Доверительный подход к криптовалютной экосистеме.
С момента появления Bitcoin в 2009 году криптовалюта создала новые рынки, подстегнула развитие финансовой инфраструктуры и продвинула многие новаторские идеи в отношении удовлетворения мировых экономических потребностей.
Заинтересованные стороны, такие как правительства, отраслевые операторы и традиционные финансовые учреждения, нуждаются в общем понимании игроков в криптовалютной экосистеме, чтобы стимулировать собственный рост и адаптацию. Ключом к выявлению и безопасного подхода к новым возможностям является понимание того, кто является субъектами, осуществляющими криптовалютные транзакции, и каков уровень рисков, связанной с ними незаконной деятельности.
Chainalysis имеет большой опыт в криптовалютах. Являясь ведущим в отрасли поставщиком программного обеспечения для анализа, проведения расследований и обеспечения соответствия требованиям криптовалютных переводов, мы даем возможность банкам, бизнесу и правительствам понять, какие организации совершают операции с криптовалютами, чтобы отрасль могла продолжать безопасный и устойчивый рост.
В этом руководстве мы используем наш всеобъемлющий, лучший в своем классе набор данных по blockchain, а также и десятилетиями накопленный опыт расследований, чтобы разделить ключевых игроков в криптовалютных операциях в соответствии с уровнем риска, который они собой представляют.
Как мы классифицируем ключевых игроков в Blockchain.
Рис.1.Классификация криптовалютных сервисов.
Самый легкий способ категоризации сущностей, осуществляющих транзакции в криптовалютах – это группировка по способу использования средств:
- Хранение средств;
- Инвестиции и обмен валют;
- Покупка и продажа легальных товаров и услуг;
- Обфускация активностей в целях обеспечения приватности или сокрытия нелегальной деятельности;
- Покупка и продажа нелегальных товаров и услуг;
- Кражи и мошенничество.
Криптовалютные игроки, связанные с каждым из этих пунктов включают в себя сервисы и организации, которые мы подробно опишем в этом отчете и разделим на категории в соответствии с уровнем связанных рисков.
Рис.2.Потенцал криптовалютных сервисов для криминальной деятельности.
Слева на рис.2 находятся такие сервисы, как хостинги кошельков и торговые сервисы, которые реже используются для незаконной деятельности и поэтому имеют меньший уровень рисков. Справа - такие явления на рынке криптовалют как схемы финансирования терроризма, которые являются незаконными при любых обстоятельствах и поэтому оцениваются как очень рискованные.
Сервисы в середине диаграммы не всегда нелегальные, но часто связаны с преступной деятельностью или используются для ее осуществления. Например - азартные игры являются абсолютно законными во многих юрисдикциях, они также часто исторически использовались как средство отмывания денег.
Эти уровни риска отражают только общие категории сервисов и сами по себе не являются достаточными для оценки уровня риска конкретной организации. Единственный способ сделать это – проанализировать криптовалютные операции и контрагентов организации более детально.
Если вы новичок в криптовалютной экосистеме, это руководство поможет вам понять, как различные группы используют криптовалюты, и на что вам следует обратить внимание, чтобы ограничить риски своего участия в незаконной деятельности.
Обзор криптовалютных сервисов и организаций.
Все, что Вам нужно знать о ключевых игроках в криптовалютной экосистеме, включая новые тенденции, виды рисков и возможные способы нелегального использования сервисов.
Торговые сервисы.
Поставщики торговых услуг позволяют основным предприятиям принимать криптовалюту в качестве оплаты за повседневные покупки клиентов. Думайте о них как об обычных обработчиках платежей, таких как Stripe или Square, только совместимых с криптовалютами. Торговые сервисы позволяют людям использовать криптовалюту так же, как они пользуются обычными деньгами.
Почему кто-то - потребитель или бизнес - захочет использовать криптовалюту вместо традиционных денег? Есть много причин, но самая главная - это снижение комиссионных сборов. Традиционные платежные методы, такие как кредитные карты, взимают комиссию за каждую транзакцию, что означает, что бизнес должен либо взять на себя эти расходы, либо переложить их на клиентов. криптовалютные платежи - это прямые транзакции, и это означает, что они могут быть обработаны дешевле, чем платежи по кредитным картам. То же самое относится к трансграничным платежам и денежным переводам.
По мере роста популярности криптовалют растет и популярность торговых сервисов: такие глобальные компании как Starbucks и Whole Foods теперь принимают криптовалютные платежи. В целом, с 2020 года наблюдается тенденция к росту использования торговых сервисов после почти двухлетнего затишья с некоторыми резкими скачками и спадами во время и после ценового бума Bitcoin в 2017 году.
Рис.3.Объемы переводов в сторону торговых сервисов январь 2014 - апрель 2021 (в млн.$).
Торговые сервисы, как правило, относятся к категории низкого риска. Пользователями обычно являются традиционные предприятия и их клиенты. Однако стоит отметить, что мошенники иногда интегрируют торговые сервисы с вредоносными веб-сайтами для приема криптовалютных платежей от своих жертв.
Хостинги кошельков.
Чтобы понять, что такое хостинги кошельков, необходимо понять, как открытые и закрытые ключи позволяют осуществлять криптовалютные транзакции. Кошельки хранят открытые и закрытые ключи пользователей и управляют ими. Проще говоря, ваш открытый ключ - это цифровой, публичный «идентификатор», который представляет собой то, откуда криптовалюта может быть получена и отправлена. Ваш закрытый ключ обеспечивает механизм доказательства, что вы владеете этим публичным идентификатором, сохраняя при этом свой закрытый ключ в тайне. Он позволяет вам подписывать криптовалютные транзакции, отправляя ваши средства в другое место. Если кто-то другой знает ваш закрытый ключ, он может разблокировать все связанные с ним средства.
Нехостинговые кошельки (также известные как локальные кошельки или само-хостинговые кошельки) позволяют пользователю хранить свои открытые и закрытые ключи локально на собственном устройстве, обеспечивая полный контроль над своими средствами в любое время.
Но вместе с этим контролем приходит и ответственность. Пользователи нехостинговых кошельков несут ответственность за обеспечение безопасности своих закрытых ключей от хакеров или любых других лиц, которые попытаются украсть их и завладеть средствами пользователя.
Хостинги кошельков устраняют неудобства, связанные с необходимостью защищать свои собственные ключи, храня открытые и закрытые ключи в принадлежащей и обслуживаемой поставщиком услуг хостинга инфраструктуре. В результате пользователь получает опыт, схожий с традиционными банковскими и финансовыми веб-сайтами, что облегчает пользователям совершение транзакций, хотя и с риском снижения финансовой конфиденциальности и потери прямого контроля над средствами.
Ниже приведены некоторые из наиболее популярных хостинговых и локальных кошельков. Имейте в виду, что некоторые сервисы предлагают оба варианта.
Рис.4.Популярные криптовалютные кошельки.
Пользователи должны быть внимательны, так как мошенники часто создают вредоносные веб-сайты, выдающие себя за сайты популярных сервисов хостинговых кошельков, чтобы обманом заставить пользователей передать свои приватные ключи и отдать контроль над своей криптовалютой.
Майнинговые пулы.
