Отчёт о криптокриминале 2023

Провели 2022-й, выживая и разбираясь с последствиями соскамившихся проектов и крупных банкротств — FTX, Terra и далее по списку? Не вы одни: криптокриминалу пришлось столкнуться с теми же рыночными условиями. И в некоторых случаях можно утверждать, что их действия определяли движения рынков. Chainalysis анализируют эти и другие тенденции в своём ежегодном отчёте о криптопреступности. Приводим полный перевод отчёта, включая следующие темы:

• Как санкции против Hydra, Tornado Cash и других повлияли на криминальную часть криптоэкосистемы
• Тактики отмывания криминальных доходов через крипту
• Оценка экосистемы вымогательского ПО
• Атаки манипулированием оракулами
• 24% запущенных в 2022 году токенов имеет признаки pump-and-dump схем
• И, что важно, связь криптовалют с криминальными сценариями использования сильно преувеличивается!

Навигация:

• Тенденции криптокриминала в 2022 году
• Санкции
• Вымогательское ПО
• Отмывание денег
• Украденные средства
• Атаки манипулированием оракулом: растущая проблема, уникальная для DeFi
• Даркнет-маркеты
• Мошенничество
• Pump-and-dump токены

Тенденции криптокриминала в 2022 году

Рекордные объёмы криминальных криптотранзакций на фоне всплеска санкций и хакерских атак

Каждый год Chainalysis публикует свои оценки криминальной криптовалютной активности, в том числе чтобы показать силу прозрачности блокчейна, ведь настолько подробный анализ невозможен в традиционных финансах. Как выглядят результаты этого анализа за 2022 год? Прошедший год стал одним из самых бурных в истории криптовалют, со множеством крупных банкротств, включая Celsius, Three Arrows Capital, FTX и прочие, — значительная часть из них на фоне обвинений в мошенничестве.

Эти обвинения несколько запутывают построение отчёта о криптопреступности за год: кто-то считает, что эти проекты уже можно уверенно причислять к криминальным. Но мы в конечном счёте не стали включать их в наши оценки криминальной активности, поскольку основываем свой анализ исключительно на ончейн-данных, и не учитываем случаи, когда мошенничество происходило на уровне, например, бухгалтерского учёта. Кроме того, эти банкротства и связанные с ними уголовные дела ещё не завершены, так что мы сочли за лучшее оставить их классификацию на усмотрение правовой системы.

События этого года ясно показывают, что, при всей прозрачности блокчейнов, отрасли определённо есть куда развиваться в этом отношении. Есть возможности для объединения офчейн-данных об обязательствах с ончейн-данными, а прозрачность DeFi, где в блокчейн записываются все транзакции, — это стандарт, к которому, в нашем понимании, следует стремиться всем криптовалютным сервисам. Со временем, по мере того как через блокчейны будет передаваться ещё больше ценности, все потенциальные риски станут прозрачными, и мы получим гораздо более полное видение.

Но пока что мы, как и прежде, сосредоточимся на криминальной активности, измеримой только по ончейн-данным. Давайте теперь посмотрим, как рыночные потрясения 2022 года повлияли на криминальную активность, связанную с криптовалютами.

Примечание: это следует считать нижней границей оценки; вероятнее всего, цифры увеличатся со временем ввиду раскрытия новых данных о криминальной активности. Данные не учитывают криминальной офчейн-активности, в рамках которой доходы могли переводиться в криптовалюты с целью отмывания, хотя и такую активность, в целом, возможно отследить. В отсутствие однозначных офчейн-инсайтов, в данных не учтены объёмы, связанные с централизованными сервисами, обанкротившимися в 2022 году, некоторым из которых предъявлены обвинения в мошенничестве. Значительная часть криминальных объёмов в 2022 году приходится на кошельки подсанкционной биржи Garantex. Хотя большая часть этой активности, вероятно, приходится на российских пользователей этой российской биржи, большинство специалистов в области финансового комплаенса рассматривают такую деятельность как незаконную.

Несмотря на рыночный спад, объём криминальных транзакций растёт второй год подряд, достигнув исторического максимума в $20,6 млрд. Здесь важно подчеркнуть, что это нижняя граница нашей оценки; несомненно, цифры будут расти по мере выявления новых адресов, связанных с незаконной деятельностью, и надо иметь в виду также, что в этих данных не учитываются доходы от преступлений, не связанных непосредственно с криптовалютами (как, например, обычная торговля наркотиками с использованием криптовалют как средства платежей). Например, в прошлогоднем отчёте мы писали, что обнаружили криминальной активности на $14 млрд за 2021 год; и к сегодняшнему дню эта цифра выросла до $18 млрд — в основном за счёт выявления новых эпизодов мошенничества с криптовалютами.

Стоит иметь в виду также, что 43% криминальных объёмов за 2022 год приходились на субъекты, находящиеся под санкциями США, — в год, когда OFAC ввела одни из самых амбициозных и трудновыполнимых в реальности санкций против криптопроектов на сегодняшний день. Криптобиржа Garantex, на которую пришлась большая часть подсанкционных объёмов криптотранзакций, за прошедший год, — отличный тому пример. OFAC ввела санкции против Garantex в апреле 2022 года, но, находясь в России, биржа смогла безнаказанно продолжать свою деятельность. Любая связь транзакций с Garantex или любым другим подсанкционным криптосервисом представляет по меньшей мере существенный риск для любых компаний и лиц, подпадающих под юрисдикцию США, — для них это чревато штрафами и потенциальными уголовными обвинениями.

Примечание: объём криптотранзакций подсанкционных субъектов по сравнению с предыдущим годом вырос на 152 844%; мы не стали включать его в диаграмму, поскольку это сделало бы её нечитаемой.

По всем остальным, более традиционным категориям криминальной криптоактивности объёмы транзакций снизились, за исключением только объёма краж, который по сравнению с предыдущим годом вырос на 7%. Одной из причин этого может быть общий спад на рынке. Ранее мы замечали, что доход криптоскамеров, например, снижается на медвежьих рынках, — вероятно, ввиду того, что пользователи становятся более пессимистичными и меньше склонны верить обещаниям мошенников о высоких доходах в периоды общего снижения цен на активы. Обычно сокращение притока капитала в криптовалюты вполне ожидаемо коррелирует со снижением криминальных криптовалютных объёмов.

В целом, доля криминальной активности в общем объёме криптовалютных транзакций, выросла впервые с 2019 года — с 0,12% в 2021 году до 0,24% в 2022.

Сильного удивления это вызывать не должно. Как и следовало ожидать, общий объём криптовалютного трансфера с началом медвежьего рынка снизился, а объём криминальных криптотранзакций, как мы показали выше, немного вырос.

В целом же доля транзакций с криминальными адресами в общем объёме криптовалютного трансфера остаётся незначительной — менее 1% от общего объёма. Нужно также помнить, что, несмотря на рост в этом году, доля криминальных объёмов в общем объёме криптовалютного трансфера по-прежнему находится в нисходящем тренде. Далее мы разберём подробно, что за незаконная деятельность скрывается за этими 0,24% криминального криптовалютного трансфера, а также покажем, что наш ончейн-анализ раскрывает в отношении крупных банкротств прошедшего года.

Санкции

Как крупнейшие санкции против криптовалютных проектов повлияли на криптопреступность в 2022 году

Управление по контролю над иностранными активами (OFAC) Министерства финансов США и его эквиваленты в других странах применяют санкции в отношении стран, режимов, частных лиц и организаций, которые считаются угрозой национальной безопасности и внешней политике страны. Традиционно соблюдение санкций опирается на сотрудничество с основными финансовыми учреждениями, но часть акторов для обхода этих посредников обратилась к криптовалютам, что для политиков и контролирующих органов означает новые вызовы, с которыми нужно справляться. Однако присущая блокчейнам прозрачность вкупе с готовностью многих криптовалютных сервисов — в частности, централизованных бирж, выполняющих роль связующего звена между фиатной и криптовалютной системами, — соблюдать требования комплаенса, показали, что применение санкций возможно и в криптомире.

В этом разделе мы рассмотрим, как развивалась стратегия США по введению санкций в отношении криптовалют, какие типы организаций под эти санкции попали и проанализируем влияние санкций на экосистему криптокриминала.

Санкционное давление OFAC на криптовалютные организации активно усиливается с 2021 года

В 2018 году OFAC впервые ввели связанные с криптовалютами санкции против двух граждан Ирана, связанных с вирусом-вымогателем (шифровальщиком) SamSam, и внесли в свой “чёрный список” (SDN) ассоциируемые с ними биткойн-адреса. В следующие несколько лет практически все криптовалютные адреса, выбиравшиеся в качестве идентификаторов санкций, были адресами личных кошельков, контролируемых физическими лицами: в среднем по два адреса на подсанкционное лицо в 2018 году, четыре адреса в 2019 и девять в 2020.

Ситуация изменилась в 2021 году, когда OFAC начало включать в свой “чёрный список” не отдельных недобросовестных акторов, но целые криптовалютные сервисы. В целом, к 2022 году среднее количество адресов на одного подсанкционного субъекта достигло 35, а для некоторых и более 100. Как видно по расширяющейся воронке санкционной деятельности на диаграмме ниже, активность OFAC усилилась в трёх измерениях: управление нацеливалось на более крупные организации, более разнообразные виды сервисов и делало это по более широкому спектру причин.

2022 год был отмечен несколькими крупнейшими на сегодня санкциями OFAC в отношении криптовалютных сервисов. Три из них особенно примечательны не только масштабами, но и тем, как каждый из этих случаев подчёркивает уникальные вызовы в применении санкций против различного типа криптовалютных субъектов: даркнет-маркет Hydra, децентрализованный микшер Tornado Cash и российская криптобиржа Garantex. Но прежде чем перейти к ним, представим обзор всех связанных с криптовалютами санкций за последний год.

Попавшие под санкции в 2022 году криптовалютные субъекты: кто они и какую деятельность ведут

Вот таблица с криптовалютными субъектами, попавшими под санкции США в 2022 году, и причинами наложения этих санкций.

 

Имя / название	Причина наложения санкций
Lazarus Group	Взлом и кража криптовалют в интересах правительства Северной Кореи
Ahmad Khatibi Aghada	Вымогательское ПО
Amir Hossein Nikaeen Ravari	Вымогательское ПО
Alex Adrianus Martinus Peijnenburg	Торговля наркотиками
Matthew Simon Grimm	Торговля наркотиками
Hydra Marketplace	Даркнет-маркет и отмывание денег
Garantex	Отмывание денег
Blender.io	Отмывание денег
Tornado Cash	Отмывание денег
Оперативная группа “Русич”	Российская военизированная группировка в Украине

В 2022 году OFAC ввело санкции против относительно равного количества физических и юридических лиц, ссылаясь на такие виды деятельности, как киберпреступность (включая вирусы-шифровальщики), незаконный оборот наркотиков, отмывание денег и, в случае с оперативной группой “Русич”, участие в военной операции России в Украине. Опять же, такое разнообразие субъектов само по себе является большим изменением по сравнению с санкциями OFAC до 2021 года, все из которых были направлены только против физических лиц и на уровне блокчейна включали лишь небольшое количество личных кошельков.

Деятельность трёх крупнейших субъектов, попавших под санкции США в 2022 году — Hydra, Garantex и Tornado Cash, — до и после включения в список

Чтобы изучить реальное влияние санкций на криптовалютную активность, давайте посмотрим, как вели себя несколько наиболее заметных криптовалютных субъектов, попавших под санкции OFAC за 2022 год, — до и после внесения в этот список. Проанализируем три сервиса: Hydra, Garantex и Tornado Cash. Но сперва вкратце расскажем о каждом из них:

• Hydra был крупнейшим даркнет-маркетом в мире, пока его сервера не были конфискованы немецкой полицией одновременно с включением маркета в санкционный список OFAC в мае 2022 года, что привело к закрытию маркетплейса. Базируясь в России, Hydra не только предоставляла маркетплейс для продажи наркотиков, но и предлагала киберпреступникам, включая операторов вирусов-шифровальщиков, услуги по отмыванию денег.
• Garantex — это высокорисковая криптобиржа, тоже базирующаяся в России и попавшая под санкции одновременно с Hydra за аналогичную деятельность по отмыванию денег. В отличие от Hydra, Garantex продолжает работать и после введения против неё санкций OFAC.
• Tornado Cash — это децентрализованный микшер на блокчейне Ethereum, внесённый в санкционный список OFAC в августе 2022 (и повторно в ноябре) за содействие отмыванию денег — в основном в отношении средств, похищенных хакерскими группировками, ассоциируемыми с Северной Кореей. На сегодня это единственный DeFi-протокол под санкциями OFAC; все остальные — это либо централизованные сервисы, либо персональные кошельки. И поскольку это DeFi-протокол, ни один человек или организация не могут “отключить” Tornado Cash так же легко, как централизованный сервис, что вызвало вопросы о возможности применения санкций к сервису и о том, кого (если вообще кого-либо) можно привлекать к ответственности за использование его в незаконной деятельности.

Ончейн-данные могут рассказать нам больше о типах субъектов, осуществлявших транзакции с этими сервисами до введения санкций.

Примечание: к криминальным транзакциям здесь относятся те, где один или несколько адресов контрагентов связаны с криминальным субъектом, таким как даркнет-маркет или оператор вируса-вымогателя. К высокорисковым (risky) транзакциям относятся те, где один или более адресов контрагентов связаны с высокорисковым субъектом, таким как высокорисковая биржа или провайдер азартных игр. К законным (legitimate) транзакциям относятся те, где один или несколько адресов контрагентов связаны с субъектами, не являющимися заведомо высокорисковыми или криминальными, такими как персональные кошельки или биржи.

• На диаграмме выше показано распределение источников входящих транзакций для каждого из подсанкционных субъектов в течение 60 дней до включения его в список OFAC по признаку того, были ли отправители связаны с законной, криминальной или высокорисковой деятельностью. Обращают на себя несколько моментов:
• Из трёх рассматриваемых сервисов, Hydra имеет наибольший объём криминальных транзакций: 68,2% всех входящих средств поступило с криминальных адресов и ещё 12,6% — с высокорисковых.
• На Garantex, с другой стороны, криминальные источники составляют 6,1% входящего криптовалютного трансфера и ещё 16,1% — высокорисковые источники. 6,1% может показаться небольшой цифрой, но на самом деле это ставит Garantex далеко на более рискованный край спектра для бирж — для централизованных бирж в целом за тот же 60-дневный период доля криминальных адресов во входящем криптовалютном трансфере составила всего 0,3%.
• 34% от всех средств, отправленных в Tornado Cash, поступили из криминальных источников, но это значение колебалось ото дня ко дню, причём большая часть криминальных средств поступала кратковременными всплесками.

Давайте теперь посмотрим на конкретные типы криминальных субъектов, направлявших средства в каждый из этих подсанкционных сервисов.

Garantex и Hydra за 60 дней перед включением их в санкционный список получали средства от широкого спектра криминальных субъектов, включая фрод-шопы, мошеннические проекты и, что важно, вымогательское ПО. За тот же период Hydra получила от криптовалютных адресов, связанных с операторами вымогательского ПО, около $176 000, что составляет 2,2% от всех средств, отправленных адресами этой категории. Для Garantex объём такого трансфера был ещё выше — $931 000, или 11,6% от всех средств, отправленных с криптовалютных адресов, связанных с операторами вымогательского ПО. Эти цифры подчёркивают, насколько важную роль играли эти сервисы — особенно Garantex — в организации атак вирусов-вымогателей. И напомним ещё раз, что эти цифры в долларах могут расти по мере выявления новых кошельков, связанных с операторами вымогательского ПО.

В криминальном входящем ончейн-трансфере Tornado Cash существенную долю составляли только два вида киберпреступности: криптовалютные взломы и мошеннические проекты. Этого не видно из приведённого выше графика, но надо отметить, что украденные средства составляют практически весь этот объём — 99,7% от всех криминальных средств, полученных за 60-дневный период. Приток украденных средств происходит периодическими всплесками, в свою очередь, приводящими к всплескам общего притока криминальных средств в Tornado Cash, наблюдаемым на предыдущем графике. На взлом Harmony Bridge, произошедший в июне 2022 года, примерно за 45 дней до включения Tornado Cash в санкционный список, приходится 65,7% от общего входящего объёма украденных средств на миксер за этот период. Этот паттерн из отдельных уникальных событий контрастирует с более устойчивыми криминальными потоками в даркнет-маркетах, генерирующих постоянные потоки криминальных средств.

Как вели себя подсанкционые организации после включения в санкционный список?

Ончейн-данные показывают, что на каждый из трёх попавших под санкции сервисов это повлияло по-разному. На графиках ниже показаны объёмы входящего криптовалютного трансфера для Garantex, Hydra и Tornado Cash за 60 дней до и после включения их в санкционный список.

