eXch, platform swap kripto yang sempat jadi favorit para peretas dan layanan drainer, resmi ditutup oleh polisi Jerman pada April lalu. Namun, laporan terbaru dari firma keamanan TRM Labs menunjukkan bahwa aktivitas eXch masih terus berjalan diam-diam, menandakan bahwa kisahnya belum selesai.

Tidak seperti exchange kripto pada umumnya, eXch tidak menerapkan verifikasi identitas (KYC). Ia berfungsi lebih seperti swapper instan yang memungkinkan pelaku kejahatan siber menyembunyikan jejak mereka selama bertahun-tahun.

Salah satu klien eXch yang paling terkenal adalah Lazarus Group, unit peretas yang didukung negara Korea Utara. Grup ini menggunakan eXch untuk mencuci sebagian dari $1,4 miliar hasil curian dari bursa kripto Bybit. Saat Bybit melacak dana tersebut ke eXch dan meminta kerja sama, eXch menolak membantu.

Tutup Secara Resmi, Tapi API Masih Aktif?

Pada 17 April, eXch mengumumkan akan menutup layanan mereka, dan pada 30 April polisi Jerman menyita server serta aset senilai €34 juta (sekitar $38 juta), termasuk lebih dari 8 terabyte data. Namun, tak lama kemudian platform ini kembali aktif diam-diam — menghapus pernyataan penutupannya dalam hitungan jam.

Menurut TRM, ini bisa jadi pertanda konflik internal, atau strategi untuk menurunkan eksposur publik sambil tetap beroperasi lewat jalur belakang (API).

“Seperti kasus Garantex yang berubah nama menjadi Grinex, eXch tidak benar-benar mati. Mereka diam-diam terus melayani mitra terbatas melalui API,” ujar Jeremiah O’Connor, CTO dari firma keamanan Trugard.

eXch menggunakan infrastruktur di banyak negara: domain terdaftar di Inggris, admin di Swiss, server di Prancis, dan penyitaan dilakukan di Jerman. Ini membuat pelacakan hukum menjadi rumit.

Tanpa KYC, Sistem Likuiditas Pooled Jadi Magnet Aktivitas Ilegal

Penyelidikan oleh “Fantasy”, investigator utama di Fairside Network, melacak asal-usul eXch sejak 2014, dimulai dari akun di forum BitcoinTalk yang mempromosikan swap otomatis antara Bitcoin, Perfect Money, dan voucher BTC-e — metode pembayaran berisiko tinggi.

Dompet pertama yang terkait dengan eXch juga dilacak ke BTC-e, platform kripto yang ditutup oleh otoritas AS pada 2017 karena pencucian uang skala besar.

Pada 2022, eXch muncul dalam bentuk modern saat wallet Ethereum mereka mulai aktif, dan sejak itu menjadi pusat bagi operator drainer besar seperti Monkey Drainer, Pink Drainer, dan Inferno Drainer.

eXch tidak mewajibkan verifikasi identitas, memungkinkan peretas memindahkan dana curian secara anonim, dan mencampurkan likuiditas pengguna untuk menyulitkan pelacakan aliran dana oleh pihak berwenang.

“eXch tetap hidup selama bertahun-tahun meski memfasilitasi aktivitas ilegal karena kecepatan regulasi tidak sejalan dengan kecepatan inovasi teknologi,” ujar Amit Levin, mantan investigator Binance.

eXch Tahu Tapi Tidak Bertindak

Dalam pengumuman penutupan, eXch menyangkal membantu Lazarus dan menyebut proyek ini sebagai upaya pengembalian keseimbangan dalam industri kripto, mengkritik kebijakan AML (Anti Money Laundering) dan menyebut penyedia API pelacak alamat sebagai “parasit”.

“Penyedia layanan kripto tetap bertindak sebagai perantara keuangan dan seharusnya tunduk pada standar regulasi yang sama dengan sektor keuangan tradisional,” kata Gal Arad Cohen dari firma hukum S. Horowitz & Co.

CEO Kerberus, Alex Katz, menyebut penutupan eXch sebagai “kemenangan besar untuk industri kripto”. Namun ia memperingatkan bahwa aktor jahat akan dengan mudah bermigrasi ke protokol lain seperti THORChain, yang sempat dipuji dalam pernyataan penutupan eXch.

Dalam kasus peretasan Bybit, THORChain digunakan untuk menukar sekitar 500.000 ETH menjadi BTC.

Meski telah dibubarkan, eXch menyatakan bahwa mitra terpilih masih bisa mengakses API, dan operasi masa depan akan ditentukan oleh “tim manajemen baru”. Tim lama bahkan menyarankan pembuatan pool likuiditas baru untuk menjaga sistem tetap berjalan.

eXch menutup pernyataan mereka dengan pesan yang menantang:

“Privasi bukanlah kejahatan.”

Otoritas Jerman menyebut bahwa sejak berdiri, eXch telah memproses lebih dari $1,9 miliar aset kripto, dan operatornya diduga terlibat dalam pencucian uang komersial serta menjalankan platform perdagangan ilegal.