Chainalysis - Криптопреступность 2022. Часть 1.

14 марта 2022 г. 13:09
 6057

Подробный аналитический отчет о криптовалютной преступности.

Введение.

Тренды 2022 года: число криминальных транзакций достигло рекордного объема за всю историю и рекордного минимума по доле от общей криптовалютной активности.

В 2021 году криптовалютная преступность достигла нового исторического максимума: в течение года криминальные кошельки получат $14 млрд. по сравнению с $7,8 млрд. в 2020 году.

 

Рис.1.Объем криптовалюты, полученной криминальными кошельками 2017-2021.

 

Примечание: «Киберкриминальный администратор» относится к кошелькам, которые были приписаны лицам, связанным с управлением киберкриминальной организацией, например, с торговой площадкой в Darknet .

Но эти цифры не раскрывают всей картины. Использование криптовалют растет быстрее, чем когда-либо прежде. По всем криптовалютам, отслеживаемым Chainalysis, общий объем транзакций в 2021 году вырастет до $15,8 трлн., что на 567% больше, чем в 2020 году. Учитывая такой стремительный рост, неудивительно, что все больше киберпреступников используют криптовалюты. Тот факт, что рост объема  криминальных транзакций составил всего 79% - почти на порядок меньше, чем общий рост рынка - может стать самым большим сюрпризом. На самом деле, поскольку рост легального использования криптовалют значительно опережает рост криминального использования, доля незаконной активности в общем объеме криптовалютных транзакций еще никогда не была такой низкой.

 

Рис.2.Доля криминальной активности в объеме всех криптовалютных транзакций 2017-2021.

 

Транзакции с использованием криминальных счетов составили всего 0,15% от объема криптовалютных транзакций в 2021 году, несмотря на то, что «чистый» объем криминальных транзакций достиг самого высокого уровня за всю историю. Как всегда, мы должны оговориться, что эта цифра, скорее всего, будет расти по мере того, как Chainalysis будет выявлять все больше криптосчетов, связанных с криминальной деятельностью, и включать их транзакционную активность в нашу статистику. Например, в нашем прошлогоднем отчете по криптопреступности мы обнаружили, что 0,34% объема криптовалютных транзакций за 2020 год было связано с незаконной деятельностью - сейчас этот показатель вырос до 0,62%. Тем не менее, ежегодные тенденции показывают, что за исключением 2019 года - экстремального года для криптовалютной преступности, в основном из-за схемы Понци «PlusToken» - преступность становится все меньшей частью криптовалютной экосистемы. Возможности правоохранительных органов по борьбе с криптовалютными преступлениями также развиваются. В 2021 году мы видели несколько примеров этого: от предъявления CFTC обвинений нескольким инвестиционным мошенникам до уничтожения ФБР распространенного штамма шифровальщика REvil и введения OFAC санкций в отношении Suex и Chatex - двух российских криптовалютных сервисов, серьезно замешанных в отмывании средств.

Однако мы также должны сбалансировать положительные моменты роста легального использования криптовалют с пониманием того, что криминальная деятельность на сумму 14 миллиардов долларов представляет собой серьезную проблему. Злоупотребление криптовалютами создает огромные препятствия для дальнейшего их развития, повышает вероятность введения ограничений со стороны правительств, и, что самое страшное, жертвами становятся невинные люди по всему миру. В этом отчете мы объясним, как и где именно выросла криптовалютная преступность, рассмотрим последние тенденции среди различных типов киберпреступников и расскажем, как криптовалютные компании и правоохранительные органы по всему миру реагируют на это. Но сначала давайте рассмотрим несколько основных тенденций в сфере криптовалютного криминала.

Рост DeFi-платформ предоставляет преступникам новые возможности.

Что изменилось за последний год? Для начала давайте посмотрим, какие виды преступлений больше всего выросли в 2021 году по объему транзакций.

 

Рис.3.Годовое процентное изменение полученных объемов криптовалют по видам преступлений 2018-2021.

 

Две категории выделяются своим ростом: кражи и, в меньшей степени, мошенничество. В обеих категориях большую роль играют DeFi-платформы.

Начнем с мошенничества. В 2021 году доходы от мошенничества выросли на 82% и составили $7,8 млрд. в различных криптовалютах. Более $2,8 млрд. из этой суммы - что почти равно росту по сравнению с 2020 годом - поступило от «ковровых афер» («Rug Pull»), относительно нового вида мошенничества, в котором разработчики создают видимость легальных криптовалютных проектов - то есть они делают нечто большее, чем просто создают кошельки для приема криптовалюты, скажем, для мошеннических инвестиционных операций - а затем забирают деньги инвесторов и исчезают. Следует также помнить, что приведенные цифры потерь от ковровых афер отражают только объем похищенных средств инвесторов, а не потери от последующей потери стоимости DeFi-токенов.

