aussetzen können. - Nansen (
nansen.ai) konzentriert sich darauf, DeFi- und NFT-Wallets zu labeln — „Smart Money", Fonds, Market Maker — zugunsten von Tradern statt Ermittlern.
Diese Firmen zu nennen ist weder Empfehlung noch Kritik. Sie definieren schlicht, was heute technisch und kommerziell möglich ist. Darüber hinaus veröffentlichen einzelne Forscher — am sichtbarsten ZachXBT — regelmäßig Recherchen ausschließlich mit kostenlosen Tools. Die Fähigkeit ist nicht mehr selten.
Pseudonym ist nicht anonym
Das ist der Punkt, den die meisten Neulinge übersehen. Bitcoin, Ethereum und die große Mehrheit anderer Chains sind pseudonym: Dein echter Name steht nicht in der Chain, wohl aber eine dauerhafte, öffentliche, maschinenlesbare Aufzeichnung deiner Aktivität. Anonymität würde bedeuten, dass ein Analyst die Aktivität nicht einer Person zuordnen kann. Pseudonymität bedeutet nur, dass er sie noch nicht zugeordnet hat.
Die Verknüpfung ist selten kryptografischer Natur. Meist ist sie schlicht banal:
- Eine KYC-Prüfung an einer zentralisierten Exchange bindet ein Cluster aus Einzahlungs- und Auszahlungsadressen an deinen Reisepass.
- Ein einmaliger Off-Ramp über einen Peer-to-Peer-Händler, der später mit Ermittlern kooperiert.
- Eine Wallet-Adresse, die in einem Tweet, einer Forum-Bio, auf einer Crowdfunding-Seite oder in einem ENS-Namen veröffentlicht wurde.
- Ein NFT-Mint aus einer Wallet, die mit einem bereits enttarnten Pseudonym verknüpft ist.
- Ein Dust-Angriff — jemand sendet dir einen winzigen Betrag, und sobald du ihn jemals zusammen mit deinen anderen Coins ausgibst, bekommen sie alle denselben Fingerabdruck.
Sobald eine einzige Adresse in deinem Cluster identifiziert ist, erbt jede vergangene Transaktion, die sie berührt hat, und jede zukünftige, die sie berühren wird, diese Identität. Es gibt keinen „Verlauf löschen"-Knopf, und es wird nie einen geben. Das Fenster für plausible Bestreitbarkeit schrumpft mit jeder Transaktion, die du signierst.
Was normale Nutzer tun können
Aus der On-Chain-Analyse aussteigen, sobald deine Coins on-chain sind, kannst du nicht — aber du kannst deine Angriffsfläche mit ein paar Gewohnheiten verkleinern.
- Nutze für unzusammenhängende Beziehungen jeweils eine frische Empfangsadresse. Die meisten modernen Wallets, SSP eingeschlossen, generieren bewusst jedes Mal eine neue Empfangsadresse — akzeptiere die Voreinstellung und gib nicht immer wieder dieselbe heraus. Am meisten nützt das bei eingehenden Zahlungen; das Ausgeben greift weiterhin auf dein breiteres UTXO-Set zu und kann Cluster wieder verknüpfen, aber jedes bisschen reduziert das Signal.
- Sei vorsichtig mit Dust. Wenn eine dir unbekannte Wallet dir einen Bruchteil eines Satoshis oder einen wertlosen Token schickt, konsolidiere ihn nicht mit deinem echten Guthaben. Viele Wallets markieren verdächtigen Dust automatisch; lass ihn stehen.
- Veröffentliche keine Adressen, die du tatsächlich nutzt. Ein Tweet wie „Trinkgeld an bc1q..." verknüpft eine öffentliche Identität für immer mit einem Cluster. Verwende für alles Sensible eine dedizierte Adresse, die du nirgends sonst wiederverwendest.
- Behandle KYC-Stellen als Identitätsanker. Alles, was unter deinem Namen in eine Exchange hinein- oder aus ihr herausgeht, ist potenziell zuordenbar. Plane entsprechend.
- Geh mit Privacy-Tools mit offenen Augen um. Coinjoin-Dienste, privatsphäreorientierte Chains und Mixer bringen jeweils eigene regulatorische, Kontrahenten- oder technische Risiken mit sich. Dieser Artikel ist in keine Richtung eine Empfehlung — nur eine Erinnerung, dass „Privatsphäre" kein kostenloses Feature ist, das man im Nachhinein anschrauben kann.
Wie es weitergehen kann
On-Chain-Analyse ist keine Geschichte über das Fassen von Kriminellen oder über Big Brother — sie ist schlicht die natürliche Konsequenz daraus, ein dauerhaftes, öffentliches Ledger zu betreiben. Je früher du den Verlauf deiner Wallet als standardmäßig öffentlich behandelst, desto bessere Entscheidungen wirst du darüber treffen, welche Adressen du wiederverwendest, welchen Plattformen du vertraust und wie viel du teilst.
Wenn du die Grundlagen weiter festziehen willst, lohnen sich zwei verwandte Lektüren:
- Best Practices für die Seed Phrase — denn der sauberste On-Chain-Fußabdruck der Welt rettet dich nicht, wenn deine Seed leakt.
- Was ist 2-of-2 Multisig? — das Bedrohungsmodell von SSP und warum zwei unabhängige Schlüssel die Latte für jeden Analysten höher legen, der versucht, deine Aktivität an ein einziges kompromittiertes Gerät zu binden.