Майнинг - это процесс подтверждения и добавления транзакций в blockchain в обмен на вновь созданную криптовалюту. Это ключевой процесс как для регулирования выпуска криптовалюты, так и для поддержания безопасности криптовалютных операций.
Наиболее часто используемый процесс в майнинге называется Proof of Work (PoW). При В системе PoW майнеры соревнуются в вычислительном переборе. Тот майнер, который первым найдет правильный ответ, получает право на создание новой записи в «бухгалтерской книге» или блока, добавляющего новые транзакции в blockchain. В качестве вознаграждения за затраченную вычислительную мощность майнер получает новую криптовалюту.
Насколько сложно решить математические задачи, на которых держится blockchain? Их сложность определяется с помощью единицы измерения, называемой «хэшрейтом», которая определяет общее количество вычислительных мощностей, направляемых на добычу единицы криптовалюты. Больше вычислительных мощностей означает больше конкуренции за каждый новый блок, что усложняет достижение победы для каждого участника. С 2017 года хэшрейт для Bitcoin растет экспоненциально.
В первые дни существования Bitcoin человек мог успешно добывать новые Bitcoin с помощью своего персонального компьютера, но с ростом конкуренции это стало практически невозможно. В ответ на это майнеры стали создавать майнинговые пулы, в которых группа майнеров объединяет свои вычислительные мощности, чтобы повысить шансы на успех. Конкуренция очень жесткая - некоторые пулы имеют целые серверные фермы, предназначенные только для майнинга. BTC.com и NiceHash - два самых крупных и успешных работающих сегодня пула.
Майнинговые пулы считаются категорией с низким уровнем риска, поскольку они получают подавляющее большинство своей криптовалюты посредством майнинга и отправляют ее группам и отдельным лицам. участвующим в пуле. Однако некоторые пулы принимают депозиты или получают криптовалюту не через майнинг, в этом случае они могут быть использованы для отмывания денег.
Криптовалютные биржи и обменники.
Биржи позволяют пользователям торговать криптовалютой. Они представляют собой наиболее важную и широко используемую категорию сервисов в криптовалютной индустрии, на них приходится 90% всех отправляемых средств. С апреля 2020 года биржи получили более $1 трлн. криптовалюты, что составляет более 80% всего оборота криптовалюты с участием различных категорий сервисов.
Рис.5.Ежемесячный объем отправленной криптовалюты по категории сервиса.
Как и кошельки, биржи обычно бывают хостинговыми, нехостинговыми или предоставляют пользователям возможность выбора одного из двух вариантов.
Хостинговые биржи технически имеют контроль над вашей криптовалютой, так как у них хранятся связанные с кошельком закрытые ключи. Крупные, централизованные розничные биржи, как правило, являются хостинговыми, поскольку их бренд внушает доверие многим пользователям, а сами пользователи часто заинтересованы в быстрой торговле без лишних телодвижений, связанных с вводом закрытого ключа. На самом деле, торговля на большинстве таких бирж происходит вне blockchain - то есть, она не записывается на
blockchain и управляется самой биржей, что быстрее для пользователей, но снижает прозрачность операций. Единственные случаи, когда биржевые транзакции записываются в blockchain, это когда пользователи вводят или выводят средства на адреса вне биржи.
Биржи также могут различаться по своему подходу к традиционной («фиатной») валюте. Криптофиатные (C2F) биржи, такие как Coinbase, позволяют пользователям обменивать обычную валюту на криптовалюту, что делает их основными маршрутами ввода и вывода криптоактивов. Это также означает, что C2F-биржи являются наиболее распространенным местом, где новые пользователи приобретают свою первую криптовалюту. Биржи, работающие исключительно с криптовалютой (C2C), с другой стороны, более популярны среди опытных пользователей и активных трейдеров, торгующих не только самыми популярными валютами, но и более широким спектром активов.
Peer-to-peer обменники.
В отличие от хоститнговых бирж, нехостинговые не берут на себя хранение средств пользователей и не хранят закрытые ключи, связанные с их кошельками. P2P-обменники являются наиболее распространенным примером. В то время как розничные биржи управляют всеми сделками централизованно, P2P-биржи способствуют прямым сделкам между физическими лицами. Пользователи создают публичные объявления о том, сколько криптовалюты они хотели бы купить или продать, а другие пользователи могут откликнуться и договориться об условиях сделки и совершить обмен напрямую. Перевод осуществляется лично или онлайн с помощью прямого перевода на кошелек, банковского перевода, банковской карты, подарочной карты - как решат участники. P2P-обменники особенно популярны в регионах, где нет сильной традиционной банковской инфраструктуры, например, в некоторых регионах Латинской Америки и Африки.
Высоко-рисковые биржи.
Некоторые из бирж лучше других соблюдают правила борьбы с отмыванием денег (AML), в то время как наиболее авторитетные биржи имеют строгие протоколы «Знай своего клиента» (KYC) и используют такие инструменты, как Chainalysis, для мониторинга транзакций на предмет рискованной или незаконной деятельности, другие биржи гораздо более безразлично относятся к соблюдению требований, что повышает риски отмывания незаконных средств. Chainalysis относит такие сервисы к биржам повышенного риска, основываясь на истории их транзакций, заявленной политике соответствия и данных таких ресурсов, как FATF – «Руководство по красным флажкам для криптовалютных компаний». Биржа BTC-e, которая была закрыта правительством США в 2017 году, стала отличным примером биржи с высоким уровнем риска.
Рис.6.Закрытие биржи BTC-e.
Власти установили, что BTC-e в значительной степени подвержена схемам отмывания денег, связанным с вирусами-шифровальщиками, деятельностью хакерских групп, кражей личных данных, налоговым мошенничеством и торговлей наркотиками. В целом, на бирже было отмыто криптовалюты на сумму более $4 млрд., включая 300 000 BTC, похищенных в ходе взлома Mt. Gox. Но, как видно из приведенных данных, крупнейшие биржи сегодня более серьезно относятся к соблюдению требований AML и гораздо меньше рискуют стать участниками схем отмывания денег.
Вложенные сервисы.
Вложенные сервисы - это криптовалютные предприятия, которые работают внутри одной или нескольких крупных бирж, используя ликвидность и торговые пары этих бирж. Примерами вложенных сервисов являются мгновенные обменники и внебиржевые брокеры, хотя и те, и другие могут работать независимо, как самостоятельные сервисы.
Хотя большинство вложенных сервисов работают легально и в соответствии с требованиями законодательства, на те, которые не работают, приходится непропорционально большая доля деятельности по отмыванию денег.
Рис.7.Объемы криминальной криптовалюты, полученной кошельками различных сервисов в 2020 году.
Как читать этот график: на этом графике показаны адреса сервисных депозитов, разделенные по количеству криминальной криптовалюты, полученной каждым адресом по отдельности в 2020 году. Каждая синяя полоса представляет собой количество депозитных адресов в группе, а каждая оранжевая полоса представляет общий объем криптовалюты, полученной всеми депозитными адресами в группе. На примере первой группы мы видим, что 1 138 030 депозитных адресов получили от $0 до $100 криминальной криптовалюты, а все вместе эти адреса получили в общей сложности переводы на сумму $13 млн.
Как мы уже сообщали в отчете «Криптопреступность 2021», на очень небольшое количество размещенных на сервисе депозитных кошельков приходится большая часть отмывания криптовалюты: всего лишь 270 кошельков получили 55% всех средств, отправленных с криминальных кошельков в 2020 году. Большинство получающих эти незаконные средства кошельков связаны с вложенными сервисами
Внебиржевые брокеры.