Следует отметить, что примерно 90% от общей суммы, потерянной в результате ковровых афер в 2021 году, можно отнести на счет одной мошеннической централизованной биржи Thodex, генеральный директор которой исчез вскоре после того, как биржа приостановила возможность пользователей выводить средства. Однако все остальные мошеннические действия, отслеженные Chainalysis в 2021 году, были связаны с проектами DeFi. Почти во всех этих случаях разработчики обманом заставляли инвесторов покупать токены, связанные с проектом DeFi, а затем выводили предоставленные инвесторами средства, в результате чего стоимость токена падала до нуля.

Мы считаем, что мошенничества в DeFi распространены по двум причинам: Первая - ажиотаж вокруг этого пространства. Объем транзакций DeFi вырос на 912% в 2021 году, а невероятная доходность децентрализованных токенов - таких как Shiba Inu - вызывает у многих желание спекулировать токенами. В то же время тем, кто обладает необходимыми техническими навыками, очень легко создать новые токены DeFi и зарегистрировать их на биржах, даже без аудита кода. Аудит кода - это процесс, в ходе которого сторонняя компания или биржа анализирует код смарт-контракта, лежащего в основе нового токена или другого проекта DeFi, и публично подтверждает, что правила управления контрактом железные и не содержат механизмов, которые позволили бы разработчикам нажиться на средствах инвесторов. Многие инвесторы, вероятно, могли бы избежать потери средств если бы они придерживались проектов DeFi, прошедших аудит кода - или если бы платформы требовали аудита кода перед листингом токенов.

Кражи криптовалют выросли еще больше: в 2021 году было украдено криптовалют на сумму около $3,2 млрд., что на 516% больше, чем в 2020 году. Примерно $2,2 млрд. из этих средств - 72% от общего объема 2021 года - были украдены с помощью платформ DeFi. Рост числа краж, связанных с DeFi-платформами, представляет собой ускорение тенденции, которую мы выявили в прошлогоднем отчете по криптопреступности.

 

Рис.4.Ежегодный общий объем похищенной криптовалюты по типам жертв янв '19 - дек '21.

 

В 2020 году с платформ DeFi было похищено криптовалют на сумму чуть менее 162 миллионов долларов, что составило 31% от общей суммы краж за год и на 335% больше, чем в 2019 году. В 2021 году эта цифра выросла еще на 1 330%. Другими словами - по мере того, как платформы DeFi продолжают расширяться, растет и проблема краж. Как мы подробнее рассмотрим далее в отчете, большинство случаев кражи средств из платформ DeFi можно отследить по ошибкам в коде смарт-контрактов, управляющих этими платформами, которые хакеры используют подобно уязвимостям, позволяющим совершать ковровые аферы.

Мы также наблюдаем значительный рост использования DeFi для отмывания криминальных средств - практика, разрозненные примеры которой мы видели в 2020 году и которая стала более распространенной в 2021. На графике ниже показан рост криминальных средств, полученных различными типами сервисов в 2021 году по сравнению с 2020 годом.

 

Рис.5.Годовой процентный рост стоимости, полученной сервисом от криминальных счетов 2020-2021 гг.

 

DeFi-платформы показали наибольший рост использования для отмывания средств - 1 964%.

DeFi - одна из самых интересных областей широкой криптовалютной экосистемы, открывающая огромные возможности как для предпринимателей, так и для пользователей криптовалют. Однако DeFi вряд ли сможет полностью реализовать свой потенциал, если децентрализация, которая делает ее такой динамичной, также позволит широко распространиться мошенничеству и воровству. Одним из способов борьбы с этим является улучшение коммуникаций - как частный, так и государственный сектор должны сыграть важную роль в том, чтобы помочь инвесторам узнать, как избежать сомнительных проектов. В долгосрочной перспективе отрасли, возможно, придется принять более решительные меры, чтобы не допустить размещения на крупных биржах токенов, связанных с потенциально мошенническими или небезопасными проектами.

Объемы криминальных криптовалют растут. Что могут сделать правоохранительные органы?