На одном конце спектра находится Hydra. Приток криминальных средств на маркетплейс после введения санкций упал до нуля в связи с одновременной конфискацией его серверов в ходе скоординированной полицейской операции.

На другом конце спектра — Garantex, против которой подобной операции проведено не было, и после включения в санкционный список объёмы её транзакций неуклонно росли. Например, за четыре месяца по апрель 2022, когда на Garantex была внесена в санкционный список, на высокорисковую биржу ежемесячно поступало в среднем $620,8 млн. После введения санкций приток средств на биржу значительно увеличился, составив в среднем около $1,3 млрд в месяц в период по октябрь включительно. По-видимому, это связано с тем, что и сама Garantex, и большинство её пользователей, находятся в России, правительство которой не применяет американские санкции, в результате чего у пользователей вне юрисдикции США практически отсутствуют стимулы прекратить использование Garantex. Garantex прямо заявила в социальных сетях о своём намерении продолжать работу сразу же после введения санкций.

Tornado Cash находится в середине этого спектра: его активность после введения санкций значительно снизилась, но не прекратилась полностью. Как мы уже упоминали, Tornado Cash работает на смарт-контрактах, которые невозможно отключить, как это может сделать централизованный сервис, поэтому ничто, кроме юридических последствий обхода санкций, не может помешать его использованию. Однако веб-сайт Tornado Cash, служивший интерфейсом для лёгкого доступа к услугам микшера, был закрыт, что усложнило доступ к микшеру. Кроме того, будучи глобальным сервисом, Tornado Cash, вероятно, имеет больше пользователей, которые могут столкнуться с последствиями за нарушение санкций США либо оказаться лишёнными доступа к другим сервисам, если их кошельки будут проводить транзакции с адресами Tornado Cash после его включения в санкционный список.

Глубже разбирая эти паттерны совокупного притока, видно также, что различные виды контрагентов по-разному реагировали на введение санкций против каждого из сервисов. Hydra мы рассматривать не будем, так как уже видели выше, что её финансовые потоки сократились до нуля ввиду конфискации серверной инфраструктуры даркнет-маркета.

Вот как изменился приток средств на биржу Garantex от различных видов сервисов и ончейн-субъектов после включения биржи в санкционный список.

Большинство контрагентов Garantex продолжили пользоваться биржей примерно на том же уровне, что и до введения санкций в отношении биржи, и, по всей видимости, не были сильно обеспокоены наложением на биржу американских санкций. На самом деле даркнет-маркеты и скамеры стали отправлять на Garantex даже больше средств, возможно, будучи уверенными, что биржа не будет пытаться как-то ограничить их активность.

В Tornado Cash, с другой стороны, наблюдалось сокращение входящих объёмов практически от каждой категории криминальных адресов; исключение составило увеличение потока средств от скамеров и микширующих сервисов. Однако, несмотря на процентное увеличение, ни одна из этих категорий адресов в любом случае не направляла в Tornado Cash особенно большие объёмы до введения санкций против него. Что касается скамов, то прирост обеспечивался одним мошенническим проектом с продвижением в YouTube и, вероятно, не отражает более широкой тенденции.

Повлияли ли санкции на криминальных пользователей подсанкционных сервисов?

Четыре из субъектов, включённых в санкционные списки в 2022 году, оказались там — по крайней мере отчасти — в связи с тем, что предоставляли услуги по отмыванию денег другим преступникам: операторам шифровальщиков, мошенникам и хакерам:

• Hydra
• Garantex
• Tornado Cash
• Blender.io (ещё один микшер)

Это говорит о том, что одной из целей санкций является разрушение криминальных схем для преступников, использовавших эти сервисы для отмывания денег. Произошло ли это на практике? Иначе говоря, если бы я был криптопреступником, использовавшим один (или несколько) из этих сервисов для отмывания денег, получил бы я меньше доходов, чем ожидалось, в результате наложения на него санкций?

Ниже мы попытаемся ответить на этот вопрос, оценив среднюю разницу между фактическими входящими потоками и ожидаемыми потоками от криминальных субъектов, использовавших вышеперечисленные сервисы до введения санкций против них. Для расчёта ожидаемых входящих объёмов мы использовали в качестве контрольной группы показатели других нелегальных сервисов в тех же криминальных категориях, но не пользовавшихся услугами этих четырёх подсанкционных сервисов. Эти другие нелегальные сервисы помогают установить базовый уровень дохода для двух месяцев после введения санкций против каждого из “отмывочных” сервисов. [1] Мы обнаружили, что криминальные субъекты, использовавшие подсанкционные сервисы, значительно потеряли в потенциальном доходе в первые два месяца после введения санкций — например, для среднего даркнет-маркета, прежде отправлявшего средства на один из подсанкционных сервисов, доход в следующие два месяца после введения санкций сократился на $25 тыс. по сравнению с тем расчётным доходом, что он мог бы получить, если бы тот сервис не был включён в санкционный список.

Наиболее пострадавшей категорией оказались администраторы киберкриминала, для которых, из-за санкций против “отмывочных” сервисов, которые они прежде использовали, доход в среднем сократился на $750 тыс. А единственным исключением из этого тренда стали фрод-шопы, которые в среднем получили прибыли на $5000 больше прогнозируемого уровня в отсутствие санкций в отношении их “отмывочного” сервиса.

Важно помнить, что на графике выше показано только среднее расчётное изменение доходов для контрагентов подсанкционных “отмывочных” сервисов. Поскольку в каждой категории есть несколько субъектов, которые прежде пользовались этими “отмывочными” сервисами, оценочные общие потери по категориям намного выше.

 

Категория криминала	Количество субъектов	Изменение среднего входящего потока	Общее изменение в доходе для категории
Даркнет-маркет	11	-$24.634,52	-$270.979,67
Фрод-шоп	10	$5222,79	$52.227,91
Администрирование киберкриминала	20	-$749.907,00	-$14,998,139.98
Вымогательское ПО	6	-$9621,23	-$57.727,38
Мошенничество	23	-$13.333,58	-$306.672,24
Украденные средства	42	-$42.895,81	-$1.801.624,08

Здесь надо оговориться, что, хотя мы приняли меры для контроля других факторов и анализировали только изменения доходов, вызванные санкциями в отношении их “отмывочных” сервисов, у изменения доходов этих криминальных субъектов после введения санкций могут быть и другие причины. И важно подчеркнуть, что мы рассматриваем изменения в доходах в течение только двух месяцев после введения санкций против “отмывочных” сервисов; вполне возможно (и даже вероятно), что любое вызванное этим снижение доходов криминальных субъектов будет временным и что в скором времени они найдут другие “отмывочные” сервисы, не находящиеся под санкциями. Тем не менее, наши результаты говорят о том, что санкции против сервисов по отмыванию денег действительно нарушили — по крайней мере, временно, — схему работы криминальных структур, полагавшихся на эти сервисы, и повлияли на их итоговую прибыль.

Основные выводы: эффект от санкций в отношении криптовалютных сервисов зависит от юрисдикции и технических ограничений

Новые технологии и формы передачи ценности меняют ландшафт правоприменения в сфере борьбы с финансовыми преступлениями. OFAC узнаёт об этом на собственном опыте, и за последние два года оно заметно продвинулось в этих практиках, перейдя от мер против отдельных физических лиц к введению санкций в отношении криптовалютных сервисов, способствующих отмыванию денег и другим вредоносным формам деятельности с использованием криптовалют. Три примера, на которых мы сосредоточились выше, показывают, как различные переменные влияют на способность правительственных агентств применять санкции к таким сервисам.

Кейс Hydra показывает, что санкции могут быть чрезвычайно эффективными в отношении субъектов, ключевая инфраструктура которых находится в сотрудничающих юрисдикциях. Серверы Hydra находились в Германии, немецкие правоохранительные органы скоординировали свои действия с американскими и конфисковали эти серверы, нанеся тем самым смертельный удар по организации, в дополнение к санкциям, наложенным на даркнет-маркет OFAC.

С другой стороны, кейс Garantex показывает, что происходит в отсутствие такого международного сотрудничества. Хотя Garantex была в значительной степени отрезана от экосистемы соблюдающих комплаенс бирж, Россия отказалась вводить санкции против сервиса, так что он продолжает работать практически без ограничений. Этот пример показывает, как трудно OFAC эффективно применять санкции в отсутствие официальных каналов сотрудничества с соответствующими юрисдикциями.

Наконец, пример с децентрализованным сервисом, таким как Tornado Cash, выглядит более сложным. Хотя веб-сайт сервиса был закрыт, его смарт-контракты могут продолжать работать неограниченное время, а значит, любой человек, обладая необходимой информацией, может воспользоваться сервисом. Это означает, что санкции против децентрализованных сервисов действуют скорее как инструмент дестимулирования пользования сервисом, а не полного прекращения его использования. И в случае с Tornado Cash эти стимулы, по-видимому, оказались довольно мощными, поскольку объём входящих финансовых потоков сервиса сократился на 68% за 30 дней после введения санкций. Это тем более важно в контексте микшера, поскольку микширование становится тем менее эффективным инструментом для отмывания денег, чем меньше средств в целом получает микшер.

Эти случаи показывают, как OFAC и эквивалентные ему ведомства других стран могут подходить к введению санкций против разного рода субъектов и организаций, связанных с криптовалютами. Будет интересно понаблюдать за развитием этих моделей по мере того, как регуляторы будут совершенствовать свою способность эффективно использовать санкции против различных видов незаконных криптовалютных сервисов в партнёрстве с другими управлениями и юрисдикциями.

Вымогательское ПО

Доходы вымогательского ПО снижаются, поскольку всё больше жертв отказываются платить выкуп

2022 стал важным годом в борьбе с программами-вымогателями. В 2022 году злоумышленники получили от жертв этого типа вредоносного ПО по меньшей мере $456,8 млн, по сравнению с $765,6 млн годом ранее.

Как всегда, здесь надо оговориться, что эти результаты представляют собой нижнюю границу, и цифры будут расти по мере обнаружения новых криптовалютных адресов, связанных с этой категорией криминальной деятельности. Например, на момент публикации прошлогоднего отчёта мы идентифицировали платежей в адрес операторов вымогательского ПО всего на $602 млн. Тем не менее, тенденция очевидна: объём платежей в адрес такого рода злоумышленников значительно сократился.

Однако это не означает, что сократилось количество атак — по крайней мере, не настолько сильно, как можно было бы предположить по резкому сокращению объёмов платежей. Мы считаем, что в значительной степени это снижение связано с тем, что жертвы вирусов-шифровальщиков всё чаще отказываются платить злоумышленникам выкуп за восстановление доступа к данным. Мы ещё обсудим это явление ниже, но сперва давайте рассмотрим общие тенденции развития программ-вымогателей в 2022 году.

2022 год для вымогательского ПО в цифрах

Несмотря на явное сокращение доходов, количество уникальных видов программ-вымогателей в 2022 году, как сообщается, резко возросло: в исследовании компании Fortinet, специализирующейся в области информационной безопасности, говорится о более чем 10 000 активных уникальных вирусов за первую половину 2022 года. Ончейн-данные подтверждают, что количество активных вирусов за последние годы значительно выросло, но подавляющая часть доходов от этих “шифровальщиков” в каждый момент времени достаётся небольшой группе вирусов. Однако мы видим также, что состав этой самой прибыльной группы меняется в течение года.

Одновременно с тем жизненный цикл программ-вымогателей продолжает сокращаться. В 2022 году средний период активности для вирусов этого типа составлял всего 70 дней, по сравнению со 153 днями в 2021 и 265 в 2020. Как мы ещё будем говорить ниже, скорее всего, это связано с попыткой злоумышленников запутать следы своей деятельности, поскольку многие операторы таких программ работают с несколькими вирусами.

Что касается отмывания денег, данные показывают, что большинство злоумышленников, использующих программы-вымогатели, направляют полученные от жертв средства на обычные централизованные биржи.

На самом деле, доля средств от вымогательства, направляемых на крупные централизованные биржи, выросла с 39,3% в 2021 году до 48,3% в 2022, тогда как доля средств, направляемых на высокорисковые биржи, снизилась с 10,9% до 6,7%. Использование для отмывания полученных выкупов нелегальных сервисов, таких как даркнет-маркеты, также снизилось, в то время как использование микшеров возросло с 11,6% до 15%.

Оценка экосистемы вымогательского ПО

Постоянная сменяемость ведущих “штаммов” вымогательского ПО и появление новых вирусов говорит о высокой плотности и конкуренции на этом поле: большое количество криминальных организаций конкурируют друг с другом, плюс на сцену постоянно выходят новые игроки. Однако внешняя картина может быть обманчивой. При всей многочисленности активных в течение года вирусов, реальное количество людей, составляющих экосистему вымогательского ПО, скорее всего, довольно мало.

Один из признаков этого состоит в пересечении и аффилиатов. Большинство вирусов-вымогателей функционируют по модели Ransomware-as-a-Service (RaaS), в которой разработчики вируса позволяют другим лицам, аффилиатам, использовать ПО для проведения атак в обмен на небольшую фиксированную долю в выручке. Однако мы неоднократно видели, как многие аффилиаты проводят атаки с использованием нескольких различных вирусов. Так что, хотя технически в течение 2022 года могли быть активны десятки вариантов вирусов-вымогателей, многие атаки с использованием этих вирусов, вероятно, осуществлялись одними и теми же аффилированными лицами. Это как гиг-экономика, но для вымогательского ПО. У одного таксиста тоже могут быть одновременно активны приложения Uber, Lyft и Oja, создавая иллюзию трёх разных водителей на дороге, хотя на самом деле это одна и та же машина.

Microsoft Security приводили подобный пример в своём блоге, рассказав об одной очень активной группе аффилиатов, которую они назвали DEV-0237, проводившей атаки с использованием вирусов-вымогателей Hive, Conti, Ryuk и BlackCat. Исследователи Microsoft Security смогли выявить этот пример использования многих вирусов одной аффилированной группой злоумышленников, проанализировав технические детали того, как проводились атаки, но мы можем выявить подобные примеры и на основе блокчейн-данных. На графе из Chainalysis Reactor ниже мы видим аффилиата, на кошелек которого в разное время поступили крупные суммы от операторов вирусов Dharma, Conti и BlackCat, что означает, что аффилиат осуществлял атаки для всех трёх вирусов.

Conti — интересный пример того, как не только аффилиаты, но и администраторы вируса проводят ребрендинг и переключаются с вируса на вирус. Conti оставался самым распространённым из вирусов-вымогателей несколько лет, а в 2021 году стал и самым прибыльным в своей категории. Но в феврале 2022, сразу после начала военной операции России в Украине, команда Conti публично заявила о своей поддержке правительства Путина. Вскоре после этого произошла утечка кэша внутренней переписки Conti, которая обнаружила связи между киберпреступной группировкой и Федеральной службой безопасности России.

По этим причинам многие жертвы их вируса и фирмы, специализирующиеся в реагировании на такого рода атаки, решили, что платить выкуп Conti слишком рискованно, поскольку ФСБ, в отличие от самой Conti, находится по санкциями США. В ответ на это Conti в мае объявили о прекращении работы, но вскоре после этого большая часть команды разделилась на более мелкие группы и продолжила свою деятельность. Как мы показали выше, закрытие Conti заставило многих аффилиатов проводить атаки для других вирусов, выкупы которым жертвы были готовы платить с большей вероятностью. Еще один подобный пример приведён ниже.

Здесь мы видим аффилиата Conti, который начал работать с Suncrypt, Monti и Lockbit.

Однако ребрендинг проводили не только аффилиаты Conti. Ончейн-данные показывают, что администраторы самой программы тоже стали работать с другими вирусами, включая лидера группы под псевдонимом Stern. Граф из Reactor ниже показывает, что после закрытия Conti в 2022 году Stern осуществлял транзакции с адресами, связанными с такими вирусами, как Quantum, Karakurt, Diavol и Royal.

Обратите внимание, что во многих случаях злоумышленники использовали одни и те же кошельки для нескольких атак, номинально проводимых с другими вирусами. Эта ончейн-активность подтверждает результаты исследования AdvIntel, раскрывающего планы администраторов Conti о переносе операций на некоторые из вышеупомянутых вирусов. Это отличный пример того, как блокчейн-анализ в сочетании с техническим анализом кода вымогательского ПО и паттернов атак может выявить ответвления от вымогательских вирусов которые стали слишком рискованными для того, чтобы выплачивать им выкуп.