Внебиржевые брокеры способствуют заключению крупных сделок между отдельными покупателями и
продавцами, которые не могут или не хотят заключать сделки на открытой бирже. Многие внебиржевые брокеры работают как вложенные сервисы в рамках одной или нескольких бирж, но самые крупные, как правило, работают независимо.
Трейдеры могут обращаться к внебиржевым брокерам, если хотят ликвидировать большое количество криптовалюты по установленной, согласованной цене. Внебиржевые брокеры являются важнейшим источником ликвидности на криптовалютном рынке. Хотя точный размер внебиржевого рынка измерить невозможно, мы знаем, что он достаточно велик. Поставщик данных о криптовалютах Kaiko даже считает, что на внебиржевой рынок приходится большая часть всего объема торговли криптовалютами.
Хотя большинство внебиржевых брокеров ведут законный бизнес, некоторые из них сотрудничают с криминальными структурами. К внебиржевым брокерам часто предъявляются более низкие требования KYC, чем к биржам, на которых они работают. Некоторые пользуются этим, предоставляя преступникам услуги по отмыванию денег и помогая им обналичивать средства, связанные с незаконной деятельностью. Недобросовестный внебиржевой брокер обычно делает это, обменивая незаконно нажитую преступниками криптовалюту на наличные напрямую или на Tether в качестве стабильной валюты-посредника.
Мы наблюдали примеры того, как внебиржевые брокеры выступали в роли отмывателей денег во время нашего расследования PlusToken - масштабной схемы Понци, в которую были вложены миллиарды долларов в криптовалюте от миллионов инвесторов. По состоянию на декабрь 2019 года мошенники PlusToken перевели украденных Bitcoin на сумму $185 млн. на биржевые счета, связанные с внебиржевыми брокерами для дальнейшего вывода средств. Большинство этих операций по обналичиванию напоминают показанную ниже схему транзакций, в которой хакеры перемещали часть украденных средств через ряд промежуточных кошельков, прежде чем перевести большую часть средств внебиржевым брокерам.
Рис.8.Пример процесса отмывания средств хакерами.
Кроме того, мы выяснили, что многие счета на соответствующих биржах, получающие значительные средства из незаконных источников, контролируются внебиржевыми брокерами, многие из которых были фигурантами в многочисленных уголовных расследованиях, в которых Chainalysis принимала участие. Тем не менее, большинство внебиржевых брокеров, которые работают в соответствии с требованиями, остаются неотъемлемой частью криптовалютной экосистемы.
DeFi.
Рост платформ DeFi стал одной из самых громких историй в криптовалютах в 2020 году.
Рис.9.Еженеделдьные объемы криптовалют, поступающие на платформы DeFi январь 2019 – апрель 2021.
Еженедельный объем валют, получаемый платформами DeFi, имеет тенденцию к росту с начала 2020 года с несколькими скачками до этого момента, достигнув пика в размере более $29 млрд. на неделе 19 апреля 2021 года.
Но что такое DeFi? DeFi расшифровывается как «децентрализованные финансы» и относится к классу криптовалютных платформ, которые, по крайней мере теоретически, могут работать автономно без поддержки центральной компании, группы или человека (отсюда и название). Как это возможно? Платформы DeFi построены на базе blockchain с поддержкой смарт-контрактов - в первую очередь на базе сети Ethereum -
и могут выполнять конкретные финансовые функции, определяемые алгоритмом смарт-контракта, лежащего в их основе, автоматически выполняя такие операции, как сделки и займы при выполнении определенных условий. Не нуждаясь в централизованной инфраструктуре или человеческом управления, платформы DeFi могут позволить пользователям осуществлять финансовые операции с более низкими комиссиями, чем другие финтех-приложения или финансовые учреждения. В целом, платформы DeFi в 2020 году получили криптовалюты на сумму $86,5 млрд., что в 67 раз больше, чем в 2019 году.
Ниже мы рассмотрим три популярные категории платформ DeFi.
Токены ERC-20.
Токены ERC-20 - это активы на основе blockchain, которые можно отправлять и получать с помощью кошелька Ethereum. Многие токены ERC-20 созданы для того, чтобы соответствовать цене других популярных криптовалют, например - Ethereum Bitcoin (ETH BTC) - это ERC-20 версия Bitcoin, что позволяет его легче обменивать на платформах DeFi.
Как именно работают токены ERC-20? Одна из вещей, которая отличает Ethereum от Bitcoin – это возможность запускать программы, такие как смарт-контракты. Эти смарт-контракты позволяют создавать децентрализованные приложения поверх blockchain Ethereum, а не поднимать для этого собственный. ERC-20 описывает стандарт для написания смарт-контрактов, которые функционируют как токены. Он предоставляет программный интерфейс для базовой функциональности передачи и хранения этих токенов в кошельках Ethereum. Поскольку они работают на blockchain Ethereum, все комиссии за транзакции с токенами ERC-20 оплачиваются в Ethereum. На сегодняшний день Chainalysis поддерживает 97 токенов ERC-20, которые в совокупности составляют 97% от общей стоимости ERC-20. Объем рынка - $25 млрд. переводов ERC-20 ежедневно.
Децентрализованные обменники (DEX).
DEX - один из самых популярных типов DeFi платформ. Они позволяют пользователям покупать, продавать и обменивать различные токены, созданные на определенном blockchain (опять же, в основном Ethereum) непосредственно между кошельками друг друга для обеспечения большей конфиденциальности и безопасности. Поскольку эти платформы никогда не берут на себя хранение средств а только способствуют прямому переводу, пользователи могут совершать такие валютные операции без необходимости предоставлять данные KYC или регистрировать сделки в бухгалтерских книгах, как это делается на стандартной криптовалютной бирже.
Кредитные DeFi-платформы.
Платформы кредитования являются еще одним популярным типом DeFi-платформ. Эти сервисы позволяют держателям криптовалюты объединять свои активы, чтобы их можно было одалживать другим. В обмен за предоставление ликвидности, держатели получают часть полученных от займов процентов, которые берут пользователи. Как и другие платформы DeFi, пулы займов DeFi управляются лежащими в основе смарт-контрактами, которые устанавливают процентные ставки и залог, требуемый от берущих кредиты пользователей.
Криптовалютные банкоматы.
Криптовалютные банкоматы, также известные как криптовалютные киоски, представляют собой физические машины, которые позволяют пользователям конвертировать наличные в криптовалюту и наоборот. По мере распространения криптовалют мы наблюдаем серьезный рост числа установленных банкоматов. Важно отметить, что хотя эти машины и названы в честь привычных нам банкоматов, они регулируются по-другому из-за одного ключевого отличия: в то время как обычные банкоматы просто позволяют пользователям снимать наличные, которые они уже имеют на банковском счете, криптовалютные банкоматы позволяют конвертировать обычные и криптовалютные средства, и поэтому они обычно регулируются как поставщики услуг виртуальных активов (VASP) в соответствии с такими нормативными актами, как Travel Rule.