Одним из перспективных направлений в борьбе с криптовалютной преступностью является растущая способность правоохранительных органов изымать незаконно полученную криптовалюту. Например, в ноябре 2021 года отдел уголовных расследований IRS объявил, что в 2021 году изъял криптовалют на сумму более $3,5 млрд. - все в рамках неналоговых расследований - что составляет 93% от всех средств, изъятых отделом за этот период времени. Мы также видели несколько примеров успешного изъятия средств другими ведомствами, включая $56 млн., изъятых Министерством юстиции США в ходе расследования криптовалютного мошенничества, $2,3 млн., изъятых у группы разработчиков шифровальщиков, стоявшей за атакой Colonial Pipeline, и нераскрытую сумму, изъятую Национальным бюро по борьбе с финансированием терроризма Израиля в ходе дела, связанного с финансированием терроризма.

В связи с этим возникает интересный вопрос: Сколько криптовалюты в настоящее время находится у преступников? Невозможно знать наверняка, но мы можем оценить это на основе текущих балансов криптосчетов, которые Chainalysis определяет как связанные с криминальной деятельностью. По данным на начало 2022 года, на криминальных кошельках хранятся криптовалюты на сумму не менее 10 миллиардов долларов, причем подавляющее большинство этой суммы находится на кошельках, связанных с кражей криптовалют. Кошельки, связанные с Darknet-рынками и мошенничеством, также вносят значительный вклад в эту сумму. Как мы рассмотрим далее в этом отчете, большая часть этой криптовалюты получена не непосредственно в результате преступной деятельности, а от последующего роста цен на хранящиеся криптоактивы.

Мы считаем, что правоохранительным органам важно понимать эти оценки, поскольку они развивают свои следственные возможности в блокчейне, и особенно по мере развития своих возможностей по изъятию незаконной криптовалюты.

Сделаем криптовалюты безопаснее!

Преступления, связанные с DeFi, и криминальные запасы криптовалют - это лишь одни из областей, которым посвящен наш отчет. Мы также рассмотрим последние данные и тенденции в отношении других форм преступлений, связанных с криптовалютой, в том числе:

 

  • Постоянное развитие угроз шифровальщиков.
  • Отмывание средств с помощью криптовалют.
  • Роль национальных государственных субъектов в криптовалютной преступности.
  • Криминальная деятельность в NFT.

И многое другое!

 

Поскольку криптовалюты продолжают расти, крайне важно, чтобы государственный и частный секторы работали вместе, чтобы пользователи могли безопасно совершать сделки, а преступники не могли злоупотреблять этими новыми активами. Мы надеемся, что данный отчет будет способствовать достижению этой цели и предоставит правоохранительным органам, регуляторам и специалистам по соблюдению нормативно-правового соответствия знания для более эффективного предотвращения, смягчения последствий и расследования преступлений на основе криптовалют.

 

Отмывание криминальных средств.

Платформы DeFi играют все более серьезную роль в отмывании средств, но небольшая группа централизованных сервисов все езе доминирует.

Киберпреступники, работающие с криптовалютой, преследуют одну общую цель: перевести свои незаконно нажитые средства в сервис, где они будут надежно защищены от властей и в конечном итоге конвертированы в наличные. Именно поэтому отмывание средств - фундамент всех других форм криптовалютных преступлений. Если нет возможности получить доступ к средствам, то нет и стимула совершать преступления с использованием криптовалют.

Деятельность по отмыванию в криптовалютах также сильно сконцентрирована. Хотя ежегодно с криминальных счетов перемещаются миллиарды долларов, большая часть оказывается в удивительно небольшой группе сервисов, многие из которых, судя по истории транзакций, специально созданы для отмывания средств. Правоохранительные органы могут нанести серьезнейший удар по криптовалютной преступности и существенно ограничить возможности преступников по доступу к своим цифровым активам, прервав работу этих сервисов. Мы наблюдали пример в прошлом году, когда Управление по контролю за иностранными активами Министерства финансов США (OFAC) наложило санкции на два самых опасных сервиса по отмыванию средств - Suex и Chatex - за прием средств от операторов шифровальщиков, мошенников и других киберпреступников. Однако, как мы рассмотрим ниже, многие другие сервисы по отмыванию остаются активными.

2021 криптовалютная деятельность по отмыванию средств в кратком изложении.

В целом, если судить по количеству криптовалюты, отправленной с криминальных счетов на различные сервисы, в 2021 году киберпреступники отмыли криптовалют на сумму $8,6 млрд.

 

Рис.6.Общий объем отмытых криптовалют по годам 2017-2021.