Учитывая эти данные, можно ли считать, что Conti действительно закрылась, если и лидер, и аффилиаты и другие члены группы по-прежнему успешно проводят атаки вымогательским ПО под новыми брендами? Данные показывают, что, возможно, более продуктивно рассматривать экосистему вымогательского ПО не как набор отдельных вирусов, но как довольно небольшую группу хакеров, регулярно сменяющих используемые бренды. Гибкость, с которой аффилиаты переключаются между брендами вымогательского ПО, заставляет сектор казаться больше, чем он есть на самом деле. «Количество ключевых лиц в этой отрасли невероятно, неправдоподобно мало по сравнению с воспринимаемым — может быть пара сотен, — говорит Билл Сигел, CEO и сооснователь компании Coveware, специализирующейся на реагировании на инциденты с использованием программ-вымогателей. — Это всё одни и те же преступники, только постоянно “перекрашивающие свои машины”». Сигел также отметил, что в последнее время такая активность возросла, и что аффилиаты теперь гораздо чаще меняют вирусы, вместо того, чтобы работать с одним в течение долгого времени. Но, несмотря на усилия злоумышленников, прозрачность блокчейна позволяет расследователям обнаруживать эти попытки ребрендинга практически сразу.

Важная тенденция: жертвы вымогательского ПО стали реже платить выкуп

Исходя из данных, доступных нам на сегодня, общий доход от вымогательского ПО в 2022 году снизился до $456,8 млн по сравнению с $765,6 млн в 2021 — огромное падение на 40,3%. Однако данные говорят о том, что это связано с растущим нежеланием жертв платить злоумышленникам выкуп, а не с уменьшением фактического числа атак. Чтобы лучше разобраться в теме, мы побеседовали с несколькими экспертами в области вымогательского ПО и обеспечения безопасности от него.

Первый вопрос, который приходит на ум: как мы можем знать, что жертвы платят меньше, учитывая уже упомянутое отставание из-за времени, требуемого для идентификации адресов вирусов-вымогателей, и массовое занижение жертвами информации об атаках? Майкл Филлипс, главный специалист по претензиям компании Resilience, занимающейся киберстрахованием, отметил, что компаниям не стоит расслабляться на этот счёт только потому, что доходы от вымогательских программ сократились. «Данные по страховым случаям в индустрии киберстрахования показывают, что вымогательское ПО остаётся растущей киберугрозой для бизнеса. Тем не менее, есть признаки того, что значительные препятствия, подрывающие работу групп, которые администрирующих вымогательское ПО, приводят к большему, чем ожидалось, сокращению числа успешных попыток вымогательства», — сказал он нам. Среди таких подрывающих работу факторов Филлипс упомянул и вооружённый конфликт в Украине, и усиление давления на криминальные объединения со стороны правоохранительных органов западных стран, включая арест и возврат незаконно полученных криптовалют.

Специалист по аналитической работе из компании Recorded Future Аллан Лиска, известный также под псевдонимом Ransomware Sommelier, указал на данные, которые команды наподобие его собственной собирают на сайтах утечек данных, где многие операторы вымогательского ПО публикуют украденные у жертв данные, чтобы заставить тех заплатить. «Большинство организаций собирают похищенные данные с таких сайтов для сбора базовой виктимологической информации. По этому показателю число атак с использованием вымогательского ПО в период с 2021 по 2022 год сократилось с 2865 до 2566 — на 10,4%», — говорит Лиска.

Если взять данные об утечках в качества косвенного показателя количества атак, то всё равно остаётся огромный разрыв между 10,4% сокращением в утечках и 40,3% падением доходов от использования вымогательского ПО. И наши беседы с представителями фирм, занимающихся киберстрахованием и реагированием на такого рода инциденты, говорят о том, что значительная часть снижения доходов объясняется тем, что жертвы стали реже платить выкуп. Билл Сигел из компании Coveware предоставил нам статистику о вероятности выплаты выкупа жертвами вымогательского ПО, основанную на данных о клиентах его фирмы за последние четыре года:

	2019	2022	2021	2022
Выкуп выплачен	76%	70%	50%	41%
Выкуп не выплачен	24%	30%	50%	59%

Тенденция выглядит весьма обнадеживающе: с 2019 года частота выплат выкуп жертвами вымогательского ПО снизилась с 76% до всего 41%. Но чем именно объясняется это снижение? Одним из важных факторов является то, что выплаты стали более рискованными с юридической точки зрения, особенно после выхода в сентябре 2021 года рекомендации OFAC о потенциальном нарушении введённых санкций при выплате выкупа. «С введением санкций возникает дополнительная угроза юридических последствий выплаты выкупа в адрес злоумышленников», — замечает Лиска. Билл Сигел согласился с ним, сказав нам, что его фирма отказывается платить выкуп при наличии даже намёка на связь злоумышленников с находящимся под санкциями субъектом или организацией.

Ещё один важный фактор — фирмы киберстрахования, которые обычно возмещают выплаты жертвам вымогательского ПО. «Киберстрахование действительно ужесточает требования не только к тем, кого они страхуют, но и к тем, для платежей в чей адрес эти выплаты могут быть использованы, так что вероятность того, что их клиенты таких фирм будут использовать страховые выплаты для оплаты выкупа администраторам вымогательского ПО снижается», — говорит Лиска. Филлипс в своём ответе высказал те же соображения: «Сегодня вы должны соблюдать строгие меры кибербезопасности и резервного копирования, чтобы получить страховку на случай вымогательства. Эти требования, как показала практика, активно помогают компаниям восстанавливаться после атак, а не платить выкуп. Повышенное внимание к защите от факторов, способствующих распространению вымогательского ПО, привело к снижению затрат компаний на урегулирование этих инцидентов и способствовало тенденции к сокращению выплат вымогателям».

Сигел согласился с тем, что требования фирм киберстрахования к принятию эффективных мер кибербезопасности является ключевым фактором тенденции к снижению частоты выплат выкупа, и рассказал о некоторых мерах, обязательных для их клиентов. «Многие страховые фирмы ужесточают стандарты андеррайтинга и не будут продлевать полис, если страхователь не имеет комплексных систем резервного копирования, EDR и многофакторной аутентификации. Это побудило многие компании усилить меры безопасности», — говорит Сигел. Лиска согласился с тем, что за последние несколько лет практики кибербезопасности значительно улучшились. «В 2019 году, когда “охота на крупную дичь” и RaaS стали быстро набирать обороты, многие специалисты в области безопасности цифровых данных в очередной подчёркивали важность резервного копирования. Безопасники говорят что-то, организации внедряют, и это может занять какое-то время. Хотя наличие эффективного резервного копирования само по себе не остановит атаки вымогательского ПО и не поможет в случае кражи данных, оно даёт жертвам больше возможностей, чтобы не платить выкуп», — сказал он.

Сигел рассказал нам о том, что для компаний с хорошо сегментированными и в то же время доступными резервными копиями данных атаки гораздо реже приводят к существенному воздействию на бизнес, и сказал, что они регулярно советуют клиентам не платить вымогателям, если только платёж не является экономически оправданным в силу значимости воздействия. Лиска тоже подчеркнул, что бэкапы — тоже не панацея, отметив, что процесс восстановления данных может занимать месяцы и сделать жертв вымогательского ПО уязвимыми для последующих атак в течение этого периода, как это происходило в случае австралийской логистической компании Toll Group, которая в 2022 году подверглась двум атакам за три месяца.

Конечно, наилучший сценарий для организаций состоит в том, чтобы вообще не становиться жертвами вымогательского ПО. И с этой точки зрения Лиска рекомендует компаниям проводить регулярные теоретические учения, в ходе которых все соответствующие команды — кибербезопасности, сетевых технологий, ИТ, администраторы серверов, резервного копирования, связей с общественностью, финансовая и т.д. — встречаются с руководством, чтобы определить, как организация может обеспечить свою безопасность, выявить уязвимости и понять, кто отвечает за все аспекты безопасности. «Реалистичная картина положения дел в вашей организации, её слабых и сильных сторон, позволит лучше подготовить всех сотрудников на случай, если организация подвергнется атаке вымогательским ПО, а также поможет руководству понять, куда необходимо направить средства для повышения безопасности сети до того, как атака произошла», — говорит Лиска.

Если всё больше компаний будут реализовывать эти лучшие практики резервного копирования и безопасности данных, то можно надеяться, что в 2023 году и далее доходы от атак с использованием вымогательского ПО продолжат снижаться.

Как голландская Национальная полиция обманом вынудила операторов распространённого вируса-вымогателя Deadbolt выдать жертвам ключи дешифрования

Deadbolt — это вирус-шифровальщик, впервые использованный в начале 2021 года и действующий совершенно иначе, нежели другие заметные вирусы последних нескольких лет. В то время как большинство группировок, использующих вымогательское ПО, атакуют главным образом крупные организации, которые могут позволить себе большие выкупы, Deadbolt, напротив, исповедует подход “spray and pray” (“распространи и молись”), атакуя малые бизнесы и даже частных лиц в большом количестве и требуя с них сравнительно небольшой выкуп. Причина в том, что Deadbolt использует уязвимость в сетевых устройствах хранения данных, производимых компанией QNAP, а не заражение целых компьютерных сетей, что является основной тактикой “охоты на крупную дичь”, которую предпочитает большинство программ-вымогателей.

Deadbolt также иначе коммуницирует с жертвами, нежели другие вирусы-вымогатели. В то время как многие вирусы создают специальные веб-сайты для коммуникаций с жертвами и предоставляют ключи дешифрования тем, кто заплатит, Deadbolt просто инструктирует жертв заплатить определенную сумму на определёный биткойн-адрес в сообщении, который появляется, когда жертва пытается получить доступ к зараженному устройству.

Получив платёж, Deadbolt автоматически отправляет жертве ключ дешифрования в биткойн-транзакции пренебрежимого номинала. Ключ дешифрования записывается в поле OP_RETURN транзакции. Чтобы отправить OP_RETURN, необходимо перевести некоторую сумму криптовалюты; блокчейн-анализ показывает, что разработчики Deadbolt запрограммировали отправку транзакции на пренебрежимую сумму в 0,0000546 BTC (около $1 на тот момент) на собственный кошелек для оплаты выкупа при получении каждой оплаты от жертвы.

Хотя это удобный метод доставки ключей дешифрования, именно его использовала голландская Национальная полиция, чтобы обмануть Deadbolt и заставить его передать ключи сотням жертв, что позволило им восстановить свои данные бесплатно. Ниже мы расскажем, как им это удалось, но сперва давайте подробнее взглянем на деятельность Deadbolt за последние два года.

Общие данные об активности вируса-вымогателя Deadbolt

За 2022 год Deadbolt получил более $2,3 млн выкупа от 4923 жертв; средний размер выкупа составил $476, по сравнению с более чем $70 000 для всех видов вымогательского ПО.

Выручка Deadbolt в прошлом году была относительно небольшой среди всех вирусов-вымогателей, но с точки зрения охвата и количества жертв он был самым распространённым. На самом деле, если использовать все неоплаченные адреса, связанные с жертвами Deadbolt, которые не стали платить, как косвенный показатель количества заражений, то общее количество жертв этого вируса можно оценить примерно в 5500 физических и юридических лиц.

Этот охват действительно прослеживается на графе из Chainalysis Reactor выше, показывающем тысячи платежей жертв в адрес Deadbolt.

Как голландской Национальной полиции удалось получить ключи дешифрования Deadbolt без оплаты

Следователи Национальной полиции Нидерландов (Cybercrimeteam Oost-Nederland и Cybercrimeteam Oost-Brabant) уже несколько месяцев вели расследование, анализируя транзакции между Deadbolt и его жертвами, когда, следуя наводке голландской компании Responders.NU, специализирующейся в реагировании на инциденты в области кибербезопасности, смогли прийти к ключевому выводу. «Изучая граф транзакций, мы заметили, что в ряде случаев Deadbolt предоставлял ключи дешифрования до того, как платёж жертвы получал подтверждение в блокчейне», — рассказал один из следователей, работавший с этим делом. Криптовалютная транзакция не является финализированной как минимум до тех пор, пока блок с ней не будет добавлен в блокчейн; для Биткойна этот процесс занимает около десяти минут на блок. Однако в течение этого времени неподтвержденные транзакции находятся в публичном мемпуле Биткойна. «Это означало, что жертва могла отправить платёж на адрес Deadbolt, дождаться, пока тот пришлёт ключ дешифрования, а затем с помощью Replace-By-Fee (RBF) изменить ожидающую транзакцию так, чтобы платёж выкупа вернулся к жертве», — рассказал следователь.

Тогда полиция разработала план по отправке и возврату платежей с выкупом для как можно большего числа жертв Deadbolt, чтобы получить для них ключи дешифрования. Они понимали, что у них будет только одна попытка, поскольку Deadbolt наверняка быстро заметят изъян в своей автоматизированной системе распределения ключей дешифрования и исправят его.

Первый шаг заключался в том, чтобы найти как можно больше жертв Deadbolt, которые ещё не заплатили выкуп. «Мы искали жертв Deadbolt в полицейских отчётах по всей Голландии и взяли оттуда биткойн-адреса, предоставленные вирусом. В случаях, когда адрес не был указан, мы связывались с жертвами». Голландская полиция сотрудничала также с Европолом для поиска жертв и в других странах, таковых обнаружив в общей сложности 13. Далее команде нужно было протестировать, действительно ли они могут отправить и отозвать большое количество платежей, чтобы помочь как можно большему числу пострадавших. «Мы написали скрипт для автоматической отправки транзакции в Deadbolt, ожидания появления ответной транзакции с ключом расшифровки в ответ и использования RBF для нашей платёжной транзакции. Поскольку протестировать этот скрипт на Deadbolt мы не могли, пришлось запускать его в тестовых сетях, чтобы убедиться, что он работает», — рассказал нам следователь.

Когда всё было готово, команда развернула свой скрипт и начала процесс отправки и возврата платежей для жертв Deadbolt. Команда Deadbolt быстро поняла, что происходит, и остановила свои автоматизированные OP_RETURN транзакции. Но этого времени хватило голландской полиции, чтобы получить ключи дешифрования для почти 90% жертв вируса, в том числе сообщивших платёжные адреса вируса через Европол, и лишить Deadbolt сотен тысяч долларов. Хотя Deadbolt по-прежнему активен, группа была вынуждена перейти на более ручной процесс предоставления ключей дешифрования через OP_RETURN биткойн-транзакций, что увеличивает накладные расходы Deadbolt.

В целом, операция голландской Национальной полиции против Deadbolt является ценным напоминанием о том, что блокчейн-анализ имеет применение не только для отслеживания движения средств. В данном случае полиция с его помощью смогла обнаружить критически важную уязвимость в методах работы Deadbolt, внимательно изучив паттерны транзакций и покопавшись в их метаданных. Операция показывает также, почему жертвам вымогательского ПО важно сообщать о фактах атаки властям. Никто из тех, чьи данные были похищены Deadbolt, вероятно, не знал, что подобная операция возможна, но в таких областях, как криптовалюты и кибербезопасность, уникальные решения могут прийти откуда угодно. Полиция Нидерландов могла связаться только с теми жертвами, кто обратился в полицию в своих странах, а те, кто этого не сделал, могли упустить возможность бесплатно восстановить доступ к данным.

Отмывание денег

Отмывание денег посредством криптовалют: четыре биржевых адреса получили более $1 млрд криминальных средств в 2022 году

Отмывание денег имеет ключевое значение для любых финансово мотивированных преступлений, поскольку именно оно позволяет преступникам воспользоваться полученными средствами. Иначе зачем вообще совершать преступления? То же верно и в отношении криптовалют. Целью отмывания денег в криптовалютах является перемещение средств на адреса, где их первоначальный криминальный источник не может быть обнаружен, и в конечном счёте на сервис, позволяющий обменять криптовалюту на наличные — обычно это биржа. Если бы это было невозможно, то было бы очень мало стимулов использовать криптовалюты при совершении преступлений.

Мы уже писали о том, что деятельность по отмыванию денег сильно сконцентрирована на весьма ограниченном количестве сервисов, а внутри этих сервисов она ещё больше сконцентрирована на небольшом количестве депозитных адресов. Это остаётся актуальным и для 2022 года, хоть и с некоторыми изменениями, как мы увидим далее. Кроме того, мы рассмотрим рост подпольных сервисов по отмыванию денег, существующих отдельно от знакомых многим видов криптобизнеса, а также проанализируем криминальные средства, ещё хранящиеся преступниками на блокчейне.

