Veröffentlicht am: 30.06.2025
Millionenraub und Glücksspiel: Wie ein Krypto-Betrüger sich selbst enttarnte
- Daytwo stahl über vier Millionen US-Dollar von Coinbase-Nutzern durch Phishing und gab große Teile in Krypto Casinos aus.
- Die Blockchain-Analyse zeigte eindeutige Verbindungen zwischen gestohlenen Geldern, Online Glücksspielseiten und seiner digitalen Identität.
- Trotz versuchter Verschleierung durch Monero und Identitätswechsel lieferte Daytwo durch Social-Media-Aktivitäten entscheidende Hinweise auf sich selbst.
Ein Betrug, der mit Phishing begann und in Online Casinos endete: Der Fall „Daytwo“ zeigt auf beispiellose Weise, wie sich Cyberkriminalität und Spielsucht in der Kryptoszene vereinen. Die Geschichte, die von Blockchain-Analysten detailliert rekonstruiert wurde, liefert ein erschreckend klares Bild von Tätern, die nicht nur die digitale Infrastruktur ausnutzen, sondern auch ihren eigenen Kontrollverlust dokumentieren – und das öffentlich.
Der Mann hinter dem Alias: Wer ist Daytwo?
Hinter dem Pseudonym „Daytwo“ steckt ein in New York lebender Mann, der über Monate hinweg systematisch Coinbase-Nutzer betrogen hat. Unter anderem verwendete er auch das Online-Alter-Ego „PawsOnHips“, um in betrügerischer Absicht aufzutreten.
Seine Masche war ausgefeilt und zielte auf eine besonders verwundbare Nutzergruppe ab: Personen mit wenig technischer Erfahrung. Die Methode: Als vermeintlicher Coinbase-Support kontaktierte er seine Opfer, um sie auf täuschend echte Phishing-Seiten zu lenken. Dort gaben sie ihre Zugangsdaten ein – unter dem Eindruck, sich in einem legitimen Kundendienstprozess zu befinden.
ZachXBT, ein anerkannter Blockchain-Ermittler, deckte auf, dass Daytwo nicht allein agierte. Vielmehr arbeitete er mit einer kleinen Gruppe, die in Callcenter-ähnlichen Strukturen organisiert war. Innerhalb dieser Organisation wurden Rollen verteilt: Während einige Mitglieder Gespräche führten, sorgten andere für die technische Infrastruktur.
Das Ziel war immer dasselbe: Zugriff auf Wallets und die Kontrolle über deren Inhalt. Insgesamt konnten über 30 Fälle dokumentiert werden. Der Schaden: über vier Millionen US-Dollar.
Von der Wallet ins Casino: Der digitale Geldfluss
Nachdem Daytwo Zugriff auf die Wallets seiner Opfer erlangt hatte, erfolgten die Transaktionen schnell und gezielt. In vielen Fällen wurden die erbeuteten Coins direkt an Adressen gesendet, die mit Glücksspielseiten verbunden waren. Merkur Spielbanken, beste Paysafe Online Casinos und weitere seriöse Anbieter, die über eine gültige deutsche Lizenz verfügen, blieben verschont.
Auffällig ist dabei die Wiederholung eines Musters: Einzahlungen in hohen Summen auf Plattformen wie Roobet, einem bekannten Krypto Casino. Die Verbindung zwischen gestohlenen Geldern und Casino-Transaktionen ließ sich auf der Blockchain detailliert nachverfolgen – ein Paradebeispiel dafür, wie transparent Krypto-Technologie im Ernstfall ist.
Die untersuchten Wallets zeigten eine deutliche Tendenz: Anfangs wurden große Summen eingesetzt, später sanken die Beträge – ein Indiz für hohe Verluste. ZachXBT konnte bestätigen, dass der Täter große Teile seiner Beute beim Glücksspiel verloren hat.
Besonders brisant: Nicht nur die Spur der Coins führte zu Roobet, sondern auch Daytwos Benutzername „PawsOnHips“ konnte als Account identifiziert werden. Offenbar spielte der Betrüger regelmäßig gemeinsam mit Bekannten, während sie über Discord kommunizierten. Dort tauschte man sich nicht nur über Spiele aus, sondern sprach offen über Vorgehensweisen und die Herkunft des Geldes.
Ungewöhnlich offen: Daytwos Hang zur Selbstdarstellung
Während viele Betrüger versuchen, ihre Spuren zu verwischen, zeichnete sich Daytwo durch genau das Gegenteil aus. In Discord-Gruppen zeigte er sich gelegentlich sogar mit Gesicht in Videoanrufen. Auf Instagram posierte er mit einer neu gekauften Corvette – versehen mit einem Aufkleber seines Nutzernamens.
Diese Detailverliebtheit wurde ihm letztlich zum Verhängnis: In Kombination mit On-Chain-Daten, Social-Media-Inhalten und einer Videoaufzeichnung eines Phishing-Angriffs konnte seine Identität eindeutig zugeordnet werden.
Die Hybris des Täters reichte sogar so weit, dass er öffentlich Bilder postete, auf denen er sich über ZachXBT lustig machte. Eines davon zeigte ein Screenshot von dessen X-Profil (ehemals Twitter), den er anschließend als Titelbild in seinem eigenen Instagram-Highlight verwendete.
Dieses Verhalten ließ nicht nur Rückschlüsse auf seinen Charakter zu, sondern bestätigte auch, dass eine bewusste Distanz zu Anonymität nicht existierte. Laut ZachXBT war es dadurch für Strafverfolgungsbehörden besonders einfach, den Fall strukturiert zu verfolgen.