 

Это рост на 30% по сравнению с 2020 годом, что неудивительно, учитывая значительную активизацию как законной, так и незаконной криптовалютной деятельности в 2021 году. Следует также отметить, что эти цифры учитывают только средства, полученные от «криптовалютно-нативных» преступлений, то есть киберпреступной деятельности, такой как торговля на Darknet-рынках или атаки с использованием шифровальщиколв, в которых прибыль практически всегда получается в криптовалюте, а не в фиатной (наличной) валюте. Сложнее измерить, сколько фиатной валюты, полученной от офлайн-преступлений - например, традиционного наркотрафика - конвертируется в криптовалюту для отмывания. Тем не менее, мы знаем, что это происходит, и далее в этом разделе приводим пример из практики.

В целом, с 2017 года киберпреступники отмыли криптовалюты на сумму более 33 миллиардов долларов, при этом большая часть общего объема со временем переместилась на централизованные биржи. Для сравнения, по оценкам Управления ООН по наркотикам и преступности, ежегодно отмывается от $800 млрд. до $2 трлн. фиатной валюты - это около 5% мирового ВВП. Для сравнения, в 2021 году на отмывание пришлось всего 0,05% от всего объема криптовалютных транзакций. Мы приводим эти цифры не для тогочтобы преуменьшить проблемы криптовалют, связанные с преступностью, а скорее для того, чтобы указать на то, что отмывание средств - это чума практически для всех форм экономической деятельности, а также для того, чтобы помочь специалистам правоохранительных органов и комплаенс-служб осознать, какой объем деятельности по отмыванию средств теоретически может переместиться в криптовалюты по мере распространения этой технологии.

Самая большая разница между отмыванием фиатных и криптовалютных средств заключается в том, что благодаря присущей блокчейн прозрачности мы можем легче отследить, как преступники перемещают криптовалюты между кошельками и сервисами, пытаясь превратить свои средства в наличные. На какие криптовалютные сервисы опираются преступники?

 

Рис.7.Назначение средств, уходящих с криминальных криптосчетов 2016-2021.

 

Впервые с 2018 года централизованные биржи не получили большую часть средств, отправленных с криптосчетов преступников в прошлом году, приняв лишь 47%. Куда киберпреступники отправляли средства вместо этого? Большую часть разницы составили платформы DeFi. DeFi получили 17% всех средств, отправленных с криминальных счетов в 2021 году, по сравнению с 2% в предыдущем году.

 

Рис.8.Годовой процентный рост объема криптовалюты, полученной с криминальных счетов, по категориям сервисов 2020-2021.

 

Это означает рост общих сумм, полученных платформами DeFi с криминальных счетов, на 1 964% по сравнению с предыдущим годом, и в 2021 году они достигует $900 млн. Майнинговые пулы, высокорисковые биржи и микшеры также продемонстрировали значительный рост криминальных поступлений.

Мы также видим закономерности в том, какие виды сервисов используют различные типы киберпреступников для отмывания криптовалют.

 

Рис.9.Назначение средств, уходящих с криминальных счетов, по видам преступлений 2021.

 

Бросается в глаза разница в стратегиях отмывания средств между двумя наиболее прибыльными видами преступлений в 2021 году: кражами и мошенничеством. Счета, связанные с кражей, отправили чуть меньше половины украденных средств на платформы DeFi - всего криптовалюты на сумму более 750 миллионов долларов. Связанные с Северной Кореей хакеры, ответственные за взломы криптовалютных активов на сумму 400 миллионов долларов в прошлом году, довольно часто использовали платформы DeFi для отмывания средств. Это может быть связано с тем, что в прошлом году с DeFi было украдено больше криптовалюты, чем с любого другого типа сервисов. Мы также видим значительное использование микшеров для отмывания краденных средств.

С другой стороны, мошенники отправляют большую часть своих средств на централизованные биржи. Это может отражать относительную неискушенность мошенников. Для взлома криптовалютных платформ с целью кражи средств требуется больше технических знаний, чем для осуществления большинства наблюдаемых нами афер, поэтому логично, что продвинутые киберпреступники будут использовать более совершенную стратегию отмывания.