Итоговые данные по отмыванию денег посредством криптовалют в 2022 году

Отмывание денег в криптовалютах обычно связано с двумя типами ончейн-субъектов и сервисов:

• Посреднические сервисы и кошельки. К ним могут относиться личные кошельки (называемые также автономными), микшеры, даркнет-маркеты и другие сервисы, как легальные, так и нет. Криптокриминал обычно используют эти сервисы для временного хранения средств, запутывания их перемещений или обмена между различными активами. DeFi-протоколы тоже используются криминальными акторами для конвертации активов, но, как мы покажем позже, не являются эффективным средством сокрытия финансовых потоков.
• Сервисы фиатного обмена, позволяющие обменивать криптоактивы на фиатные валюты. Это самая важная часть процесса отмывания, поскольку переведённые в сервис средства уже невозможно отследить с помощью блокчейн-анализа — только сам сервис будет иметь представление о том, куда они направляются дальше. Кроме того, если средства конвертируются в наличные, то их дальнейшее движение можно отследить разве что традиционными методами финансового контроля. В большинстве случаев для этого используются централизованные биржи, но и P2P-биржи и иные сервисы тоже могут выполнять эту функцию.

С учётом этого, давайте рассмотрим некоторые тенденции отмывания денег, которые можно было наблюдать в 2022 году.

В целом, в 2022 году с криминальных адресов было отправлено криптовалют на сумму почти $23,8 млрд — на 68,0% больше, чем в 2021. Как и обычно, крупнейшими получателями криминальных криптовалют были крупные централизованные биржи, принявшие чуть менее половины всех средств, отправленных с криминальных адресов. Это примечательно не только потому, что на этих биржах, как правило, применяются процедуры комплаенса, обязывающие сообщать о подобной активности и принимать меры в отношении соответствующих пользователей, но и потому, что эти биржи являются точками конвертации криптоактивов в наличные фиатные валюты.

На DeFi-протоколы было направлено больше криминальных средств, чем когда бы то ни было прежде, что является продолжением тенденции, начавшейся в 2020 году. Киберкриминал отправляет средства на DeFi-протоколы не потому, что они полезны для сокрытия денежных потоков. На самом деле ровно наоборот, так как, в отличие от централизованных сервисов, в DeFi все сделки записываются в блокчейн. И не забывайте также, что DeFi-протоколы не позволяют конвертировать криптовалюты в фиат, поэтому большая часть этих средств, скорее всего, впоследствии была перемещена в другие сервисы. И как мы увидим ниже, практически всё использование DeFi-протоколов для отмывания денег осуществляется только одной криминальной группой: хакерами, крадущими криптовалюты.

Хакеры, удерживающие украденную криптовалюту, — единственная категория киберкриминала, направляющая в DeFi-протоколы большую часть средств — 57,0%. 2022 был чрезвычайно успешным годом для хакеров, так что эта категория криминала практически в одиночку смогла стимулировать общий рост использования DeFi-протоколов для отмывания денег. И тот факт, что сами DeFi-протоколы стали самой главной мишенью для взломов в 2022 году, тоже влияет на эти цифры. В результате успешного взлома DeFi злоумышленники часто получают токены, не котируемые на других биржах, так что им приходится использовать децентрализованные биржи (DEX), чтобы обменять эти токены на более ликвидные криптоактивы. DEX исторически использовались для конвертации средств в ETH, которые затем можно отправить в микшеры на Ethereum. DEX также используются для конвертации в активы, которые с большей вероятностью сохранят свою стоимость, или, в случае со стейблкойнами, для обмена на актив, который не может быть заморожен эмитентом (как стейблкойны). Однако, как уже отмечалось, DEX не позволяют конвертировать средства из криптовалют в фиат — это по-прежнему приходится делать через централизованную биржу или иной сервис фиатного обмена.

Помимо хакеров, другие категории криптокриминала отправляют большую часть своих средств непосредственно на централизованные биржи, но есть и заметные исключения. Например, продавцы и администраторы даркнет-маркетов отправляют большую часть средств на другие нелегальные сервисы — в первую очередь на другие даркнет-маркеты, некоторые из которых могут предлагать услуги по отмыванию денег, аналогичные услугам закрытой ныне Hydra. Кроме того, адреса, связанные с даркнет-маркетами, отправляли значительную часть средств на высокорисковые биржи, такие как Bitzlato, российская биржа, закрытая в рамках международного процесса за деятельность по отмыванию денег. Ещё один интересный случай — операторы и администраторы вымогательского ПО. Связанные с ними адреса отправляют непропорционально большую долю средств в микшеры, а также активно используют нелегальные сервисы. Продавцы и администраторы фрод-шопов также отличаются активным использованием микшеров.

В целом, больше половины всех средств, отправленных с криминальных адресов, попадают непосредственно на централизованные биржи — как обычные крупные биржи, так и высокорисковые, — где их можно конвертировать в фиат, если только команды по соблюдению комплаенса не примут меры. Однако более 40% криминальных средств сначала проходят через посреднические сервисы — в первую очередь микшеры и нелегальные сервисы или DeFi-протоколы, — причём большая часть этих средств поступает с адресов, связанных с вымогательским ПО, даркнет-маркетами и хакерами.

Общее использование микшеров в 2022 году сократилось, зато криминальное бьёт рекорды

Микшеры — это популярный среди криптокриминала сервис обфускации, в 2022 году принявший 8,0% средств, отправленных с криминальных адресов. Микшеры принимают криптовалюты от множества пользователей, перемешивают полученные монеты между собой и отправляют каждому пользователю сумму, эквивалентную той, которую тот вложил в общий пул. В результате криптовалюты каждого пользователя становится возможным отследить только до микшера, а не до первоисточника, если только не использовать специальные методы и эвристические правила блокчейн-анализа.

Существует множество законных сценариев использования микшеров, в основном для обеспечения конфиденциальности финансовой информации. Например, если кто-то знает ваш криптовалютный адрес, то он может увидеть практически всю историю ваших транзакций в блокчейне, так что вполне разумно для пользователей пытаться это предотвратить с помощью микшеров. Конечно, финансовая конфиденциальность, обеспечиваемая микшерами, ценна и для преступников — отсюда их популярность в качестве получателей переводов с криминальных кошельков. В мае 2022 OFAC впервые в истории наложило санкции на микшер, Blender.io, за его роль в отмывании криптовалют, похищенных северокорейским хакерским синдикатом Lazarus Group. Вскоре после этого, в августе 2022, OFAC внесло в санкционный список второй микшер, Tornado Cash, — по тем же причинам.

Санкции в отношении известных микшеров, по-видимому, способствовали двум тенденциям, наблюдаемым в 2022 году: общий объём криптовалют, отправленных на адреса микшеров, значительно сократился, а средства, которые всё-таки направлялись в микшеры, с наибольшей вероятностью поступали из криминальных источников.

В 2022 году микшеры обработали транзакций в общей сложности на $7,8 млрд, 24% из которых поступили с криминальных адресов, — по сравнению с $11,5 млрд в 2021, лишь 10% из которых поступили с криминальных адресов. Данные говорят о сокращении использования микшеров легальными пользователями — вероятно, вследствие действий правоохранительных органов против известных микшеров, — в то время как криминальные акторы продолжают их использовать. Стоит также отметить, что подавляющую часть криминальных средств, обрабатываемых микшерами, составляют украденные криптовалюты, значительная часть которых была похищена хакерами, связанными с Северной Кореей, которых едва ли может отпугнуть угроза американских санкций, поскольку они находятся в юрисдикции, не сотрудничающей с США.

Значительная доля полученных микшерами в 2022 году криптовалют приходилась также на других подсанкционных субъектов и даркнет-маркеты.

Концентрация отмывания денег на сервисах фиатного обмена

Как уже говорилось выше, такие сервисы фиатного обмена, как биржи, имеют ключевое значение для отмывания денег, поскольку именно на них преступники могут обменять криптовалюту на наличные фиатные деньги, что, скорее всего, и является их конечной целью. Они же относятся и к числу наиболее жёстко регулируемых криптовалютных сервисов, и команды по соблюдению комплаенса таких сервисов должны играть важную роль в выявлении поступающих криминальных средств и предотвращении их обмена на наличные. Однако ончейн-данные говорят, что из тысяч разнообразных сервисов обмена криптоактивов на фиат, лишь немногие получают бóльшую часть криминальных средств.

915 уникальных сервисов фиатного обмена получали криптовалюты криминального происхождения в 2022 году, по сравнению с 1124 в 2021. Отчасти это снижение, вероятно, связано с выходом бирж из бизнеса во время медвежьего рынка. Из криминальных средств, полученных биржами, 67,9% ушло всего на пять из них, и все централизованные. Это говорит о возросшей концентрации по сравнению с 2021 годом, когда на пять крупнейших по этому показателю сервисов приходилось только 56,7% криминальных средств.

Но что насчёт отдельных пользователей биржи, способствующих такой активности? Можно предположить, что многие преступники, отправляющие средства на сервисы фиатного обмена, используют для этого собственный аккаунт, который они сами и контролируют. Но в некоторых случаях они работают со специализированными поставщиками услуг по отмыванию денег, которые контролируют счета и помогают конвертировать поступающие на биржи криптовалюты криминального происхождения в наличные. Такие бизнесы попадают в категорию вложенных (nested) сервисов, то есть таких, которые работают на основе более крупных бирж, используя депозитные адреса этих бирж для доступа к их ликвидности и торговым парам. Большинство вложенных сервисов являются вполне легальным бизнесом — именно к этой категории относится, например, большинство внебиржевых брокеров. Однако ончейн-данные говорят о том, что небольшая группа вложенных сервисов явно способствует отмыванию денег, либо целенаправленно, либо по халатности обслуживая преступников.

По этой причине полезно анализировать конкретные депозитные адреса сервисов, на которые приходится большая часть деятельности по отмыванию денег, поскольку как правило мы можем приписать активность этого депозитного адреса пользователю, аккаунт которого привязан к этому адресу. На диаграмме ниже отражены все депозитные адреса различных сервисов фиатного обмена, получавшие в 2022 году какие-либо криминальные средства, с разбивкой по общему объёму полученных криминальных средств.

Как читать этот график: на диаграмме показаны депозитные адреса сервисов, сгруппированные по признаку общей стоимости криминальных транзакций, полученных каждым из адресов за 2022 г. Синие столбцы представляют количество депозитных адресов в группе, серые — суммарную стоимость криминальных транзакций, полученных всеми депозитными адресами в этой группе. На примере первой группы, каждый из 1 220 154 депозитных адресов в этой группе за 2022 год получил в транзакциях с криминальных адресов от $0 до $100, а общий объём криминального трансфера на все адреса в этой группе составил $38 млн.

Диаграмма показывает, что в отмывании денег посредством криптовалют участвует преимущественно очень небольшое число людей. В 2022 году четыре депозитных адреса приняли по $100 млн и более (а в совокупности более $1 млрд) криминальных криптовалют; тогда как группу адресов, получивших с криминальных адресов менее $100 (и $38 млн в общей сложности) составили $1,2 млн депозитных адреса. Кроме того, 51% из $6,3 млрд криминальных средств, полученных сервисами фиатного обмена за 2022 год, поступили на группу из всего 542 депозитных адресов. Эти цифры отражают некоторое снижение концентрации отмывания денег на уровне депозитных адресов по сравнению с 2021 годом, хотя на уровне сервисов в 2022 году наблюдался небольшой рост. Одно из возможных объяснений состоит в том, что продолжающееся давление правоохранительных органов на отмывателей денег посредством криптовалют — как с закрытием биржи Bitzlato — напугало крупнейших поставщиков этих услуг или побудило их рассредоточить соответствующие операции на большее число депозитных адресов.

Степень концентрации отмывания денег довольно сильно варьируется также между различными видами криминального происхождения.

Всего на 21 депозитный адрес приходится 50% всех средств, отправленных на сервисы фиатного обмена операторами и администраторами вымогательского ПО; в то время как для средств, полученных от даркнет-маркетов, доля топ-21 крупнейших депозитных адресов составляет всего 18%.

Несмотря на снижение концентрации в целом, 51% криминальных средств, направляемых на всего 542 депозитных адреса на 83 биржах, — это всё ещё довольно высокий уровень концентрации отмывания денег. Если правоохранительным органам и специалистам по комплаенсу удастся пресечь деятельность лиц и организованных групп, стоящих за этими адресами, это существенно затруднит для преступников отмывание денег через криптовалюты в больших масштабах, что сделает криптовалютную экосистему в целом более безопасной.

Рост подпольных сервисов по отмыванию денег

Ещё одна тенденция касаемо отмывания денег — это рост подпольных сервисов, не настолько известных и общедоступных, как обычные микшеры, чаще доступных только через приватные мессенджеры или Tor и рекламируемых обычно только на форумах даркнета.

Мы уже упоминали выше о “вложенных сервисах” внебиржевых брокеров, которые отмывают большие объёмы криминальных средств и многие из которых, похоже, целенаправленно обслуживают киберпреступников. Хотя эта деятельность по-прежнему имеет место, мы также наблюдаем рост подпольных сервисов по отмыванию денег с брендированными названиями и кастомной инфраструктурой, различающейся по степени сложности. Одни работают просто как сети частных кошельков, другие больше похожи на сервисы мгновенного обмена или микшеры. Но в целом их связывает то, что они обычно переводят на биржи криптовалюты, полученные от киберпреступников, обменивают их на фиатные деньги или “чистые” криптовалютные токены и отправляют обратно киберпреступникам. Как и внебиржевые брокеры, многие из этих подпольных сервисов пользуются ликвидностью централизованных бирж. Ниже приведён пример графа из Chainalysis Reactor, хотя названия соответствующих криминальных организаций изменены в связи с продолжающимися расследованиями.

В данном случае подпольный отмывочный сервис, функционирующий аналогично микшеру, помогал аффилиату распространённого вируса-шифровальщика перевести средства на депозитный адрес крупной централизованной биржи. Считается, что этот депозитный адрес контролируется самим отмывочным сервисом.

Активность подпольных сервисов по отмыванию денег — как ту, что показана выше, — не настолько легко обнаружить, как большую часть действий на публичных блокчейнах; выявление адресов таких сервисов требует обширной следственной работы, а распутывание их транзакций — передовых методов блокчейн-анализа, таких как демикширование. Это означает, что анализ таких сервисов сложно масштабировать. Однако мы можем оценить их активность, проанализировав активность всех кошельков и сетей кошельков, соответствующих следующим критериям:

• получают крупные суммы криптовалют от нелегальных сервисов;
• отправляют большие суммы криптовалют на биржи и другие сервисы фиатного обмена.

На диаграмме ниже показаны годовые объёмы криптовалют, полученных кошельками, соответствующими этим критериям.

Общий объём криптовалют, переведённых на кошельки, соответствующие этим критериям, за последние несколько лет вырос и в 2022 году достиг $6 миллиардов. Опять же, это только ориентировочная оценка — мы не можем гарантировать, что все кошельки, включённые в этот анализ, обязательно относятся к подпольным сервисам по отмыванию денег, но паттерны их ончейн-активности позволяют предположить существенную вероятность этого. Возможно также, что использование подпольных сервисов по отмыванию денег будет расти по мере того, как высокорисковые биржи способствовавшие этой деятельности в прошлом, будут испытывать повышенное давление со стороны правоохранительных органов, как мы видели на примере Garantex и Bitzlato.

Криминальные балансы в 2022 году снизились

Как мы уже упоминали, преступники часто склонны оставлять средства в личном кошельке или кошельке, связанном с криминальным сервисом, на длительное время. В некоторых случаях это может быть связано с тем, что их преступления привлекли достаточно внимания, и они не считают возможным перевести средства без того, чтобы об этом не узнали следователи или отраслевые аналитики — это часто можно видеть на примере средств, похищенных при взломах. В других случаях это может отражать намерение удерживать криптовалюту в расчёте на рост её цены, или продолжить её использовать её для других преступных целей. Благодаря прозрачности блокчейнов, мы можем отслеживать эти криминальные балансы в деталях, чтобы знать, сколько криптовалют находится на кошельках подтверждённо криминальных субъектов в любой момент времени. На диаграмме ниже показано, как изменились балансы криминальных кошельков в 2022 году.

Обращают на себя внимание два момента. Первый — это резкое сокращение преступных балансов: с $12 млрд на конец 2021 года до всего $2,9 млрд на конец 2022. Наиболее вероятными причинами этого являются сильный медвежий рынок 2022 года и успешные конфискации правоохранительных органов.

Во-вторых, ясно, что кошельки с украденными средствами доминируют над остальными категориями криминальных ончейн-балансов. Вероятно, это связано с тем, что количество криптовалюты, похищенной в результате взломов, резко возросло за последние два года, и что эти взломы часто становятся предметом бурного обсуждения в криптотвиттере и на других отраслевых форумах, причём многие отслеживают перемещение украденных средств публично и публикуют в сети адреса, на которых они хранятся. Это может затруднять для хакеров перемещение украденных средств на сервисы вывода в фиат и быть одной из причин, по которой они предпочитают оставлять средства в личных кошельках.