Strukturierte Schwachstellen: Warum der Betrug so gut funktionierte
Phishing-Angriffe wie dieser funktionieren vor allem deshalb so effektiv, weil sie eine Mischung aus sozialer Manipulation und technischer Raffinesse darstellen. Im Fall Daytwo fiel besonders auf, wie gezielt ältere Nutzer angesprochen wurden. Die Kombination aus vertrauenswürdigem Auftreten und einem hohen Maß an Detailtreue in den gefälschten Support-Gesprächen sorgte dafür, dass selbst skeptische Personen getäuscht wurden.
Dazu kommt, dass Kryptowährungsplattformen nicht einheitlich reguliert sind und viele Sicherheitsfunktionen, wie die in legalen Echtgeld Online Casinos, nicht standardisiert wirken.
So war es für Daytwo und seine Gruppe relativ einfach, Wallet-Zugänge zu kompromittieren. Auch Glücksspielseiten ohne deutsche Lizenz tragen ihren Teil zur Problematik bei: Plattformen mit geringer Verifizierungsschwelle erlauben es, große Geldsummen zu transferieren, ohne dass Rückverfolgbarkeit sofort gewährleistet ist.
Die Schattenseite der Krypto Casinos
Ein besonderes Augenmerk gilt den Krypto Casinos, die zunehmend in den Fokus von Ermittlungen geraten. Der Gesamtumsatz solcher Plattformen lag im Jahr 2024 laut Branchenanalysen bei über 80 Milliarden US-Dollar – eine Zahl, die zeigt, wie relevant das Segment geworden ist.
Gleichzeitig ist es ein Einfallstor für dubiose Aktivitäten. In der Szene gilt es als bekannt, dass gestohlene Gelder in diesen Casinos nicht nur verzockt, sondern in manchen Fällen gezielt zur Geldwäsche genutzt werden. Dazu werden bereits verifizierte Konten über Untergrundmärkte gekauft oder kompromittierte Konten aus früheren Angriffen wiederverwendet.
In Daytwos Fall zeigt sich besonders deutlich, wie dieses System funktioniert: Geld floss unmittelbar nach dem Diebstahl auf Roobet, wurde dort eingesetzt – häufig erfolglos – und dann in kleineren Restbeträgen weiterbewegt. Zwischenzeitlich konvertierte der Täter Teile seiner Beute in Monero, eine Kryptowährung, die für ihre starke Verschlüsselung und geringe Rückverfolgbarkeit bekannt ist. Der Versuch, die Spuren zu verwischen, verlief erfolglos – nicht zuletzt, weil der Täter parallel sein digitales Profil mit realen Handlungen verknüpfte.
In Zahlen und Fakten: Was der Fall offenlegt
Die Ermittlungen rund um Daytwo lassen sich auf mehrere zentrale Punkte herunterbrechen, die exemplarisch für Schwächen im Krypto-Ökosystem stehen:
- Mehr als 4 Millionen US-Dollar Schaden
- Über 30 identifizierte Betrugsfälle
- Klare Verbindung zwischen gestohlenen Geldern und Glücksspieltransaktionen
- Nutzung von Monero zur Verschleierung
- Öffentlich zugängliches Bildmaterial des Täters
- Fehlende oder mangelhafte KYC-Prüfungen bei Glücksspielplattformen
- Beteiligung eines strukturierten Callcenter-Netzwerks
Diese Aufzählung unterstreicht, dass der Fall nicht nur eine Einzelaktion war, sondern Teil eines wiederkehrenden Musters. Es handelt sich um eine Kombination aus technologischer Kompetenz, menschlicher Manipulation und persönlichem Kontrollverlust, die durch ein schwach reguliertes Umfeld begünstigt wurde.
Unerwartete Wendungen: Betrug am eigenen Netzwerk
Eine weitere Facette der Ereignisse war die Eskalation innerhalb der Tätergruppe selbst. ZachXBT dokumentierte, dass Daytwo in späteren Phasen sogar begann, seine Komplizen zu bestehlen. Dies lässt Rückschlüsse auf die interne Dynamik des Netzwerks zu: Vertrauen, das innerhalb von Cybercrime-Zirkeln ohnehin auf wackeligem Fundament steht, zerfiel zunehmend.
Die Auswirkungen waren nicht nur finanziell spürbar – auch die Struktur der Gruppe wurde dadurch geschwächt. Interne Konflikte führten dazu, dass sich Mitglieder voneinander distanzierten und Hinweise nach außen drangen.
Solche Entwicklungen sind nicht ungewöhnlich, wenn finanzielle Anreize mit instabilen Persönlichkeitsstrukturen aufeinandertreffen. In diesem Fall zeigen die öffentlich einsehbaren Transaktionsdaten und die offenen Streits in Discord-Kanälen, dass der Täter sich zunehmend isolierte. Sein Kontrollverlust war nicht nur in seinem Spielverhalten sichtbar, sondern auch in der Art, wie er mit seinem Umfeld umging.
Schlüsse aus einem beispiellosen Krypto-Krimi
Der Fall Daytwo gilt heute als Paradebeispiel für eine neue Form digitaler Kriminalität, bei der technische Raffinesse und menschliches Versagen zusammentreffen. Er zeigt, dass der Weg von der digitalen Brieftasche zum Casino-Konto – nicht betroffen sind regulierte deutsche Casinos – oft erschreckend kurz ist.
Gleichzeitig macht er deutlich, dass öffentliche Blockchain-Daten eine mächtige Waffe zur Aufklärung sind – solange sie von Experten wie ZachXBT konsequent analysiert werden. Nichtsdestotrotz hat der Fall „Daytwo“ digitale Spuren hinterlassen und eine Diskussion neu entfacht, die längst überfällig war.
Werde Teil der Diskussion!