Необходимо также подчеркнуть, что мы не можем отследить всю деятельность по отмыванию средств, измеряя суммы транзакций, отправленных с известных преступных счетов. Как было сказано выше, некоторые преступники используют криптовалюту для отмывания средств, полученных в результате преступлений, совершенных вне сети, и существует множество активных криминальных счетов, которые еще предстоит идентифицировать. Однако мы можем объяснить некоторые из более скрытых случаев отмывания путем поиска моделей транзакций, позволяющих предположить, что пользователи пытались избежать выявления правилами мониторинга. Например, в связи с такими нормативными актами, как «Travel Rule», криптовалютные компании во многих странах должны проводить дополнительные проверки на соответствие требованиям, предоставлять отчетность и обмениваться информацией о транзакциях стоимостью свыше 1000 долларов США. Как и следовало ожидать, криминальные криптокошельки отправляют непропорционально большое количество переводов на биржи, находящиеся чуть ниже этого порога.

 

 

Рис.10.Количество переводов с криминальных счетов на биржи в зависимости от размера перевода 2021.

 

Биржи, использующие Chainalysis, смогут увидеть, что средства поступают с криминальных счетов, независимо от размера перевода. Но в более общем плане командам по соблюдению нормативно-правового соответствия следует рассмотреть возможность более тщательного подхода к пользователям, которые постоянно отправляют или получают транзакции такого размера. Повторяющиеся транзакции чуть ниже порога могут указывать на то, что пользователи занимаются так называемым «структурированием», то есть намеренно разбивают крупные платежи на более мелкие, не превышающие порог мониторинга, чтобы обмануть комплаенс-команды.

Деятельность по отмыванию средств все еще остается высококонцентрированной, но в меньшей степени, чем в 2020.

Как мы уже сообщали ранее, деятельность по отмыванию криминальных средств в значительной степени сосредоточена всего в нескольких сервисах. Ниже мы можем увидеть, как эта концентрация менялась с течением времени.

 

Рис.11.Доля криминальной криптовалюты, поступающей в пять крупнейших сервисов, и общее количество уникальных сервисов, получающих криминальную криптовалюту 2011-2021.

 

При меньшем количестве сервисов, используемых в 2021 году, концентрация отмывания средств первоначально, по-видимому, немного увеличилась. 58% всех средств, отправленных с криминальных счетов, в прошлом году перешли на пять сервисов, по сравнению с 54% в 2020 году.

Однако деятельность по отмыванию лучше рассматривать на уровне счетов, а не на уровне сервисов. Причина этого заключается в том, что многие сервисы по отмыванию, используемые киберпреступниками, являются «вложенными» сервисами - то есть используют счета, размещенные на более крупных сервисах - чтобы использовать ликвидность и торговые пары этих крупных сервисов. Внебиржевые брокеры, например, часто функционируют как вложенные сервисы, счета которых размещаются на крупных биржах. На графике ниже мы рассматриваем все счета депозитов, которые получили какие-либо криминальные средства в 2021 году, в разбивке по диапазону полученных криминальных средств.

 

Рис.12.Объемы криминальной криптовалюты, полученные счетами депозитов. Депозитные счета разбиты по общему объему поступлений 2021.

 

Как читать этот график: На этом графике показаны счета сервисных депозитов, разбитые по количеству криминальной криптовалюты, полученной каждым счетом по отдельности в 2021 году. Каждая синяя полоса представляет собой количество депозитных счетов в группе, а каждая оранжевая полоса - общую стоимость криминальной криптовалюты, полученной всеми депозитными счетами в группе. На примере первой группы мы видим, что 3 092 024 депозитных счета получили от $0 до $100 криминальной криптовалюты, а все вместе эти депозитные счета получили в общей сложности $27,4 млн.

Группа из всего 583 депозитных счетов получила 54% всех средств, отправленных с криминальных счетов в 2021 году. Каждый из этих 583 счетов получил от криминальных счетов не менее $1 млн, а всего они получили криптовалюты на сумму чуть менее $2,5 млрд. Еще меньшая группа из 45 счетов получила 24% всех средств, отправленных с криминальных счетов, на общую сумму чуть менее $1,1 млрд. Один депозитный счет получил чуть более 200 миллионов долларов, и все это с криптосчетов, связанных с аферой Finiko.

Хотя деятельность по отмыванию остается достаточно концентрированной, она менее активна, чем в 2020 году. В том году 55% всей криптовалюты, отправленной с криминальных счетов, поступило всего на 270 счетов сервисных депозитов. Одной из возможных причин снижения концентрации деятельности по отмыванию могут быть действия правоохранительных органов. Как мы уже упоминали выше, в прошлом году OFAC наложило санкции на Suex, российского внебиржевого брокера, который получил криптовалюты на десятки миллионов долларов со счетов, связанных с программами-шифровальщиками, мошенничеством и другими формами киберпреступной деятельности. Вскоре после этого OFAC также ввела санкции против Chatex, P2P-биржи, основанной тем же человеком, что и Suex, с аналогичным профилем клиентов. Хотя в то время мы не могли сообщить их имена, счета, связанные с обоими сервисами, появились в списке 270 счетов, которые мы определили как крупнейших отмывателей в прошлогоднем отчете.