Как быстрое и простое средство конвертации наличных в криптовалюту, основной причиной привлекательности криптовалютных банкоматов для преступников является возможность отмывания денег. Однако во многих криптовалютных банкоматах действуют строгие протоколы KYC, которые, как правило, становятся тем строже, чем большую сумму пользователь пытается внести. От пользователей требуется создать учетную запись с предоставлением персональной информации, такой как номер телефона или фотография удостоверения личности, что делает эту категорию сервисов относительно низкорисковой.
Дело «Соединенные Штаты против Кевина К. Фуско» является хорошим примером того, как KYC криптовалютных банкоматов выглядит на практике. Все началось с того, что Фуско, наркоторговец, активно работавший на различных рынках Darknet, подошел к криптовалютному банкомату и конвертировал Bitcoin в $32 000 наличных. Банкомат отметил транзакцию как рискованную, и когда Фуско вернулся, чтобы попытаться снять еще $200 000, банкомат отклонил запрос. Поскольку поставщик банкоматов собрал информацию о водительских правах Фуско во время регистрации как часть процесса KYC, правоохранительные органы смогли связать эти транзакции с Фуско и использовать записи банкоматов в качестве доказательства, когда в конечном итоге Фуско был арестован.
Азартные игры.
Индустрия онлайн-азартных игр стала одной из первых, кто начал принимать криптовалюту, возможно, потому что она позволяет пользователям играть в азартные игры в странах, где это запрещено.
Профиль риска сервисов азартных игр во многом зависит от юрисдикции. Сайты азартных игр считаются рискованными в США, поскольку в большинстве штатов азартные игры запрещены. Но в Европе онлайн-казино совершенно легальны, поэтому такие услуги считаются низкорисковыми. Тем не менее, некоторые сайты азартных игр имеют слабые стандарты KYC, что может сделать их еще одним местом для отмывания денег. Как и в случае с другими категориями, при оценке риска важно глубоко изучить практику отдельных сервисов при оценке.
Интересно, что многие сайты азартных игр полагаются на одну и ту же горстку платежных процессоров для проведения криптовалютных транзакций. Хотя может показаться, что платежи клиентов с разных кошельков поступают на счет каждого отдельного казино, все эти кошельки на самом деле управляются одним сторонним платежным процессором, который мы называем «вложенным» сервисом в рамках данной схемы.
Ниже приведен один из примеров с популярным платежным процессором CoinsPaid.
Рис.10.Обработка платежей от казино сервисом Coinspaid.
Это лишь один из примеров централизации финансовых потоков в онлайн-азартных играх. Многие сайты используют программные платформы для онлайн-казино, которые позволяют им предлагать популярные игры без разработки игры самостоятельно. На самом деле, хотя может показаться, что существуют тысячи отдельных игорных сайтов, многие из них принадлежат одному и тому же крупному холдингу.
Кибер-инфраструктура-как-сервис.
Кибер-инфраструктура необходима для поддержания веб-сайтов или любого онлайн-бизнеса, включая:
- Веб-хостинг;
- Регистрация доменов;
- Почтовые и другие коммуникационные сервисы;
- VPN;
- Электронная коммерция.
Многие провайдеры инфраструктуры принимают платежи в криптовалюте. Обычно платежи проводятся через торговые сервисы, мы часто можем идентифицировать конкретные кошельки, которые использует тот или иной провайдер и связать из с конкретным торговым сервисом.
Мы оцениваем риски сервисов кибер-инфраструктуры как средние так как они часто предлагают пользователям анонимность, что делает их популярными у киберпреступников. Один их таких примеров – веб-хостинг BlackHost.
Рис.11.BlackHost.
BlackHost известен как «пуленепробиваемый» хостинг, что означает широкие возможности по обеспечению анонимности пользователей и их платежей, а также практически полное отсутствие контроля за контентом размещенных на нем сайтов. Анализ транзакций показывает, что основной кошелек BlackHost получает переводы с кошельков, связанных с Tian Yinyin, гражданином Китая, предположительно помогавшим отмывать средства северокорейской хакерской группе Lazarus Group и попавшим за это под санкции США.
Рис.12.Связь BlackHost.
Доказательства показывают, что BlackHost, вероятно, получал средства от Lazarus Group и, возможно, по неосторожности предоставила им услуги веб-хостинга, необходимые для их хакерской деятельности, это лишь один из примеров рисков, которые могут представлять собой провайдеры кибер-инфраструктуры, в криптовалютной экосистеме.
Миксеры.
Миксеры - это сервисы, которые помогают пользователям совершать сделки с большей конфиденциальностью и скрывать источники средств. Эта возможность, а также тот факт, что большинство миксеров не имеют требований KYC, делает их распространенным механизмом отмывания денег. Фактически, мы обнаружили, что микшеры являются самым популярным местом обналичивания средств, полученных от незаконной деятельности.
Миксеры создают разрыв между криптовалютными средствами, которые пользователи вносят на депозит, и тем, что они выводят, что затрудняет отслеживание движения средств. Для этого они объединяют вместе средства, которые вносят все пользователи и смешивают их в случайном порядке. Затем пользователи могут получить обратно средства из объединенного пула, эквивалентные тем, которые они внесли, за вычетом 1-3% комиссии за обслуживание.
Некоторые миксеры еще больше усложняют отслеживание средств, позволяя пользователям получать куски средств разного размера на разные адреса в разное время. Другие пытаются скрыть тот факт, что миксер вообще используется, изменяя комиссию за каждую транзакцию или меняя тип используемого адреса депозита.
Хотя миксеры и не являются прямо противозаконными, правоохранительные органы относятся к ним с большим вниманием и закрывают те из них, которые получили значительные суммы незаконно полученных средств. Например, в 2018 году власти Нидерландов закрыли сервис Bextmixer.io - сервис, который за предыдущий год обработал средства на сумму более $200 млн. Правоохранительные органы установили, что значительная часть этих средств была получена в результате преступной деятельности.
Wasabi Wallet опирается на децентрализованный метод смешивания под названием протокол CoinJoin, что отличает его от других миксеров. Первое поколение микшеров было уязвимо для вмешательства правоохранительных органов, поскольку они функционировали как централизованно управляемые сервисы полностью под контролем миксера. Протокол CoinJoin решает эту проблему, предоставляя кошелек, который автоматически смешивает средства всех пользователей этого кошелька при каждой транзакции, которую они проводят. CoinShuffle - еще один протокол, который делает то же самое для Bitcoin Cash.
Существуют и легальные причины для использования более приватных транзакций. Но учитывая их «природную» склонность к отмыванию денег и предыдущие закрытия крупных, хорошо зарекомендовавших себя миксеров, можно ожидать, что финансовые учреждения и криптовалютные компании будут с большим подозрением относиться к сервисам-миксерам.
Сервисы в юрисдикциях с высоким уровнем риска.
Продукты Chainalysis присваивают категорию юрисдикции высокого риска сервисам, расположенным в странах, которые подвергаются серьезным санкциям со стороны Соединенных Штатов. Хотя эти организации сами не попали под санкции, они требуют особого внимания от команд по соблюдению криптовалютного законодательства, поскольку существуют строгие рекомендации по взаимодействию с предприятиями в странах, находящихся под санкциями. В настоящее время в эту категорию включены только Иран и Венесуэла, хотя в будущем к ним могут быть добавлены и другие страны.
Рынки Darknet.