Состояние криминальных балансов полезно отслеживать, поскольку они представляют собой нижнюю границу оценки криптовалют, которые потенциально могут быть изъяты правоохранительными органами; истинный объём криминальных балансов, вероятно, намного выше, включая в себя балансы ещё не идентифицированных криминальных субъектов и средства, полученные в результате преступной деятельности вне сети и уже после этого конвертированные в криптовалюты.

В 2022 году следственные органы продолжили наращивать свои возможности по изъятию криптовалют, а отдел уголовных расследований Налогового управления объявил об изъятии за прошедший год цифровых активов на сумму $7 млрд, что более чем в два раза превышает показатель 2021 года. В 2022 году произошло ещё несколько громких событий, связанных с изъятием криптовалют у преступников, в том числе:

• Рекордные $3,6 млрд изъяты у двух лиц, обвиняемых в отмывании средств, похищенных в результате взлома биржи Bitfinex в 2016 году.
• Конфискация в ноябре 2021 года $3,36 млрд в BTC, украденных с даркнет-маркета Silk Road, о чём было публично объявлено в ноябре 2022 года.
• Конфискация криптовалют на сумму $30 млн, украденных с Axie Infinity’s Ronin Bridge, что стало первым успешным изъятием криптовалют, украденных северокорейской группировкой Lazarus Group.

Наши данные о криминальных балансах свидетельствуют о том, что возможностей для успешных конфискаций существует ещё больше, и в целом они иллюстрируют важнейшее различие между финансовыми расследованиями в криптовалютной и фиатной системах: в криптовалютах криминальные активы не получается спрятать в непрозрачных сетях банков и подставных компаний — почти всё открыто.

Украденные средства

2022 — рекордный год в отношении криптовалютных взломов: похищено $3,8 млрд — в основном с DeFi-протоколов и главным образом хакерами, связанными с Северной Кореей.

2022 стал самым крупным годом с точки зрения криптовалютных взломов, в результате которых у компаний было похищено $3,8 млрд. Активность хакеров росла в течение года, с огромными всплесками в марте и в октябре, причём последний стал крупнейшим в истории месяцев в отношении криптовалютных взломов, в который было украдено $775,7 млн в результате 32 отдельных атак.

Ниже мы рассмотрим, какие платформы больше всего пострадали от взломов, а также роль связанных с Северной Кореей хакеров, которые в 2022 году обеспечили бóльшую часть хакерской активности и побили собственный годовой рекорд по количеству похищенных криптовалют.

DeFi-протоколы — самые большие жертвы взломов на сегодня

В прошлогоднем отчёте о крипто криминале мы уже отмечали, что DeFi-протоколы в 2021 году стали основной целью криптовалютных хакеров. И в 2022 году эта тенденция усилилась.

На долю DeFi-протоколов приходится 82,1% ($3,1 млрд) от всех украденных хакерами криптовалют, по сравнению с 73,3% в 2021 году. И из этих $3,1 млрд, 64%, в частности, пришлось, на кроссчейн-бриджи. Кроссчейн-бриджи — это протоколы, позволяющие пользователям переносить свои криптовалюты из одного блокчейна в другой — обычно блокируя активы пользователя в смарт-контракте на исходном блокчейне и выпуская эквивалентное количество активов на другом блокчейне. Бриджи представляют собой привлекательную цель для хакеров, поскольку смарт-контракты фактически становятся огромными централизованными хранилищами средств, которые обеспечивают активы, выпущенные на другом блокчейне — более привлекательную цель трудно себе представить. По достижении бриджем более или менее значимого размера любая ошибка в коде смарт-контракта или иное потенциально слабое место практически наверняка будет найдено и использовано злоумышленниками.

Как сделать DeFi более безопасными?

DeFi — одна из самых быстрорастущих и привлекательных областей криптовалютной экосистемы, во многом благодаря своей прозрачности. Все транзакции происходят ончейн, а код смарт-контракта, управляющего DeFi-протоколом, по умолчанию находится в открытом доступе, так что пользователи могут точно знать, что произойдёт с их средствами при использовании протокола. Это выглядит особенно привлекательно в 2023 году, поскольку многие из рыночных шоков прошлого года были вызваны отсутствием прозрачности в действиях и профилях риска централизованных криптовалютных компаний. Но эта же прозрачность делает DeFi более уязвимыми: хакеры имеют возможность проверить код DeFi-проекта от и до на предмет уязвимостей и нанести удар в идеальный момент для нанесения максимального ущерба.

Аудит кода DeFi-протоколов сторонними провайдерами — один из возможных способов решения этой проблемы. Фирма Halborn, специализирующаяся в безопасности блокчейн-проектов, — один из провайдеров таких услуг и выделяется безупречностью послужного списка: ни один из DeFi-протоколов, прошедших аудит Halborn, впоследствии не был взломан. Мы поговорили с COO Halborn Дэвидом Шведом, прежде работавшим в области рисков и безопасности в крупных банках, таких как BNY Mellon, о том, как DeFi-протоколы могут лучше себя защитить. Он подчеркнул, что многие проблемы в DeFi сводятся к недостатку инвестиций в безопасность. «В команде безопасности крупного протокола должно быть 10–15 специалистов, каждый из которых обладает определённой областью компетенций», — сказал он нам. Он отметил, что основная проблема заключается в том, что DeFi-разработчики ставят рост выше всего остального и в ущерб финансированию мер безопасности направляют средства на вознаграждения, чтобы привлечь пользователей. «В DeFi-комьюнити в целом тоже нет приоритетного запроса на лучшую безопасность — пользователи устремляются в протоколы с наибольшей доходностью. Но такие стимулы приводят к неприятностям в будущем».

По мнению Шведа, DeFi-разработчикам стоит обратиться к традиционным финансовым учреждениям за примерами того, как сделать свои платформы более безопасными. «Это не значит, что вам нужно двигаться так же медленно, как банки, но вы можете позаимствовать у них практики безопасности». Некоторые из рекомендуемых им мер включают:

• Тестирование протоколов с помощью симуляции атак. DeFi-разработчики могут моделировать различные сценарии взлома в тестовых сетях, чтобы проверить, как их протокол противостоит распространённым векторам атак.
• Использовать преимущество прозрачности криптовалют. Огромное преимущество блокчейнов наподобие Ethereum заключается в том, что транзакции видны в мемпуле до их подтверждения на блокчейне. Швед рекомендует DeFi-разработчикам внимательно отслеживать транзакции в мемпуле на предмет подозрительной активности в отношении их смарт-контракта, чтобы как можно раньше обнаружить возможные атаки.
• Автоматические размыкатели. DeFi-протоколам необходимо иметь автоматизированные процессы для приостановки протоколов и прекращения транзакций в случае обнаружения подозрительной активности. «Лучше доставить кратковременные неудобства пользователям, чем допустить хищение средств из протокола», — говорит Швед.

По мнению Шведа, регуляторы тоже должны сыграть здесь свою роль и могут сделать DeFi более безопасными, установив минимальные стандарты безопасности, обязательные для выполнения разработчиками протоколов. Данные о взломах DeFi делают очевидным одно: путём ли регулирования или добровольного внедрения, но DeFi-протоколы значительно выиграют от повышения стандартов безопасности, и это необходимое условие для развития и процветания системы, без которого она не сможет претендовать на то, чтобы стать частью мейнстрима.

Северокорейские хакеры вновь бьют рекорды, похитив криптовалют на $1,7 млрд

Связанные с Северной Кореей хакеры, такие как группировка Lazarus Group, в последние несколько лет оставались самыми активными криптовалютными хакерами. В 2022 году они побили собственный рекорд, в нескольких взломах похитив криптовалют на сумму около $1,7 млрд. Для сравнения, общий объём экспорта Северной Кореи в 2020 году составил $142 миллиона, так что не будет преувеличением сказать, что взлом криптовалютных проектов является важной частью экономики этой страны. Большинство экспертов сходятся во мнении, что правительство Северной Кореи использует эти украденные средства для финансирования своих программ по созданию ядерного оружия.

$1,1 миллиарда из этой общей суммы были похищены в результате взлома DeFi-протоколов, что делает Северную Корею одной из главных движущих сил тенденции взлома DeFi, усилившейся в 2022 году. Связанные с Северной Кореей хакеры, как правило, отправляют большую часть украденных средств в другие DeFi-протоколы — не потому, что эти протоколы эффективны для отмывания денег — на самом деле для этого они довольно плохо подходят, учитывая их более высокую прозрачность по сравнению с централизованными сервисами, — а скорее потому, что в результате взломов DeFi киберпреступники зачастую остаются с большим количеством неликвидных токенов, попросту не котируемых на централизованных биржах. Поэтому хакеры вынуждены обращаться к другим DeFi-протоколам, обычно DEX, чтобы обменять их на более ликвидные активы.

Помимо DeFi-протоколов, связанные с Северной Кореей хакеры склонны также отправлять крупные суммы на микшеры, обычно являвшиеся краеугольным камнем их практик отмывания денег. Средства от взломов, осуществлённых северокорейскими хакерами, переводятся в микшеры гораздо быстрее, по сравнению с остальными злоумышленниками. Но какие именно микшеры они используют? Об этом мы расскажем ниже.

Познакомьтесь с новым микшером, к которому обратились северокорейские хакеры после наложения санкций США на Tornado Cash

Большую часть 2021 и 2022 годов связанные с Северной Кореей хакеры использовали для отмывания похищенных криптовалют почти исключительно Tornado Cash. И нетрудно понять, почему: Tornado Cash в этот период был крупнейшим из действующих микшеров, а его уникальные технические особенности делали микшированные с его помощью средства относительно трудно отслеживаемыми.

Однако когда в августе 2022 Tornado Cash попал под санкции США, хакеры довольно быстро адаптировались. Хотя связанные с Северной Кореей хакеры продолжили отправлять какие-то средства в Tornado Cash, на диаграмме выше видно, что в IV квартале 2022 года, вскоре после введения санкций, они диверсифицировали использование микшеров. Это может быть связано с тем, что, хотя смарт-контракт Tornado Cash по-прежнему работает, общий объём транзакций через него после введения санкций сократился, что, как правило, означает снижение эффективности микширования. Тогда хакеры обратились к другому микшеру, Sinbad.

Sinbad

Sinbad — относительно новый кастодиальный биткойн-микшер, который начал рекламировать свои услуги на форуме BitcoinTalk в октябре 2022 года. Впервые отправку средств с кошельков северокорейских хакеров на Sinbad (граф из Reactor ниже) исследователи Chainalysis заметили в декабре 2022 года.

Как мы уже видели во многих случаях взломов, осуществляемых под руководством Северной Кореи, хакеры переводят похищенные средства (включая часть добычи от взлома Axie Infinity) из блокчейна Ethereum в Биткойн, после чего направляют эти биткойны в Sinbad. За декабрь 2022 и январь 2023 года хакеры, связанные с Северной Кореей, отправили в микшер в общей сложности 1429,6 BTC на сумму около $24,2 миллиона.

Северокорейские хакеры в действии: как происходил взлом Qubit

Qubit — это южнокорейский DeFi-протокол кредитования, построенный на блокчейне BNB. Qubit запустил также связанный протокол, QBridge, позволяющий пользователям использовать активы в других блокчейнах в качестве залога для получения займа на Qubit — без фактического перемещения этих активов в BNB Chain. Пользователи отправляют активы, которые хотят заложить, в смарт-контракты QBridge на блокчейнах этих активов, а QBridge выпускает эквивалентное количество токенов в BNB Chain.

К сожалению, как это случалось со многими кроссчейн-бриджами, хакеры нашли уязвимость в коде, управляющем QBridge, и смогли вывести из протокола все его активы — на сумму около $80 миллионов, — что стало крупнейшей криптовалютной кражей в Южной Корее в 2022 году. Сегодня мы можем впервые публично сообщить, что приписываем эту атаку хакерам, связанным с Северной Кореей, как и многие другие крупные взломы DeFi в 2022 году. Давайте посмотрим, как разворачивался взлом Qubit.

Эксплойт, обнаруженный в Qubit хакерами, позволял им выпустить неограниченное количество qXETH — актива, служащего представлением ETH, заблокированных в смарт-контракте бриджа на Ethereum, — в QBridge без фактического внесения депозита на Ethereum. Затем хакеры использовали необеспеченные qXETH в качестве залога для “займа” всех хранящихся в протоколе активов — в основном BNB плюс несколько BEP-20 токенов — стоимостью около $80 миллионов на момент кражи. Затем они перевели эти средства — также, через бридж, — в блокчейн Ethereum.

После этого хакеры использовали свою основную на тот момент стратегию отмывания денег, отправив полученные ETH в Tornado Cash. Граф со схемой движения средств после взлома Qubit приведён ниже.

Получив от Tornado Cash микшированные ETH, хакеры отправили часть из них на децентрализованную биржу для обмена на другие ERC-20 токены, а остальную часть перевели на депозитные адреса различных децентрализованных бирж. Взлом Qubit хорошо иллюстрирует многие ключевые элементы стратегии, которой северокорейские хакеры придерживались в 2022 году: использовать DeFi-протокол для перевода средств на блокчейн, где они не могут быть заморожены, пропустить их через микшер и отправить на централизованную биржу. В этом случае Центр информации о транснациональной преступности (TCIC) Национальной разведывательной службы (NIS) Южной Кореи в сотрудничестве с Chainalysis смог отследить средства после кражи.

Хотя связанные с Северной Кореей хакеры, несомненно, изощрены и представляют собой значительную угрозу для криптовалютной экосистемы, способности правоохранительных органов в том, чтобы дать им отпор, тоже растут. В прошедшем году, например, произошёл первый в истории случай изъятия средств у связанных с Северной Кореей хакеров, когда агентам удалось вернуть криптовалют на $30 млн, похищенных в результате взлома Axie Infinity Ronin Bridge. Мы ожидаем, что в ближайшие годы таких историй станет больше — во многом благодаря прозрачности блокчейнов. Когда каждая транзакция записывается в публичный реестр, это означает, что у правоохранительных органов всегда есть след, по которому можно проследить движение средств, даже спустя годы после совершённого преступления, что бесценно, поскольку методы расследования совершенствуются со временем. Растущие возможности правоохранительных органов в сочетании с усилиями таких управлений, как OFAC, по отсечению предпочитаемых хакерами сервисов отмывания денег от остальной криптоэкосистемы означают, что с каждым годом проводить такие взломы будет всё сложнее и они будут менее прибыльными.

Атаки манипулированием оракулом: растущая проблема, уникальная для DeFi

Как мы уже писали в разделе об украденных средствах, 2022 год стал крупнейшим в истории криптовалютных взломов с более чем $3,8 млрд похищенных средств. Однако не все эти атаки были взломами в традиционном понимании. В некоторых случаях злоумышленникам удавалось выкачивать средства из DeFi-протоколов и без того, чтобы воспользоваться уязвимостью в коде протокола. Эти злоумышленники находили возможности для манипулирования ценовыми оракулами, используемыми DeFi-протоколами для обеспечения того, чтобы цены на активы, доступные на их платформах, соответствовали остальному рынку криптовалют. Поэтому мы будем называть эту уникальную разновидность “атаками манипулированием оракулами”.

Обычно злоумышленники проводят такого рода атаки, используя большие суммы криптовалют для быстрого увеличения объёма торгов по низколиквидным токенам на целевом DeFi-протоколе, что может приводить к быстрому и значительному росту цен, более не отражающему ситуацию на рынке в целом. Эти необходимые первоначальные средства часто привлекаются через флеш-кредит, если у нападающего нет достаточных наличных средств. После повышения цены актива злоумышленник может обменять его (по искусственно завышенной стоимости) на другие токены с большей ликвидностью и более стабильной стоимостью либо использовать их в качестве (бесполезного) залога для займа активов, которые никогда не будут возвращены.

В целом, по нашим оценкам, в 2022 году DeFi-протоколы потеряли $386,2 миллиона в результате 41 атаки манипулированием оракулом.

Некоторые злоумышленники при этом заявляют, что атаки манипулированием оракулом не являются преступными в той же мере, что и обычный взлом. Авраам Айзенберг, человек, стоящий за одной из крупнейших атак манипулированием оракулом за прошедший год, утверждал даже, что его действия абсолютно законны и представляют собой не более чем прибыльную торговую стратегию. Однако и SEC, и CFTC, выдвинули против него обвинения в манипулировании рынком, как и Минюст США чуть позднее. Хотя судебное разбирательство ещё не состоялось, сам факт выдвинутых обвинений предполагает, что власти не намерены проявлять гибкость в этом вопросе, даже если технически атакуемый таким образом протокол работал ровно так, как было заложено в нём разработчиками. Далее мы рассмотрим эту печально известную атаку Айзенберга на Mango Markets в качестве примера того, как могут работать атаки манипулированием оракулом.