Darknet-рынки – это коммерческие сайты, работающие аналогично eBay, где пользователи могут покупать и продавать товары за криптовалюту. Ключевое отличие, конечно, это то, что большинство товаров на таких рынках – нелегальные, включая наркотики, запрещенную атрибутику, оружие, данные краденных кредитных карт, детскую порнографию и многое другое. Теневые торговые площадки обычно доступны только через анонимные браузеры, такие как Tot или l2P. Это одна из наиболее высокорисковых категорий криптовалютных сервисов, и любой кошелек, имеющий связи с известными кошельками Darknet-рынков, попадает под подозрение правоохранительных органов и государственных регуляторов.
Из-за очевидной необходимости в секретности довольно сложно оценить обороты теневых торговых площадок – они же не публикуют ежеквартальную отчетность. Но в мире криптовалют есть намеки на присутствие внутренних данных того, что кажется «аферой на выходе» администраторов рынка Nightmare Market в 2019 году. Одному из хакеров удалось получить доступ к данной площадке, и часть данных о ее операциях была опубликована в сети, включая графики оборота и объемов продаж
Рис.13.Статистика Nightmare Market.
Хакер раскрыл ключевые статистические показатели Nightmare Market:
- Около 80 000 пользователей;
- $22 млн. дохода с конца 2018 по июль 2019 года;
- Продавцы предпочитали валюты Bitcoin и Monero.
Многие покупатели и продавцы покинули Nightmare Market вскоре после этого взлома (который также сопровождался трудностями с обналичиванием средств), перейдя на альтернативные Darknet-рынки, такие как
Empire Market, Berlusconi Market, Cryptonia Market и Samsara Market.
В 2020 году мы увидели, как все больше и больше рынков принимают новые, децентрализованные бизнес-модели, благодаря которым их сложнее уничтожить. Одним из примеров является . Televend – это платформа на базе Telegram с более чем 150 000 пользователей, где продавцы Darknet-рынка могут продавать наркотики через автоматизированные чат-боты, общение которых с покупателями строго зашифровано.
Рис.14.Интерфейс Televend.
Покупателям достаточно зайти в группу Telegram компании Televend, где они найдут каталог продавцов с разбивкой по регионам и предлагаемой продукции. Оттуда они просто размещают заказы в чат-бота выбранного продавца, получают автоматически сгенерированный Bitcoin-адрес, на который отправляют платеж, и ждут, пока им доставят товар по почте.
Рис.15.Darknet-сайт Televend.
Рис.16.Инструкция по платежам и комиссии Televend.
Televend получает комиссионные с каждой продажи, но никогда фактически не прикасается к средствам, поэтому нет центральной структуры, которую правоохранительные органы могли бы отследить с помощью анализа blockchain-транзакций.
Мы ожидаем, что такие платформы, как Televend, будут активно расти и займут большую долю в общем доходе darknet-рынков в 2021 году, поскольку их децентрализованная природа делает их более устойчивыми к атакам как со стороны правоохранительных органов, так и со стороны конкурирующих рынков. Хотя будущие децентрализованные рынки могут работать на платформах, отличных от Telegram, Televend показывает, что платформа для обмена зашифрованными сообщениями может предложить преступникам простые инструменты для осуществления своей нелегальной деятельности.
Магазины для мошенников.
Магазины для мошенников - это особенно распространенный тип теневых торговых площадок, который специализируется на торговле информацией о краденных кредитных картах и другими данными, которые могут быть использованы для мошенничества, включая персональные данные, SOCKS5, учетные записи для различных сервисов и хакерские эксплойты – но тут не продают наркотики. Данные обычно поступают в результате крупномасштабных утечек, подобных тем, что произошли в последние годы в таких компаниях, как Capital One и Home Depot. Ниже мы видим скриншот особенно популярного магазина банковских карт под названием UNICC.
Рис.17.Магазин UNICC.
На этой странице представлены листинги краденных кредитных карт в магазине UNICC. Карты продаются по цене от $2 до $15, в среднем цена - около $10. Точная цена зависит от нескольких факторов, один из них - регион происхождения. Карты из США и Западной Европы обычно стоят дороже. Другое влияние на цену оказывает объем персональных данных, которай поставляется вместе с картой, например, адрес хозяина и номер телефона. Большинство солидных интернет-магазинов запрашивают эту информацию в момент продажи, поэтому ее наличие увеличивает шансы покупателя на успешную покупку – что и делает цену выше.
В апреле 2021 года пакистанский магазин под названием Secondeye Solution и его администратор, Муджтаба Али Раза, попали под санкции правительства США. Раза, сама организация, а также несколько связанных с ней криптовалютных адресов были добавлены в «Список особых физических лиц» OFAC.
Secondeye Solution был уникальным мошенническим магазином в двух отношениях: во-первых, вместо того, чтобы продавать краденую информацию, он специализировался на продаже поддельных удостоверений, которые клиенты могли использовать для создания фальшивой личности, основанной на сочетании реальной и поддельной информации, для регистрации счетов на криптовалютных биржах, платежных системах, в банках и социальных сетях. Документы Secondeye Solution поставлялись только в цифровом формате и предназначались исключительно для того, чтобы обмануть удаленные проверки KYC по фотографии или видео, проводимые многими биржами и финтех-платформами в рамках регистрации. Во-вторых, Secondeye Solution была уникальна тем, что работала в обычном интернете, а не в Darknet, и его веб-сайт был доступен через обычные интернет-браузеры.
Рис.18.Магазин Secondeye Solution.
Используя Chainalysis Reactor для анализа криптовалютных адресов, указанных в определении OFAC и выявленных нами, мы видим, что Secondeye Solution получила более $2,5 млн. за 31 000 транзакций с момента начала активной деятельности в 2013 году. Это составляет примерно $80 за транзакцию, что вполне соответствует ценам, указанным на сайте магазина.
Рис.19.Предложение разнообразных поддельных документов на Secondeye Solution.
Приведенный выше график Reactor показывает входящие транзакции для связанных с Secondeye Solution и его администратором Разой Bitcoin-кошельков, которые расположены в ряд в нижней части изображения. Некоторые из адресов, которые Secondeye Solution использовал для приема платежей, были кошельками без хостинга, в то время как другие были размещены на крупных криптовалютных биржах. В верхней части мы видим, что большинство клиентов Secondeye Solution отправляли криптовалюту со своих кошельков на других крупных биржах. Secondeye Solution имеет один активный Bitcoin-кошелек, размещенный на крупной бирже по состоянию на 14 апреля 2021г. Этот кошелек получил Bitcoin на сумму более $1,3 млн. в рамках более чем 13 000 транзакций. Красные линии на графике показывают прямые транзакции с других бирж на активный кошелек. Кошельки Secondeye Solution также получали значительные средства с теневых рынков, миксеров и нескольких бирж с высоким уровнем риска.
В конечном итоге на Secondeye Solution были наложены санкции, поскольку было обнаружено, что он вел бизнес с ранее попавшей под санкции организацией, агентством интернет-исследований. Это базирующаяся в России «ферма троллей», которая якобы использует манипуляции цифровыми и социальными медиа для формирования общественного мнения от имени российского правительства, и известна тем, что была обвинена во вмешательстве в американские выборы 2016 года. Следователи считают, что Secondeye Solution предоставляла работникам Агенства интернет-исследований поддельные документы, которые они использовали для создания онлайн-аккаунтов под вымышленными именами.