Разбор атаки на Mango Markets

Одной из крупнейших атак манипулированием оракулом в прошлом году стала атака на Mango Markets, DEX на блокчейне Solana, в октябре 2022 года, в результате которой из протокола были выведены активы на сумму $117 миллионов. Эксплойт Mango Markets был особенно интересен тем, что его исполнитель, Авраам Айзенберг, публично взял на себя ответственность за него и утверждал, что в его действиях нет состава преступления. Вот как происходил этот эксплойт с точки зрения ончейн-данных:

1. Айзенберг начал с $10 млн в USDC, распределённых между двумя отдельными аккаунтами на Mango Markets (хотя он мог также использовать средства, не принадлежащие ему ончейн, для манипулирования ценами на активы на других биржах).
2. Он использовал один аккаунт для короткой продажи 488 миллионов MNGO (токен управления Mango Markets) — фактически продав 488 млн MNGO с кредитным плечом, — в то время как другой аккаунт занимал противоположную сторону этой сделки, используя леверидж для покупки токенов на ту же сумму.
3. Покупка MNGO Айзенбергом с использованием левериджа, в сочетании с дальнейшей покупкой MNGO на других DEX, очень быстро привели к росту цены MNGO на спотовых биржах. Это стало возможным благодаря тому, что MNGO был низколиквидным активом без большого объёма торгов. Аккаунт, использовавшийся для покупки MNGO, немедленно получил бумажную прибыль в размере около $400 миллионов, поскольку вся покупательская активность Айзенберга значительно повысила цену актива.
4. С такой высокой стоимостью портфеля, Айзенберг смог взять кредит под залог своих MNGO (с искусственно завышенной стоимостью) и вывести практически все активы, принадлежавшие Mango Markets. Это привело к немедленному падению цены MNGO, вследствие которого лонги атакующего были ликвидированы из-за потери стоимости залога, но было уже поздно: Айзенберг уже “позаимствовал” все активы Mango Markets, имеющие какую-то реальную стоимость.

Так выглядит эта последовательность действий на снэпшоте из Chainalysis Storyline:

В довершение всего, Айзенберг использовал MNGO, которые он ещё держал после атаки, чтобы выдвинуть и проголосовать за предложение по управлению, по которому он возвращал украденные в результате атаки криптовалюты на сумму $10 млн, а остальное оставлял себе в качестве “вознаграждения за найденную ошибку”. Предложение в итоге было принято. И если в большинстве своём хакеры избегают публичности, то Айзенберг публично рассказал о своей роли в эксплойте Mango Markets и, похоже, был убеждён в том, что, поскольку код работал без изменений и в рамках задуманного разработчиками, то он не сделал ничего плохо. Он даже выступил в популярном Unchained Podcast с разъяснением этой точки зрения.

Однако, как формулирует это в своём судебном иске SEC, действия Айзенберга следует квалифицировать как манипулирование рынком по причине ложного увеличения объёма торгов MNGO, которое он организовал, — на 2000% больше в день эксплойта по сравнению со средним показателем за предыдущие десять дней. После предъявления этих обвинений Mango Markets также подали иск против Айзенберга, желая взыскать разницу между тем, что было украдено, и тем, что он вернул в результате своего предложения по управлению, утверждая, что манипуляция DAO Mango Markets насчёт выплаты ему “вознаграждения за найденную ошибку” нельзя считать “законными переговорами”.

Даркнет-маркеты

Как даркнет-маркеты боролись за пользователей после краха Hydra

2022 был отмечен резким снижением доходов даркнет-маркетов и фрод-шопов по сравнению с предыдущим годом. Общий доход даркнет-маркетов в 2022 году составил $1,5 млрд, по сравнению с $3,1 в 2021.

Четыре из пяти наиболее высокодоходных даркнет-маркетов в 2022 году представляют собой обычные даркнет-маркеты, ориентированные, главным образом, на продажу наркотиков, и только один, Brian Dumps, является фрод-шопом.

Hydra Market снова лидирует как самый высокодоходный даркнет-маркет в 2022 году, несмотря на санкции OFAC и закрытие в апреле в результате совместной операции США и Германии, — ни один другой даркнет-маркет за год не превзошёл его по валовому доходу за первые четыре месяца 2022 года. Салих Алтунтас, агент Федеральной полиции Германии, работавший над этим делом, сказал: «Hydra была монополистом, и это давало ей время и ресурсы для создания уникальных услуг, которые другие маркеты предложить не могли».

Например, Hydra гордилась своим клиентским сервисом, внимательностью и привилегиями, каких можно было бы ожидать от легального бизнеса, но не от онлайн-маркета наркотиков. «У Hydra был сервис, в который пользователи могли присылать наркотики для проверки на чистоту, — рассказывает Алтунтас. — У них был телеграм-бот, в котором пользователи могли получить информацию о первой помощи в случае передозировки. Они помогали продавцам связаться с юридическими службами в случае, если они попадали под полицейскую облаву».

Как мы увидим далее, все три следующих по размеру выручки маркета — Mega Darknet Market, Blacksprut и OMG!OMG! — получили свою первоначальную рыночную долю после краха Hydra, причём ончейн-данные показывают, что эти маркеты прилагали целенаправленные усилия для привлечения бывших пользователей и продавцов Hydra.

Закрытие Hydra привело к снижению дохода даркнет-маркетов в целом: средний суточный доход для всех маркетов сократился с $4,2 млн непосредственно перед закрытием до $447 000 сразу после него. Общий доход рынков наркотиков так и не восстановился полностью, однако во второй половине 2022 года он стал медленно подниматься к прежнему уровню. Доходы фрод-шопов, с другой стороны, продолжают снижаться.

Фрод-шопы — это уникальный сегмент даркнет-маркетов, где продаются разного рода скомпрометированные данные, такие как украденные данные кредитных карт и другие формы персональных данных, которые можно использовать в мошеннических целях. Отчасти этот спад был вызван закрытием известных фрод-шопов, таких как Bypass Shop, закрытый в марте 2022 года. Работа Brian Dumps, крупнейшего фрод-шопа в прошедшем году, тоже, по-видимому, была нарушена, поскольку его доходы в октябре упали почти до нуля, хотя точно неясно, почему.

Если категория даркнет-маркетов по большому счёту восстановилась после закрытия Hydra, а фрод-шопы в целом нет, то в отдельных магазинах “одного продавца” картина иная. Речь идёт о самостоятельных магазинах, созданных отдельными продавцами наркотиков, как правило, до того собравшими большую клиентскую базу на более крупном традиционном даркнет-маркете. Создание своего отдельного магазина позволяет им экономить на комиссиях, обычно взимаемых администраторами традиционных даркнет-маркетов.

В 2022 году можно было наблюдать обратную корреляцию между средствами, отправленными на обычные даркнет-маркеты, и в отдельные магазины. Видно, например, что доходы отдельных магазинов начали быстро расти примерно в марте, когда доходы традиционных даркнет-маркетов начали падать. Аналогичным образом, доходы отдельных магазинов снижались одновременно с восстановлением традиционных даркнет-маркетов примерно с июня и до конца года.

Борьба за доминирование на рынке после закрытия Hydra

Прежде чем правоохранительные органы закрыли Hydra, это был крупнейший даркнет-маркет мира. До своего закрытия Hydra захватывала 93,3% всей экономической ценности, получаемой даркнет-маркетами в 2022 году — около $357,4 млн. Российский даркнет-маркет не только предоставлял площадку для продажи наркотиков, но и предлагал киберпреступникам уникальный сервис по отмыванию денег. «У Hydra был внутренний микшер под названием Bitcoin Bank Mixer, который продавцы могли использовать для вывода из Hydra биткойнов, казавшиеся чистыми для ончейн-аналитиков», — говорит Алтунтас.

На протяжении большей части апреля и мая OMG захватил больше 50% рынка, в апреле достигнув пика в 65,2%, и работал практически без конкуренции, что указывает на его потенциал как преемника Hydra. В июне OMG подвергся DDoS-атаке, которая, по-видимому, способствовала перемещению продавцов и покупателей в Mega Darknet и Blacksprut маркеты примерно в то же время. Blacksprut, в свою очередь, тоже был взломан в конце ноября, что совпадает со снижением его от пиковых 68,5% в общих доходах сектора, достигнутых за несколько недель до того. Учитывая незаконную природу даркнет-маркетов, неудивительно, что продавцы и просто пользователи будут стремиться покинуть площадку, на которой произошла утечка данных.

Как покупатели наркотиков и нелегальные пользователи мигрировали с Hydra на другие даркнет-маркеты

Если глубже изучить, как три основных преемника Hydra боролись за позиции на рынке после её закрытия, то мы обнаружим, что переманивание конкретных клиентов Hydra — как розничных покупателей, так и нелегальных пользователей её сервиса по отмыванию денег, — имело решающее значение в этой борьбе. Используя ончейн-данные, мы можем посмотреть, куда перешли бывшие пользователи Hydra после закрытия маркета. Для этого анализа мы разделим оставшуюся часть 2022 года после отключения Hydra 5 апреля на два временных отрезка:

• Доминирование OMG: 50-дневный период сразу после закрытия Hydra, когда OMG захватил почти 100% рынка даркнет-маркетов.
• После доминирования OMG: остаток 2022 года, когда OMG остался одним из трёх крупных маркетов наряду с Blacksprut и Mega.

Две диаграммы ниже показывают, какие маркеты прежние контрагенты Hydra использовали чаще всего в эти два временных периода. Цвет линий показывает категорию активности бывших пользователей Hydra, а толщина — долю от их прежней активности, перенесённую на новые рынки после закрытия Hydra.

Как и подавляющее большинство всех пользователей даркнет-маркетов в период доминирования OMG, бывшие контрагенты Hydra всех категорий — как розничные покупатели наркотиков, так и криминальные потребители — совершали криптовалютные транзакции почти исключительно с OMG. В период после доминирования OMG сохранили часть бывших контрагентов Hydra, но уступили значительную долю их активности по всем категориям другим двум рынкам.

Из этого можно сделать два основных вывода. Во-первых, есть признаки того, что на этих трёх рынках были запущены сервисы отмывания денег, аналогичные тем, что предлагала Hydra, что объясняет, почему так много криминальных пользователей Hydra перешли на эти маркеты. Второй вывод — это скорее наблюдение: насколько велико было доминирование OMG среди контрагентов Hydra сразу после её закрытия. Это особенно интересно, учитывая связи между OMG и Hydra, которые мы рассмотрим ниже.

Существуют прямые доказательства того, что два из трёх рассматриваемых рынков предлагают услуги по отмыванию денег. В начале января 2023 года один из продавцов Blacksprut, RedBull Exchange, опубликовал пост под заголовком “Transfer from platform”, в котором говорилось, что пользователи могут вывести биткойны с фиксированной 4% комиссией и что средства будут мгновенно переведены на их личные кошельки без прохождения каких-либо “проверок или чисток”. На картинке ниже показан скриншот с сайта Blacksprut, где говорится, что сервис предлагает внутренние обменники для вывода средств с маркета, а в случае возникновения проблем в работе этих обменников рекомендует использовать российский агрегатор обменников BestChange.

Похожие сообщения на Mega Darknet Market показывают, что и он тоже предлагает такие услуги. У нас пока нет подтверждения тому, что OMG предлагает услуги по отмыванию денег, но, опять же, ончейн-данные говорят о том, что, вероятнее всего, это так.

Данные OMG, Blacksprut и Mega Darknet Market говорят о потенциальном пересечении продавцов и администраторов с Hydra

Рекламируемый как “самый продвинутый даркнет-маркет в истории”, OMG в первую очередь поставляет запрещённые наркотики, но предлагает и такие продукты, как хакерские утилиты, банковскую информацию и многое другое. У этого маркета своеобразная история. Первая активность отмечена в начале июля 2020 года, при этом объёмы депозитов были настолько малы, что соответствовали не столько даркнет-маркету, сколько личному предприятию. Однако почти сразу после закрытия Hydra на OMG впервые произошёл большой приток средств, больше половины которых поступило от контрагентов Hydra.

Блокчейн-анализ показывает также, что несколько продавцов с Hydra после её закрытия перешли на OMG. Граф из Chainalysis Reactor ниже показывает, несколько персональных кошельков, связанных с известными продавцами Hydra, впоследствии совершавших транзакции с OMG.

Миграция продавцов, а также тайминг и первоначальный основной источник дохода OMG позволяет предположить, что администраторы Hydra могли принимать участие в разработке OMG. Кроме того, в работе этих двух рынков обнаруживаются определённые сходства. Например, компания Hydra отличалась от своих конкурентов тем, что предлагала курьерские услуги, на основе местоположения. Создав аккаунт, пользователь мог выбрать своё местоположение, которое затем учитывалось при выборе локаций для “закладок”. После покупки продавец отправлял покупателю географические координаты и фото с места, где можно было найти хорошо спрятанную покупку. OMG тоже предлагает подобную услугу (очень характерную для российского рынка, но, публичным данным, не особенно распространённую за пределами России, — прим. переводчика).

Дальнейший блокчейн-анализ выявил ещё более интересную связь: центральные кошельки OMG отправляют большие объёмы криптовалюты одной и той же группе депозитных адресов на высокорисковой бирже с большим присутствием в России. Совпадение в использовании депозитных адресов предполагает, что эти адреса могут контролироваться одними и теми же лицами, что позволяет предположить дальнейшее совпадение продавцов или, возможно, даже администраторов.

И Blacksprut, и Mega, также отправляли средства на депозитные адреса на той же бирже, ранее использовавшиеся Hydra, но в значительно меньших объёмах, нежели OMG. Это можно видеть на диаграмме ниже, где показаны общие суммы, отправленные каждым из маркетов на общие депозитные адреса.

У нас нет точных доказательств, подтверждающих, что кто-либо из создателей или администраторов OMG был связан с Hydra. Однако совпадение депозитных адресов и мгновенный массовый переход пользователей Hydra на OMG после её закрытия говорят о том, что это, безусловно, возможно.

Как полиция Лондона использовала блокчейн-анализ для расследования деятельности наркоторговцев

Имея необходимые инструменты для отслеживания криптовалютных транзакций, правоохранительные органы могут не только расследовать деятельность продавцов запрещённых веществ на даркнет-маркетах, но и отслеживать их транзакции для выявления более крупных преступных групп.

Недавнее расследование лондонской полиции — Operation Cyanic — отличный тому пример. В ходе этого расследования международных поставок наркотиков классов A, B и C был изучен профиль продавца на даркнет-маркете. Полиция установила, что этот профиль, управляемый семейной сетью, совершил тысячи криптовалютных транзакций. Отталкиваясь от этого, следователи отслеживали движение криптовалют, чтобы определить удерживаемые активы, рассчитать прибыль, полученную от продажи наркотиков, и поддержать традиционную финансовую сторону расследования.

Проводя цифровую экспертизу после ареста подозреваемого, следователи изучили ряд мобильных устройств, в ходе чего была выявлена криптовалютная транзакция на сумму 1500 фунтов стерлингов. Эти данные использовались в качестве отправной точки для составления карты преступной деятельности подозреваемого. Отследив недавнюю транзакцию с этого кошелька, полиция обнаружила, что подозреваемый отправил средства на другой высокоактивный кошелёк, который, как предполагается, также находился под контролем подозреваемого. Этот кошелёк имел гораздо больший баланс и обширную историю транзакций со многими другими кошельками. Эта новая информация помогла обнаружить другие элементы более крупной организованной группировки, предоставив дополнительные возможности для получения оперативной информации.

Графы ниже иллюстрируют, как полиция отследила средства из первоначального кошелька по другим направлениям, что указывает на то, что подозреваемый был частью крупной сети наркоторговцев, использующих криптовалюты в качестве основного средства расчётов и отмывания денег.

Как видно ниже, подозреваемый отправил средства с более крупного кошелька на расстоянии одной транзакции от первоначального на несколько бирж — предположительно с целью конвертации криптовалюты в наличные.

Аналогичным образом, крупнейший кошелёк подозреваемого отправлял средства через посреднические частные кошельки на два высокоактивных биржевых депозитных адреса, оба с балансом криптовалют на миллионы долларов. Эти адреса вкладов также могут принадлежать первоначальному подозреваемому или другим участникам преступной сети. Хотя такую информацию нельзя назвать достаточно явной, полиция может использовать её, чтобы затребовать у соответствующих бирж дополнительную информацию о том, кто контролирует эти депозитные адреса.

Ещё один высокоактивный биржевой депозитный адрес, на который подозреваемый отправлял средства, имел баланс более $6 млн. Дополнительное исследование показало, что на этот адрес поступали значительные средства от лиц, проживающих в Испании, что позволяет предположить, что наркотики экспортировались в Великобританию из этого региона. Эта информация предоставила возможности для дальнейшего расследования.

В дополнение к этим выводам, следователи смогли определить текущее местонахождение активов преступной группы и рассчитать возможный размер её прибыли, составившей более £600 000. Это привело к вынесению постановлений о конфискации криптовалют для каждого обвиняемого, когда они были признаны виновными в сговоре с целью продажи наркотиков класса A, B и C.

Мошенничество

Доходы от криптоскама в 2022 году упали на 46%, а блокчейн-анализ обнаруживает неожиданные взаимосвязи между, казалось бы, разными мошенническими аферами

Хотя разного рода мошенничество остаётся крупнейшей формой криптовалютной преступности (не считая транзакций с субъектами из санкционных списков OFAC, которые могут быть криминальными или нет в зависимости от юрисдикции), доходы от него в 2022 году резко сократились — с $10,9 млрд годом ранее до всего $5,9 млрд.

Мы считаем, что во многом это снижение связано с рыночными условиями, поскольку доходность мошенничества имеют тенденцию снижаться при снижении цен на криптовалюты. Однако некоторые виды криптоскама растут несмотря на медвежий рынок последнего года. Опять же, нужно обратить внимание, что наши цифры — это нижняя граница оценки. Как и с другими видами криптопреступности, наши оценки сумм, украденных криптоскамерами, будут расти по мере выявления новых адресов, связанных с мошенничеством. Занижение информации со стороны жертв, особенно в случае с так называемыми pig-butchering схемами (англ. “забой свиней”), которые становятся всё более распространённой проблемой. В дополнение к тенденциям мошенничества мы рассмотрим, как некоторые передовые расследователи используют блокчейн-анализ для борьбы с pig-butchering схемами, а также поделимся данными, указывающими на взаимосвязанную природу экосистемы криптоскама в целом.

Общие данные по криптоскаму за 2022 год

Хотя доходы от мошенничества в целом снизились, мы всё же отметили несколько весьма успешных скам-проектов, среди которых лидирует Hyperverse, организаторы которого присвоили около ~$1,3 млрд.

Все десять самых крупных скам-проектов 2022 года были инвестиционными схемами, которые, как категория, доминировали в общем объёме доходов от мошенничества за прошедший год. Однако это не означает, что мы можем игнорировать другие виды мошенничества. Несмотря на снижение общего дохода в категории, романтические аферы оказались наиболее разрушительными с точки зрения размера ущерба на жертву.

Описание категорий мошенничества, которые мы отслеживали:

• Мошенничество с раздачами/подарками: аферы, в которых мошенники предлагают пользователям отправить им криптовалюты, обещая прислать ещё больше взамен. Такие мошенники часто выдают себя за знаменитостей, чтобы придать обещанию достоверность в глазах потенциальных жертв.
• Мошенничество с выдачей себя за другое лицо: мошенники выдают себя за человека, занимающего авторитетное или экспертное положение — например, представителя налоговой службы или службы социального обеспечения — и говорят жертвам, что они должны сделать криптовалютный перевод, чтобы исправить какую-то проблему или избежать неприятностей.
• Инвестиционный скам: мошенники рекламируют фальшивую инвестиционную компанию, обещая потенциальным жертвам заоблачные доходы.
• NFT-скам: мошенники обманом побуждают жертв покупать фальшивые NFT, похожие на более известные коллекции.
• Романтические аферы: мошенник делает вид, что строит романтические отношения с жертвой, чтобы убедить или заставить жертву перевести ему деньги. Эта категория может включать в себя схемы типа “забой свиней” (pig butchering), сочетающих в себе элементы романтических и инвестиционных афер.

В романтических аферах мошенники забирали у жертв в среднем почти $16 000 долларов — почти втрое больше, чем в следующей по размеру ущерба категории. Важно также понимать, что занижение жертвами информации об ущербе, по-видимому, более распространено в романтических аферах ввиду их уникального личного характера, так что их общая доходность и охват, вероятно, выше, чем можно подумать, основываясь только на ончейн-данных.

Криптомошенничество и общая динамика крипторынка

Доходность криптовалютного скама имела тенденцию к росту в начале года, но в начале мая резко упала — одновременно с началом медвежьего рынка после краха Terra/Luna, — после чего неуклонно снижалась весь остаток года.

Это согласуется с общей логикой и наблюдаемыми ранее тенденциями в отношении того, как общий тренд криптовалютного рынка влияет на показатели мошеннических проектов и схем. Как правило, в периоды снижения цен на криптоактивы доходность мошенников снижается. Это хорошо видно на приведённом ниже графике, отслеживающем соотношение доходов от мошенничества и цены BTC на протяжении 2022 года.

Доходность мошенничества в течение года почти идеально следуют за ценой биткойна, с постоянным трёхнедельным отставанием между колебаниями цены и изменением доходности. Однако не каждый отдельный вид криптоскама следует этому паттерну: в некоторых видах доходность может расти даже при общем снижении цен на криптоактивы.

Например, в отличие от других видов мошенничества, романтические аферы и мошенничество с раздачами/подарками не показывают положительной корреляции с ценой BTC (мы используем биткойн как крупнейшую криптовалюту по рыночной капитализации, с которой обычно коррелируют и другие криптоактивы). Инвестиционные схемы, которые также обладают наибольшей доходностью из всех видов мошенничества, в наибольшей степени коррелируют с ценой биткойна. Причина различий, по-видимому, кроется в подходах, используемых мошенниками для привлечения жертв. В инвестиционных аферах мошенники обычно обещают пользователям огромные доходы на “инвестиции”, часто основанные на “алгоритмической торговой стратегии, которая не может проиграть”. Такой подход, по всей видимости, имеет больше шансов на успех, когда цены на активы растут, а в медиа полно историй о разбогатевших криптоинвесторах. Романтические аферы, с другой стороны, больше направлены на установление личных отношений с жертвой: мошенник убеждает жертву в серьёзности своих намерений на будущее, а прямо сейчас он нуждается в её помощи. Эффективность такого подхода, по-видимому, не зависит от фазы рынка, поскольку подразумеваемая цель жертвы состоит не в быстром обогащении, но в помощи человеку, в котором она видит потенциального романтического партнёра. На самом деле скамеры могут даже переключаться с инвестиционных афер на романтические в периоды снижения рынка, ещё больше усиливая эту тенденцию. В связи с этим, романтические и другие виды афер, показатели которых не зависят в такой мере от цены биткойна, следовали другому паттерну изменения доходности, нежели инвестиционные аферы.

Рыночные условия могли повлиять и на другую тенденцию, наблюдаемую в последние два года: рост использования мошенниками стейблкойнов.

До 2022 года большинство мошенников принимали платежи преимущественно в BTC. Но в 2021 году ситуация начала меняться: мошенники стали получать всё больше доходов от жертв в стейблкойнах — на фоне общего роста крипторынка. Аналогичным образом, виден всплеск использования мошенниками биткойна в середине 2022 года, на фоне общего снижения крипторынка. Это выглядит несколько контринтуитивно: разве не предпочитают мошенники принимать платежи от жертв в BTC, когда биткойн растёт? Предпочтение мошенников в пользу стейблкойнов, вместо BTC, в периоды бычьего рынка может объясняться хеджем против возможного падения рынка. Мошенники также могут быть более удачливы в привлечении стейблкойнов на бычьем рынке, так как их цена не растёт, тогда как потенциальные жертвы могут быть более склонны держать свои биткойны самостоятельно, ожидая, что те вырастут в цене.

Кто становится жертвами мошенников?

Эффективность различных видов мошенничества варьируется в том числе в зависимости от географического региона жертвы. Во многом это может быть связано и с местонахождением самих мошенников, поскольку это влияет на их способность привлекать жертв, общаясь с ним на одном языке и находясь в общем культурном контексте. Но географические тенденции мошенничества во многих случаях совпадают также с общими географическими тенденциями для криптовалютной экосистемы в целом. Это видно на приведённых ниже картах с визуализацией сумм, полученных различными видами мошеннических схем в разных странах в расчёте на душу населения.

Непропорционально высокая доля США характерна для большинства видов мошенничества, но особенно это верно для NFT-скама. Мы уже писали в общем географическом отчёте, что NFT особенно популярны в Северной Америке, особенно в том, что касается привлечения новых пользователей криптовалют, которые, не обладая опытом в этой сфере, по-видимому, с большей вероятностью могут стать жертвами мошенников. Инвестиционные аферы, являющиеся самым крупным видом мошенничества по объёму полученных доходов, охватывают более широкий круг стран, причём больше всего страдают Австралия и некоторые страны Южной Америки.

Через какие виды сервисов пользователи отправляют деньги мошенникам?

Подавляющее большинство платежей от жертв мошенникам поступает с централизованных бирж. Мы также видим, что мошенники получают значительные суммы с других видов криминальных адресов, многие из которых сами являются мошенниками других типов, что может указывать на то, что многие мошеннические схемы на самом деле контролируются одними и теми же лицами или группами лиц, и об этой теме мы поговорим подробнее чуть ниже. DeFi-протоколы также отправляют мошенникам значительные суммы.

Наши данные показывают также, что около 1% платежей от жертв в адрес мошенников поступает через криптобанкоматы. Такие банкоматы тоже представляют собой интересную категорию для изучения, поскольку обычно они не используются для отправки средств на другие виды криминальных адресов — на самом деле на криминальные адреса ушли всего 2,2% средств (на сумму $67,5 млн), отправленных в 2022 году через криптобанкоматы. Однако непропорционально большая доля от этого общего объёма поступает на адреса, связанные с мошенничеством. Отраслевые аналитики и правоохранительные органы отмечали эту тенденцию и раньше, а блокчейн-анализ позволяет дать ей количественную оценку.

 

В 2022 году через криптовалютные банкоматы мошенникам было отправлено не менее $35,3 млн, то есть более половины от всех средств, отправленных на криминальные адреса с помощью криптобанкоматов. Хотя цифры в долларах на данный момент следует воспринимать как нижнюю границу, непропорционально большая доля средств, направляемых из криптобанкоматов на мошеннические адреса, может быть результатом того, что криптоскамеры чаще нацеливаются в первую очередь на новичков в этой сфере, не очень разбирающихся в технологиях. Для такой аудитории банкомат, похожий на те, что они используют для операций с фиатными деньгами, может казаться самым простым способом отправить криптовалютную транзакцию, позволяя просто внести наличные, ввести криптовалютный адрес и завершить перевод. Данные говорят о том, что криптобанкоматы могли бы лучше обслуживать своих клиентов и значительно снизить их уязвимость перед мошенниками, информируя клиентов о видах мошенничества или даже прямо предупреждая перед переводом средств на адреса, про которые известно, что они связаны с мошенническими проектами.

Концентрация криптоскама: блокчейн-анализ показывает, что на крупные сети может приходиться большая часть мошеннической активности вокруг криптовалют

Мы часто упоминали, что для многих видов криминальной активности, большая её часть может обеспечиваться в основном довольно небольшими и активными криминальными группами, несмотря на то, что на первый взгляд создаётся впечатление, что в неё вовлечено значительно большее число ончейн-субъектов. В главе о вымогательском ПО, например, мы говорили, что, несмотря на большое число активных вирусов в каждый конкретный год, лишь небольшая группа аффилиатов ответственна за многие атаки с использованием различных вирусов, что можно видеть по активности кошельков этих аффилиатов, получающих криптовалютные платежи от множества различных вирусов.

Справедливо ли то же для криптоскамеров? Ниже мы попытаемся ответить на этот вопрос, путём поиска ончейн свидетельств взаимосвязи между различными мошенническими субъектами, активными в 2022 году. И мы покажем также, как анализ офчейн-данных — в частности, общедоступных веб-сайтов, связанных со многими криптоскамами, — может позволить исследователям обнаружить больше мошеннических схем на основе одной уже найденной.

Начнём наш анализ с пяти криптоскамов, против которых CFTC (Комиссия по торговле товарными фьючерсами США) выдвинула обвинения в сентябре 2022 года.

• Cryptostockoptionstrade Ltd
• Global Smart Option Broker Ltd
• Hypertradingoption Ltd
• Stockbrokertechniques Ltd.
• SprintTrade

В пресс-релизе CFTC не уточняется, контролируются ли все пять этих мошеннических схем одним и тем же лицом или группой лиц, но отмечается, что они ссылались на один и тот же физический адрес в Лос-Анджелесе. Это не обязательно означает, что все эти схемы взаимосвязаны: мошенник мог просто скопировать текст с адресом с веб-сайта другого мошеннического проекта. Учитывая это, мы решили поискать в интернете другие сайты предполагаемых криптоинвестиционных компаний, чьи сайты содержали бы информацию, идентичную сайтам мошенников из пресс-релиза CFTC, — не только физический адрес, но и другие фрагменты, такие как отзывы клиентов, — и сопоставить их с нашими ончейн-данными, чтобы посмотреть, может ли текстовый анализ веб-сайтов мошенников обнаружить другие мошеннические схемы, связанные или нет с первоначальными пятью из списка CFTC. В конечном счёте нам удалось найти действующие веб-сайты и криптовалютные адреса для трёх из пяти скам-проектов из пресс-релиза CFTC — их мы и использовали в качестве ориентиров для поиска других афер.

В общей сложности этот анализ выявил ещё 200 подтверждённых мошенничеств, чьи веб-сайты содержат фрагменты информации, идентичные тем, что использовались в трёх проектах из списка CFTC, для которых мы нашли активные веб-сайты. Другими словами, анализ веб-сайтов привёл к 66-кратному увеличению числа выявленных мошенничеств. В таблице ниже показано распределение вновь выявленных скам-проектов по конкретным элементам веб-сайтов, пересекающимся с пятью скам-проектами из пресс-релиза CFTC.

Число вновь обнаруженных мошеннических проектов	Как были обнаружены
88	Тот же физический адрес на сайте
102	Идентичный клиентский отзыв с сайтом из пресс-релиза CFTC

И сразу же мы видим, насколько полезным может быть сканирование веб-сайтов на наличие текстовых данных, идентичных известным мошенническим сайтам: мы быстро выявили ещё 200 мошеннических сайтов. Но, опять же, само по себе это не доказывает, что все 200 сайтов запущены одним и тем же человеком или группой, так как вполне возможно, что мошенники могли просто копировать данные друг у друга из лени или даже в попытке сбить с толку следователей и создать впечатление, что их афера — дело рук кого-то другого. Однако с помощью блокчейн-анализа мы можем найти ещё одну общую черту между этими 200 обнаруженными нами мошенниками, которая может быть более сильным показателем их взаимосвязи или общего контроля: пересечение депозитных адресов.

Как мы уже говорили в главе об отмывании денег, обычно преступники, работающие с криптовалютами, имеют целью перевести незаконно полученные средства в сервис фиатного обмена, где криптовалюты можно конвертировать в наличные, и обычно это подразумевает централизованную биржу. Если мы видим, что два мошенника переводят криптовалюту на один и тот же депозитный адрес на бирже, это может означать одно из двух: либо один мошенник контролирует депозитный адрес и стоит за обеими аферами, либо депозитный адрес принадлежит “вложенному” сервису, используемый обоими мошенниками для отмывания средств — в этом случае тоже за обеими аферами может стоять один мошенник, который предпочитает направлять средства от обеих афер на один сервис, однако может быть и так, что два разных мошенника просто используют один и тот же сервис. Таким образом, хотя совпадение депозитных адресов не является доказательством того, что две аферы контролируются одним лицом или группой, оно, безусловно, увеличивает такую вероятность.

С учётом этого, следующим нашим шагом стал анализ биржевых депозитных адресов, на которые все 203 мошенника когда-либо отправляли средства, и кластеризация мошенников по отдельным, взаимоисключающим мошенническим сетям на основе пересечения депозитных адресов. Для целей данного анализа мы рассматривали двух подразумеваемых скамеров как часть одной сети, если они отправляли любую сумму криптовалют на один и тот же депозитный адрес. Два скама могут быть частью одной сети и без перевода средств на один депозитный адрес, если они оба связаны с третьим скамом через другой депозитный адрес. Другими словами, если скамер А отправляет средства на депозитный адрес 1 и депозитный адрес 2, скамер Б отправляет средства на адрес 2 и адрес 3, а скамер В — на адреса 3 и 4, то мы будем считать, что все три скамера являются частью одной мошеннической сети. Мошенников, никогда не делавших переводов на биржи, мы исключили из анализа.

Применив эту методику к 203 скамерам из нашего списка — три из пресс-релиза CFTC плюс 200 найденных нами по общим элементам веб-сайтов, — мы обнаружили, что 73 из них никогда не переводили криптовалюты на известные биржевые адреса. Оставшиеся 130 на основе пересечения депозитных адресов были отнесены к 43 различным мошенническим сетям, но в конечном счёте одна сеть выделилась на фоне остальных.