Кражи криптовалюты.
Кражи - одна из самых больших проблем криптовалюты: в 2020 году было украдено более $500 млн., а в целом – суммы исчисляются в миллиардах.
Рис.20.Количество и объемы краж криптовалюты 2018-2020.
Практически все случаи кражи криптовалюты относятся к одной из трех категорий, которые мы рассмотрим ниже.
Атаки на биржи.
Злоумышленники похитили криптовалюту на миллиарды долларов, атаковав биржевые кошельки. Биржи Bitpoint, Binance, DragonEx и некоторые другие стали объектами атак.
Можно подумать, что киберпреступники должны обладать исключительными компьютерными навыками, чтобы проложить себе путь в, казалось бы, непроницаемые криптовалютные кошельки. Но на самом деле социальная инженерия является наиболее часто используемой тактикой. Злоумышленники обычно пытаются обмануть сотрудников бирж, загрузить вредоносное ПО, которое дает им доступ к одному или нескольким счетам. Получив доступ, ловкие злоумышленники будут ждать в течение нескольких месяцев или более, наблюдая за тем, как движется финансы, чтобы украсть как можно большую сумму.
Как это выглядит в реальном мире? В одной особенно дерзкой схеме хакеры создали целую фальшивую компанию, с веб-сайтом, социальными сетями и биографиями руководителей (рис.21).
Рис.21.Фальшивый сайт WCF Proof.
Хакеры утверждали, что разработали автоматизированного торгового бота и отправили сообщения нескольким сотрудников биржи, с просьбой загрузить бесплатную пробную версию. По крайней мере, один из работников сделал это, и , само собой, эта «пробная версия» включала вредоносное ПО, которое помогло хакерам получить приватные ключи от кошельков нескольких пользователей. Хакеры начали выводить средства с этих кошельков вскоре после получения доступа.
Взломы являются серьезной проблемой для бирж. Пока неясно, как будет развиваться эта угроза по мере развития отрасли и усложнения мер операционной безопасности.
Атаки на частных лиц.
Еще более распространенными, чем атаки на биржи, являются атаки на отдельных держателей криптовалют, которые также преимущественно осуществляются с помощью фишинга или социальной инженерии. Однако мы знаем, что цифры статистики почти наверняка ниже истинного общего числа из-за занижения количества сообщений об атаках - многие люди не сообщают властям о краже криптовалюты.
В 2020 году в результате фишинговой атаки Ledger криптовалюта была похищена у нескольких пользователей. Ledger является популярным поставщиком аппаратных криптовалютных кошельков, которые представляют собой физические устройства, где можно хранить криптовалюту, подобно обычным цифровым кошелькам. В июле 2020 года компания опубликовала сообщение о том, что адреса электронной почты многих пользователей были скомпрометированы в результате утечки данных. Несколько месяцев спустя в октябре клиенты Ledger сообщили о получении электронных писем от поддельных версий домена сайта Ledger. В письмах утверждалось, что серверы Ledger были взломаны, и что средства клиентов могут быть украдены, если они не нажмут на ссылку в письме, чтобы загрузить последнюю версию программного обеспечения Ledger. Нажатие на ссылку приводит пользователей на веб-страницу, имитирующую сайт Ledger.
Рис.22.Фишинговое письмо в рамках взлома Ledger.
Однако, это письмо и веб-сайт являются частью сложной фишинговой атаки. Вместо обновления программного обеспечения, пользователи Ledger, которые нажимают на ссылку загрузки на поддельной веб-странице, на самом деле загружают вредоносное ПО, которое опустошает их кошелек Ledger. В результате пользователи Ledger потеряли 1,1 миллиона XRP (примерно $645 000) в течение первой недели фишинговой кампании. В целом, мы отследили похищенную у пользователей Ledger с момента начала фишинговой атаки криптовалюту на сумму более $3,5 млн. Атака на Ledger подчеркивает, насколько важно для держателей криптовалют быть бдительными в отношении фишинговых атак и проверять подлинность электронных писем, которые они получают от криптовалютных компаний, прежде чем выполнять какие-либо инструкции.
Эксплойты DeFi.
По мере роста популярности сервисов DeFi в 2020 году росли и украденные там суммы. Данные статистики свидетельствуют о том, что платформы DeFi оказались уникально уязвимы для кибератак. Несмотря на то, что на долю DeFi приходится всего 6% всей криптовалютной активности, они потеряли около 33% всей похищенной в 2020 году криптовалюты и стали жертвами почти половины всех индивидуальных инцидентов. В целом, киберпреступники украли с платформ DeFi криптовалюты на сумму более $170 млн. Каким образом? Через атаки с манипулированием ценами!
Манипулирование ценами стало ключом почти ко всем заметным атакам на платформы DeFi в 2020 году. Транзакции в DeFi происходят почти мгновенно, при этом существует очень мало механизмов для предотвращения теневых транзакций - поэтому злоумышленники могут получить огромную прибыль, манипулируя ценой криптовалюты на одной или нескольких платформах. DeFi полагаются на инструменты, называемые «ценовыми оракулами», для получения данных о цене актива из внешнего источника - обычно от другой биржи, другого сервиса или поставщика данных - например, CoinMarketCap - чтобы обеспечить соответствие цены на свои активы остальной части рынка. Однако большинство платформ DeFi используют централизованные ценовые оракулы, которые полагаются только на один узел для передачи данных остальным платформам и часто опираются на единственный источника ценовых данных, что делает их уязвимыми для атак.
Манипулирование ценами может показаться маловероятным методом атаки для киберпреступников, поскольку для повышения цены любого криптоактива требуется предварительный капитал для повышения его стоимости, верно? В DeFi это не так, благодаря флэш-кредитам.
Флэш-кредиты позволяют пользователям DeFi мгновенно получать кредиты без предоставления залога, использовать заемные средства для совершения сделок в других местах и погашать кредит одной мгновенной транзакцией. Если они не возвращают кредит, вся транзакция мгновенно сворачивается, то есть кредитор получает первоначальный капитал обратно, как будто займа никогда и не было – такое возможно только с использованием смарт-контрактов. По сути, это означает практически полное отсутствие риска для обеих сторон: если сделка, которую заемщик хочет совершить на заемные средства, не сработает - ни он, ни кредитор ничего не теряют. Это также означает, что кредиторы могут устанавливать очень низкие проценты по флэш-кредитам. Трейдеры часто используют флэш-кредиты для получения средств, необходимых для использования арбитражных возможностей. Заемные средства применяются чтобы воспользоваться ценовыми различиями на разных платформах и получить небольшую прибыль после возврата кредита.
Однако в 2020 году киберпреступники применили флэш-кредиты в качестве оружия, используя заемные средства для покупки криптоактива, взвинчивания его цены и последующей продажи с большой прибылью, что позволяло им легко погасить первоначальный кредит и прикарманить оставшиеся средства. Мы видели пример этого в двух февральских взломах bZx, протокола DeFi, который позволяет пользователям создавать приложения для децентрализованного кредитования, маржинальной торговли и других финансовых операций. В первом взломе киберпреступники получили с bZx крупную сумму Etherium в виде срочного займа и использовали его для покупки и повышения цены на Bitcoin на Uniswap - в какой-то момент цена на биткоин на Uniswap достигла 109,8 ETH по сравнению с 38 на рынке в целом. Затем злоумышленники обменяли свои Bitcoin на Etherium, часть из которых была использована для погашения первоначального флэш-кредита. В общей сложности злоумышленники получили $350 000 в Etherium. Вторая атака – аналог первой - принесла $633 000. Личности хакеров неизвестны и неясно, проводили ли обе эти атаки одни и те же лица.