 

Мошенническая сеть	Количество отдельных афер в сети	Общая доходность от всех афер в сети	Количество бирж, используемых скамерами сети для обналичивания	Количество адресов биржевых депозитных адресов, используемых сетью
1	86	$3 400 080	69	1667
2	1	$45 177	2	6
3	1	$42 868	3	7
4	1	$20 223	3	10
5	2	$17 133	3	5
6	1	$16 940	3	3
7	1	$16 882	1	3
8	1	$16 294	2	5
9	2	$15 384	3	6
10	1	$13 193	7	11
11	1	$11 401	1	1
12	1	$9968	1	1
13	1	$8489	7	16
14	1	$7532	1	1
15	1	$6817	5	8
16	1	$6633	6	10
17	1	$6375	2	3
18	1	$6039	1	2
19	1	$5848	2	4
20	1	$5296	2	3
21	1	$3650	1	1
22	1	$3339	1	2
23	1	$3210	5	43
24	1	$2876	9	66
25	1	$2823	1	3
26	1	$2417	2	6
27	1	$2105	1	1
28	1	$2061	2	2
29	1	$2015	1	2
30	1	$1885	1	4
31	1	$1773	1	1
32	1	$1387	1	3
33	1	$1080	1	2
34	1	$971	4	11
35	1	$831	1	3
36	1	$755	1	1
37	1	$295	1	2
38	1	$170	1	1
39	1	$150	2	2
40	1	$137	1	1
41	1	$123	1	1
42	1	$117	1	1
43	1	$110	1	2

Сеть 1 включает 86 активных скамеров, которые в общей сложности получили от жертв $3,4 млн и использовали 1667 биржевых депозитных адресов. Интересно, что все аферы из пресс-релиза CFTC, с которого начинался этот анализ, также являются частью сети 1. Две из оставшихся 42 сетей состоят из двух афер, остальные содержат только по одной. В целом, на 86 афер сети 1 приходится 91,6% от общего дохода всех 130 анализируемых афер.

Исходя только из ончейн-данных мы не можем быть уверены, управляются ли 86 афер в этой сети одним и тем же человеком или группой. Единственный способ узнать это наверняка — провести расследование, которое, вероятно, должно включать направление запросов биржам, на которые мошенники переводят средства, чтобы узнать, с аккаунтами каких пользователей связаны эти депозитные адреса. Но даже если аферы в каждой сети просто случайно оказались пользователями одних сервисов по отмыванию денег, помогающими им конвертировать криптовалюты в наличные, это всё равно положительная новость для расследователей, поскольку означает, что они могут нарушить несколько мошеннических схем одновременно, преследуя сравнительно небольшое количество поставщиков услуг по отмыванию денег.

В целом, наши данные говорят о том, что экосистема криптовалютного мошенничества в действительности меньше, чем кажется на первый взгляд. Мы рассчитываем применить эту методологию кластеризации подразумеваемых мошеннических сетей к более широкому числу скамов, нежели 203, включённых в этот анализ, и опубликовать результаты при возможности.

Как расследователи борются со схемами “забой свиней”

Что такое мошеннические схемы “забой свиней” (pig butchering)?

Один из особенно изощрённых видов криптоскама — pig butchering — привлёк внимание СМИ в 2022 году. По аналогии с откормом свиньи перед забоем, pig butchering — это медленная афера, направленная на построение доверительных отношений с жертвой. Большая часть этих афер функционирует аналогичным образом. Скамеры выбирают жертв, с которыми со временем выстраивают отношения. Они создают поддельные аккаунты в социальных сетях и профили на сайтах знакомств, демонстрируя роскошный образ жизни, и рассылают сообщения довольно произвольно отобранным потенциальным жертвам, чтобы установить с ними контакт. Часто используемые приложения включают WeChat, WhatsApp и даже LinkedIn.

Выстраивая отношения, скамеры также стараются разведать, какие из жертв обладают наибольшим инвестиционным потенциалом. Определив цель и установив с ней доверительные отношения, скамер ненавязчиво упоминает сайт криптоинвестиционного проекта, с которым он сам добился успеха.

Аластер Маккриди, редактор отдела Юго-Восточной Азии в Vice World News, сказал в одном из эпизодов подкаста Chainalysis: «Вам не присылают на имейл письмо с просьбой перевести миллион долларов на банковский счёт в Швейцарии; это просто живой и довольно тонкий обмен сообщениями, как в WhatsApp. И если вы сами когда-то находились в поиске каких-то отношений, то могли заметить, насколько легче вас было заманить в ловушку, затянуть разговором с приятным человеком».

В течение недель и даже месяцев мошенники заботливо обучают жертв тому, как пользоваться этими поддельными сайтами, убеждая их вложить как можно больше. Эти платформы фальсифицируют доходность и создают видимость того, что жертвы имеют доступ к средствам. Первоначально они могут позволять и вывод средств. Когда мошенники считают, что потенциал жертвы исчерпан, они пытаются убедить её взять кредит. Если жертва настораживается, скамер ограничивает доступ к средствам и пытается вымогать у неё ещё больше денег.

К сожалению, потерпевшими от схемы “забой свиней” становятся не только прямые её жертвы. Большинство таких афер проворачивается в Восточной Азии и сопряжено также с торговлей людьми. Примерно в 2016 году в Сиануквиле, прибрежном городе в Камбодже, началось большое строительство. Китайские инвесторы построили сотни казино, чтобы привлечь туристов из материкового Китая, где азартные игры запрещены законом. В 2019 году Камбоджа ввела запрет на азартные игры онлайн, а потом грянула пандемия COVID-19, разрушив туристическую экономику Сиануквиля. Многие компании прибегали к преступной деятельности для получения дохода; некоторые нанимали сотрудников на работу по обслуживанию клиентов под ложными предлогами. По прибытии новых сотрудников заводили в гостиничные комплексы казино — теперь это обнесённые стеной охраняемые комплексы — и не позволяли их покидать. Подобные скам-центры на базе казино встречаются также в Лаосе и Мьянме.

Что касается профилей жертв схемы “забой свиней”, то они довольно сильно варьируются по возрасту и по полу тоже. Часто жертвами становятся перебравшиеся в Америку азиаты, поскольку мошенникам легче общаться с ними на одном языке. Такие скамеры обращают внимание также на доброту и чувствительность людей: одна женщина была взята в разработку после того, как согласилась приютить собаку по объявлению в Facebook.

Как рабочая группа REACT и округ Санта-Клара помогают жертвам

Агенты калифорнийской Regional Enforcement Allied Computer Team (REACT) в прошлом году расследовали несколько случаев мошенничества по схеме “забой свиней”; на сегодняшний день расследовано более 50 случаев. Состоящая из местных, государственных и федеральных ведомств, охватывающих пять округов в области залива Сан-Франциско, рабочая группа REACT, демонстрирует, как правоохранительные органы могут успешно проводить расследования криптопреступлений и возвращать средства пострадавшим.

Вместо того чтобы закрывать легко заменяемые веб-сайты или пытаться арестовать зарубежных мошенников в проблемных юрисдикциях, основная тактика REACT заключаются в быстром анализе украденных средств путём отслеживания первоначального перевода жертвы с биржи или кошелька на адрес подозреваемого в мошенничестве и попытке наложить арест на эти средства. При отслеживании движения средств агентство не останавливается на “проходных” посреднических кошельках, нацеливаясь только на те, где находятся средства, которые оно может напрямую соотнести с жертвами, поскольку по законам штата Калифорния правоохранительные органы могут изымать только те средства, которые соответствуют этим критериям.

Поскольку многие граждане и даже правоохранительные органы полагают, что криптовалютные транзакции невозможно отследить, эти расследования сталкиваются со множеством уникальных проблем. Детектив REACT Крис Вигил говорит, что когда происходят мошенничества с криптовалютами, затрагивающие частных лиц, следователи обычно подключаются только спустя недели или месяцы, поскольку жертвы часто не понимают, что у них вообще есть какие-либо средства защиты, или не знают, куда обратиться за помощью. Между тем, у большинства местных правоохранительных органов нет и ресурсов для расследования этих преступлений. Однако в случаях, когда жертвы обращаются в несколько агентств, устранение информационных конфликтов тоже представляет собой серьёзную проблему.

Для успешного расследования случаев мошенничества с криптовалютами необходимо использовать инструменты, которые помогут правоохранительным органам отследить средства для наложения на них ареста. На графе ниже показано, как REACT отслеживает криптовалютные транзакции для типичной аферы по схеме “забой свиней”, и то, как злоумышленники пропускают средства через промежуточные кошельки, чтобы в конечном счёте перевести их на биржу. В данном случае жертва в течение нескольких месяцев переводила криптовалюту на кошельки, связанные с четырьмя различными версиями одной и той же аферы. Отследив переводы между кошельками посредников, расследование связало воедино и несколько различных точек реализации мошеннической схемы.

В период с 10 июля по 3 августа 2022 года жертва отправила три транзакции в ETH на сайт инвестиционного скама ASXWalletExt.com на общую сумму почти $21,5 тыс. Затем подозреваемый конвертировал ETH в USDT и перевёл средства на различные промежуточные кошельки, связанные также с тремя другими сайтами инвестиционного скама. Позже они обналичили средства на бирже. Затем скамер продолжил вымогать у жертвы деньги, обещая “разблокировать” её замороженный аккаунт на ASXWalletExt.com и побудив её перевести около $19,5 тыс., как видно на втором графе ниже. Отследив последующие транзакции по всем промежуточным адресам, агенты REACT обнаружили, что подозреваемый обналичил деньги на крупной бирже.

Как только REACT удаётся получить судебное разрешение на арест средств, криптовалюта переводится на контролируемый правительством счёт. Когда безопасность средств обеспечена, дело передаётся заместителю окружного прокурора, который работает с судами над передачей средств законному владельцу. На сегодня REACT и правоохранительным органам округа Санта-Клара удалось вернуть потерпевшим средства по 15 расследованным случаям мошенничества по схеме “забой свиней”.

Pump-and-dump токены

24% новых токенов, запущенных в 2022 году, имеют ончейн-признаки схем “накачки и сброса” (pump-and-dump).

Pump-and-dump схемы в традиционных финансах выглядят довольно просто: держатели торгуемого актива — например, акций некоей компании — усиленно продвигают этот актив среди других инвесторов, часто прибегая к вводящим в заблуждение заявлениям, что приводит к быстрому росту цены, вызванному покупками новых инвесторов (это “памп”, накачка). Затем держатели продают свои акции по завышенной цене с прибылью, что приводит к резкому падению цены, оставляя новых инвесторов с малоценным и часто бросовым активом (это “дамп”, сброс).

Вполне ожидаемо, pump-and-dump схемы получили распространение и в мире криптовалют. Это в основном объясняется относительной лёгкостью, с которой злоумышленники могут запустить новый токен и искусственно завысить его цену и рыночную капитализацию, самостоятельно создав первоначальные торговые объёмы и контролируя оборотное предложение. Кроме того, команды, запускающие новые проекты и токены, могут сохранять анонимность, что даёт возможность серийным скамерам осуществлять несколько pump-and-dump схем, как последовательно, так и одновременно.

В снэпшоте из Chainalysis Storyline ниже можно видеть, как выглядит ончейн реализация типичной pump-and-dump схемы. Токен имеет все признаки pump-and-dump схемы: цена актива упала на 90% в первую неделю торгов после того, как создатель токена сбросил свои токены на рынке.

Этот токен представляет собой хорошую модель того, как работают pump-and-dump токены. Создатель запустил смарт-контракт токена и профинансировал новый пул ликвидности для него на популярной DEX в декабре 2021 года, после того как прорекламировал запуск среди криптоэнтузиастов в социальных сетях. Сотни жертв купили токен на этой DEX, что, ввиду низкой ликвидности, в считаные часы взвинтило цену токена. Однако в тот же день создатель распродал все свои запасы токена, оставив покупателей с бесполезным бросовым активом на руках. В целом, злоумышленник заработал на этом чуть менее $20 тыс. долларов.

Далее мы попытаемся количественно оценить масштаб и распространение pump-and-dump схем в криптовалютах, проанализировав для этого все токены, запущенные на блокчейнах Ethereum и BNB в 2022 году. Хотя в прошлом году было запущено более 1,1 миллиона токенов, подавляющее большинство из них практически не получили распространения, если судить по частоте обмена на DEX. Поскольку мы хотим сосредоточиться на проектах, оказавших хоть какое-то влияние на криптоэкосистему, будем рассматривать только те токены, что достигли минимум десяти свопов и четырёх подряд дней торговли в первую неделю после запуска. Этот критерий сокращает число анализируемых новых токенов с 1,1 миллиона до 40 521.

Следующий критерий, который мы будем искать, — это резкое падение цены на 90% или более в течение первой недели торгов, что может свидетельствовать о том, что создатели и первые держатели токена очень быстро его сбросили, что делает проект довольно очевидным кандидатом на звание вероятной pump-and-dump схемы. Из 40 521 токенов, запущенных в 2022 году, и получивших достаточное распространение, чтобы их вообще стоило анализировать, 9902, или 24%, резко упали в цене в первую неделю торгов, что может быть свидетельством вероятной pump-and-dump схемы.

	Количество токенов	Процент от всех запущенных токенов
Всего токенов запущено	1 105 239	100,0%
Токены с более чем 10 свопами и 4 подряд торговыми днями в первую неделю после запуска	40 521	3,7%
Токены с падением цены на 90% в первую неделю после начала торгов	9902	0,9% (24% от токенов, получивших минимальное распространение)

Конечно, возможно, что в некоторых случаях команда токена, сделала всё возможное, чтобы сформировать здоровое предложение, а последующее падение цены было объективно обусловлено рыночными силами и проблемами, возникающими из-за менее развитой инфраструктуры для создания рынка в пространстве цифровых активов. Хотя проверить стратегию продвижения или намерения команды для всех 9902 токенов нам было невозможно, мы провели такую проверку для 25 токенов с наибольшим падением цены в первую неделю на Token Sniffer, сервисе, оценивающем новые токены по шкале от 0 до 100 в зависимости от их надёжности и снимает баллы за любые характеристики, свойственные мошенническим схемам. И согласно Token Sniffer, все эти 25 токенов получили нулевую оценку, что говорит о том, что, по критериям оценки Token Sniffer, они практически наверняка предназначались исключительно для реализации pump-and-dump схемы. Token Sniffer обнаружил также, что многие из них содержат вредоносный фрагмент кода, не позволяющий новым покупателям продавать токен, — один из вернейших признаков pump-and-dump схемы.

В общей сложности покупатели, по-видимому, не связанные с создателями токенов, потратили $4,6 млрд в криптовалютах на приобретение некоторых из 9902 выявленных нами “подозреваемых” токенов — относительно небольшая сумма по сравнению с триллионным объёмом криптовалютных транзакций в 2022 году, однако существенный ущерб для не подозревающих подвоха инвесторов. По нашим оценкам, создатели этих токенов получили в общей сложности $30 миллионов прибыли от продажи своих пакетов до того, как стоимость токенов резко падала. Во многих случаях один и тот же кошелёк обеспечивал первоначальную ликвидность для нескольких токенов, подходящих под наши критерии pump-and-dump схем, либо предоставлял ликвидность кошельку, который это делал, что говорит о том, что эти кошельки контролируются одним субъектом. Используя эту методику, мы определили, что 445 лиц (или групп) ответственны за 24% из 9902 предполагаемых pump-and-dump токенов, запущенных в 2022 году.

Самый активный из выявленных нами создателей предполагаемых pump-and-dump токенов за 2022 год запустил 264 отвечающих нашим критериям токена.

Pump-and-dump схемы в мире криптовалют обладают уникальной разрушительностью ввиду лёгкости запуска новых токенов и самой природы криптоинвестиций, движимых социальными медиа и обсуждениями в них. Многие считают, что криптовалюты приближаются к точке перелома, после которой наступит массовое принятие, однако это может быть затруднительно, если широкая общественность будет воспринимать крипторынок как рассадник мошенничества, отмывания денег и pump-and-dump схем, предназначенных для наживы на новичках. И для такого видения во многом есть основания, хотя надо признать, что в смысле отношения операций криминального происхождения к общему объёму криптовалютных транзакций, равно как и с точки зрения прозрачности блокчейнов, опасность рынка криптовалют сильно преувеличена.

 

---

БитНовости отказываются от ответственности за любые инвестиционные рекомендации, которые могут содержаться в данной статье. Все высказанные суждения выражают исключительно личное мнения автора и респондентов. Любые действия, связанные с инвестициями и торговлей на крипторынках, сопряжены с риском потери инвестируемых средств. На основании предоставленных данных, вы принимаете инвестиционные решения взвешенно, ответственно и на свой страх и риск.

Подписывайтесь на BitNovosti в Telegram!
Делитесь вашим мнением об этой статье в комментариях ниже.

Источник