Криминальные субъекты/организации.
Криминальные организации - это группы, осуществляющие операции с криптовалютой, чья деятельность не обязательно опускается до уровня явно преступной, но, тем не менее, считается рискованной из-за близости к незаконной деятельности или репутационных рисков.
Одним из примеров являются сайты, косвенно связанные с секс-бизнесом, такие как RubRatings. RubRatings позволяет массажистам размещать объявления с предложениями для клиентов, а в качестве способа оплаты используется Bitcoin. Хотя массаж, очевидно, является законным, язык сайта RubRatings подразумевает доступность сексуальных услуг. Также этот сервис был упомянут как посредник в торговле людьми, поэтому мы бы отнесли его к категории криминальных организаций.
Другой пример - организации и общественные деятели в США, связанные с «домашним экстремизмом» и расовой ненавистью. Многие из этих организаций принимают криптовалютные пожертвования, и мы ожидаем, что их станет еще больше, поскольку они продолжают быть деплатформенными по отношению к традиционным платежным платформ и социальных сетей. В качестве примера можно привести такие издания, как Daily Stormer и такие общественные деятели, как Ник Фуэнтес. Экстремистская риторика сама по себе, как правило, не является незаконной в большинстве юрисдикций, но многие из этих групп связаны с инцидентами с применением насилия, такими как митинг «Объединяйтесь, правые» в Шарлотсвилле, штат Вирджиния, в 2017 году или беспорядки в Капитолии США в 2021 году. В последнем случае выяснилось, что несколько правых деятелей, в том числе некоторые связанные с митингом, непосредственно предшествовавшим беспорядкам, получили крупные пожертвования в Bitcoin за месяц до событий.
Шифровальщики.
Атаки шифровальщиков (или программ-вымогателей) - это кибератаки, при которых хакеры внедряют вредоносное программное обеспечение на компьютер пользователя, которое шифрует все файлы на нем. Затем хакеры требуют от пользователя заплатить выкуп за восстановление доступа к файлам, обычно в криптовалюте.
Число атак шифровальщиков резко возросло в 2020 году с началом пандемии COVID-19.
Рис.23.Объемы переводов криптовалют на кошельки, связанные с шифровальщиками 2016-2020.
Анализ blockchain показывает, что общая сумма, выплаченная жертвами шифровальщиков, увеличилась на 336% за год и достигла почти $370 млн. в криптовалюте. Ни одна другая категория криптовалютных преступлений не имела более высоких темпов роста. Следует помнить, что эта цифра является нижней границей истинной общей суммы, так как данные по числу атак занижены и это означает, что мы, скорее всего, не смогли собрать все платежные адреса жертв в наших данных.
Виды атакованных компаний сильно варьировались в течение многих лет и включали школы, больницы и даже местные муниципалитеты.
Рис.24.Атаки шифровальщиков на различные учреждения.
Известные кампании шифровальщиков:
• Doppelpaymer;
• Ryuk;
• Sodinokibi;
• Netwalker;
• WannaCry;
• Petya\NotPetya;
• SamSam.
Хакеры из Ирана, стоящие за SamSam, стали первыми, чьи Bitcoin кошельки попали в санкционный список Управления по контролю за иностранными активами США (OFAC) после того, как данная хакерская группа предположительно вымогала более $6 млн. с жертв атаки шифровальщика и нанесла ущерба на $30 млн.
Кто стоит за большинством атак шифровальщиков? По данным исследователей безопасности большинство злоумышленников принадлежать одному из двух типов.
Одни являются частью организованных преступных группировок. Эти атакующие чаще всего запускают веерные атаки в надежде на заражение большого количества организаций и получение небольших выкупов. Большинство таких преступников требуют выкуп не более 1 BTC, но эта сумма может существенно измениться в зависимости от предполагаемой платежеспособности жертвы.
Вторые – члены хакерских группировок, предположительно спонсируемых различными правительствами. Например – исследователи из компаний Recorded Future и Crowstrike сообщили, что северокорейская хакерская группировка Lazarus Group стоит за знаменитой атакой WannaCry в 2017 году. Атака WannaCry отличилась гигантскими масштабами, было заражено более 200 000 компьютеров в 150 странах. Ущерб составил более $4 млрд. Пострадали в том числе и организации с мировым именем, например FedEx, а также государственные учреждения по всему миру, включая британскую Национальную службу здравоохранения. В некоторых случаях подобных атак предположительно целью было даже не получение выкупа, а создание хаоса в инфраструктуре.
Как группы шифровальщиков решают кого стоит атаковать? Жертвы обычно делятся на 4 категории.
Рис.25.Категории жертв атак шифровальщиков.
Высоко-маржинальные бизнес-цели относятся к малому и среднему бизнесу. По данным Beazley Breach Response Services, 70% жертв шифровальщиков были представителями малого бизнеса в 2018 году, причем предпочтение отдавалось компаниям, предоставляющим финансовые услуги. Это неудивительно, поскольку эти организации, как правило, имеют менее надежную систему безопасности, чем крупные компании, и зачастую готовы заплатить и возобновить работу в обычном режиме.
Организации с конфиденциальными данными. Организации, имеющие дело с потенциальной потерей конфиденциальных данных, имеют огромный стимул быстро заплатить, если их поразит шифровальщик. Хорошим примером являются больницы. Каждая секунда отсутствия доступа к медицинским данным пациентов подвергает их риску. Другие компании, часто становящиеся мишенью для атак в этой категории - программы защиты полиции и новостные организации.
Организации с низким уровнем безопасности. Эти компании являются для хакеров «низко висящим плодом». Например, многие образовательные учреждения имеют ограниченные бюджеты на технологии, что делает их уязвимыми для кибератак. Отделы кадров оказались слабым местом во многих компаниях, поскольку хакеры взломали их системы путем отправки поддельных заявления о приеме на работу с прикрепленным вредоносным ПО.
Организации с конфиденциальной правительственной информацией. Спонсируемые государством атакующие целенаправленно атакуют государственные организации - такие как правительственные учреждения, оборонных подрядчиков или политические кампании.
Рис.26.Схема атаки шифровальщика.
Когда компания подвергаются атаке шифровальщика, эксперты по кибербезопасности рекомендуют немедленно связаться с правоохранительными органами и сообщить им адрес кошелька для оплаты выкупа. Затем следователи могут использовать программное обеспечение для анализа blockchain, например Chainalysis, чтобы изучить поток средств, поступающих на этот адрес и обратно, определить сервисы, которые операторы шифровальщика используют для конвертации средств и обналичивания денег, и, возможно, связать адрес с реальной личностью.
Финансирование терроризма.
Террористические организации все чаще используют криптовалюты для сбора пожертвований через публичные мероприятия по сбору средств и разговоры один на один в частных, зашифрованных чатах. Террористические группировки часто прямо указывают, на что будут использованы эти пожертвования. Посмотрите на приведенный ниже плакат, выпущенный боевой группой «Jaysh Al-Ummah» в Газе. Он рассказывает потенциальным донорам, какое именно оружие будет приобретено на пожертвования на рекламируемый Bitcoin адрес (сам адрес скрыт).
Рис.27.Плакат кампании по сбору средств Jaysh Al-Ummah.
Другие призывы немного более тонкие и двусмысленные, давая аудитории понять лишь кому именно они делают пожертвования. Некоторые связанные с террористами организации могут представляться как региональные благотворительные организации, собирающие деньги на медицинские товары или на помощь жителям разрушенных войной районов. На изображении ниже показаны сообщения от благотворительной группы утверждающей, что она не связана ни с какими боевыми группами, но позже просящей пожертвования на разведывательные беспилотники для использования боевиками моджахедов.
Рис.28.Кампания по сбору средств на «благотворительность».
Хотя сегодня суммы жертвуемой террористам криптовалюты, как правило, невелики, способность этих групп относительно беспрепятственно получать пожертвования от любого человека представляет собой тревожную тенденцию. Не говоря уже о том, что затраты на осуществление террористической атаки очень низки. По словам заместителя министра финансов США по вопросам терроризма и финансовой разведки Сигала Манделкера, средний денежный перевод с подозреваемого в связях с терроризмом кошелька составляет всего $600, что более чем достаточно для оплаты самодельной бомбы-смертника или аналогичного оружия. Эта активность может вырасти по мере того, как повышающие анонимность технологии, такие как миксеры и им подобные, продолжают совершенствоваться.
Санкции.
Санкции издаются правительствами для обозначения лиц и организаций, с которыми гражданам запрещено вести дела. Санкции обычно распространяются не только на сами запрещенные организации, но и любые инструменты, находящиеся в собственности или под контролем этих организаций, включая операционные компании, банковские счета, а в последнее время и криптовалютные кошельки. Список тех, на кого, например, США наложили санкции, можно найти на сайте OFAC.
Как уже упоминалось в разделе о шифровальщиках, два хакера из Ирана, создавшие SamSam, стали первыми, чьи криптовалютные адреса были добавлены к их записям в санкционном списке OFAC в 2018 году. Но к ним присоединились и другие. В августе 2019 года OFAC обвинила двух граждан Китая в производстве фентанила и ввозе его в США для продажи, а также включила в санкционный список криптовалютные адреса, которые использовались для приема платежей.
С тех пор и другие киберпреступные группы, связанные со штаммами программ-шифровальщиков, такие как Evil Corp, также попали в санкционные списки. В августе 2020 года OFAC предупредила, что жертвы вымогателей, которые осуществляют платежи в пользу попавших под санкции киберпреступных групп, а также те, кто содействует этим платежам, могут сами оказаться подвержены риску санкций. Пункт о содействии очень важен, поскольку существует развитая индустрия консультантов, которые помогают жертвам шифровальщиков вести переговоры и платить выкупные платежи злоумышленникам. Blockchain-анализ платежей выкупа в адрес групп под санкциями показывает, что до 15% всех платежей в 2020 году несут в себе санкционные риски.
Рис.29.Доля платежей выкупа при атаках шифровальщиков с санкционными рисками 2016-2020.
В целом, любой контакт с криптовалютными адресами, находящимися под санкциями, может вызвать серьезное внимание со стороны правоохранительных органов к криптовалютным компаниям и любым финансовым учреждениям, работающим с этими криптовалютными компаниями, включая потенциальные обязательства блокировать активы от продолжения транзита или возвращения назначенным отправителям, или иным образом получения выгоды указанными субъектами, например, списания долгов. Воздействие может также вызвать требования о предоставлении отчетов о подозрительной деятельности/транзакциях. Chainalysis обновляет данные OFAC по адресам под санкциями в течение 15 минут, что позволяет пользователям нашего продукта быстро реагировать на обновления санкционных списков.
Сайты с детской порнографией.
Небольшое, непрозрачное подмножество веб-сайтов Darknet специализируется на продаже материалов содержащих контент, связанный с сексуальным насилием в отношении несовершеннолетних (CSAM), часто используя криптовалюту для осуществления сделок. Большинство основных Darknet-рынков запрещают такие материалы, поэтому возникает необходимость в специализированных торговых площадках.
Рынки, ориентированные на CSAM, как правило, не работают долго из-за активного противодействия правоохранительных органов и попыток тех, кто управляет сайтами, избежать обнаружения. Некоторые сайты CSAM функционируют аналогично теневым торговым площадкам, поскольку они объединяют покупателей и продавцов на централизованном рынке. Другие выступают в качестве единственного продавца, а некоторые требуют, чтобы пользователи загружали свой собственный CSAM-контент, чтобы получить доступ к материалам сайта. Зачастую пользователи покупают CSAM на одном сайте, а затем продают его на другом.
В 2018 году Chainalysis сотрудничала с отделом уголовных расследований Налогового управления, департаментом Национальной безопасности и другими правоохранительными органами по всему миру, чтобы уничтожить Welcome to Video, крупнейший из известных на сегодняшний день веб-сайт CSAM по объему доступных материалов.
Рис.30.Сообщение DOJ о закрытии Welcome to Video.
Широкой общественности мало что известно о том, как работают эти сайты, поэтому Welcome to Video представляет собой полезный пример. Сайт работал из Южной Кореи и позволял пользователям либо покупать CSAM за биткоин, либо загружать собственный контент в обмен на баллы, которые можно было использовать для скачивания контента. Пользователи получали свой уникальный Bitcoin-адрес при регистрации на сайте, который они затем использовали для отправки средств в обмен на контент. У Welcome to Video было 1,3 миллионов Bitcoin-адресов на момент закрытия, что указывает на то, что сайт мог поддерживать крупную пользовательскую базу. В период с 2015 по 2018 год сайт получил переводов на сумму более $353 000.
Рис.31.Диаграмма переводов Welcome to Video.
Следователи использовали Chainalysis Reactor для отслеживания входящих и исходящих потоков криптовалюты на кошельках оператора Welcome to Video, как показано на графике выше. Этот анализ позволил следователям определить биржи, которые использовали пользователи и оператор сайта. Затем представители этих бирж были допрошены чтобы обнаружить больше зацепок.
После закрытия сайта и ареста его владельца следователи в координации с другими агентствами по всему миру арестовали более 330 пользователей Welcome to Video и освободили по меньшей мере 23 ребенка от насильников. Вы можете прочитать более подробное описание этого дела в нашем блоге.
О Chainalysis.
Chainalysis - это компания, занимающаяся анализом blockchain. Мы предоставляем данные, программное обеспечение, услуги и проведение исследований для государственных учреждений, бирж, финансовых институтов, страховых компаний и компаний, занимающихся вопросами кибербезопасности в более чем 50 странах. Наша платформа позволяет проводить расследования, управлять рисками и обеспечивать соответствие требованиям регуляторов. Она использовалась для расследования некоторых наиболее резонансных кибер-преступлений и внесла огромный в клад в обеспечение безопасности использования криптовалют. При поддержке Accel, Addition, Benchmark, Ribbit и других ведущих компаний венчурного капитала, Chainalysis укрепляет доверие к blockchain и способствует развитию финансовой свободы и безопасности.
Источник: https://go.chainalysis.com