Возможно, что некоторые сервисы отмывания прекратили свою деятельность после того, как увидели эти и другие действия, предпринятые против криминальных платформ, что заставило киберпреступников перераспределить свою активность по отмыванию средств в пользу других операторов. Возможно также, что сервисы отмывания продолжали работать, но распределяли свою деятельность по большему количеству депозитов, что способствовало бы уменьшению концентрации, которую мы видим выше.

Мы также видим различные уровни концентрации в отмывании в зависимости от актива.

 

Рис.13.Концентрация отмывания средств: Доля общей криминальной криптовалюты, полученной ведущими депозитными счетами, по активам 2021.

 

Деятельность Bitcoin по отмыванию средств является наименее концентрированной. 20 крупнейших депозитных счетов, занимающихся отмыванием средств, получают всего 19% от всех Bitcoin, отправленных с криминальных криптосчетов, по сравнению с 57% для stablecoin, 63% для Ethereum и 68% для altcoin.

Мы также видим различия в уровне концентрации отмывания средств для разных типов киберпреступников. На диаграмме ниже разбиты по категориям преступности все счета, получившие в 2021 году более $1 млн. в криминальной криптовалюте, и доля всех средств, отправленных из этих категорий преступников, приходящаяся на эти счета.

 

Рис.14.Количество депозитных счетов, получивших более $1 млн. криминальной криптовалюты в разбивке по категориям преступности и доля всех отправленных средств по категориям преступности 2021.

 

Больше всего бросается в глаза то, насколько меньше концентрация деятельности по отмыванию у мошенников и продавцов и администраторов торговых площадок в Darknet по сравнению с другими категориями преступников. Это может отражать тот факт, что преступная деятельность этих категорий сама по себе менее концентрирована. В продажах и мошенничестве на Darknet-рынках участвует гораздо больше киберпреступников разного уровня продвинутости, поэтому логично, что средства этих киберпреступников распределены по большему количеству депозитных счетов для отмывания - каждый игрок может следовать своей собственной стратегии. Что касается более сложных форм киберпреступности, таких как шифровальщики, то на администраторов крупнейших штаммов шифровальщиков приходится большая доля всей активности, поэтому можно ожидать, что и отмывание средств будет более концентрированным.

 

Рис.15.Концентрация активности по отмыванию криминальных средств 2021.

 

Кейс: Spartan Protocol использует DeFi-платформы и прыжки по цепочке для отмывания средств.

Как мы уже говорили выше, использование платформ DeFi для отмывания средств резко возросло в 2021 году. Взлом Spartan Protocol служит хорошим примером того, как выглядит эта деятельность.

В мае 2021 года один или несколько хакеров воспользовались уязвимостью в коде, чтобы украсть из платформы криптовалюту на сумму более 30 миллионов долларов - в основном его родной токен SPARTA. Затем хакер конвертировал большую часть этих средств в anyETH и anyBTC, которые представляют собой композиты Ethereum и Bitcoin, соответственно, построенные на отдельных блокчейнах, отличных от оригиналов. Затем часть anyBTC была обменена на Bitcoin, перейдя таким образом на блокчейн Bitcoin, что привело нас к транзакциям, показанным на графике Chainalysis Reactor ниже.

 

Рис.16. Схема транзакций взлома Spartan Protocol.

 

Используя две DeFi-платформы, которые специализируются на кроссчейн-транзакциях, хакер перешел на блокчейн Ethereum, конвертировав средства в Ethereum и renBTC. Затем хакер отправил эти средства на DEX, обменяв их на новый Ethereum и wrapped Ethereum. Наконец, хакер перевел эти средства в Tornado Cash, микшер для блокчейна Ethereum.

Хотя большинство этих операций было проведено в дни, непосредственно следующие за взломом в начале мая, некоторые из них состоялись несколько месяцев спустя, причем хакер продолжал отмывать средства вплоть до октября. Такая ситуация менее вероятна в случае централизованных сервисов, которые, в отличие от платформ DeFi, обычно запрашивают у клиентов KYC-информацию при регистрации и имеют больше возможностей для замораживания средств из подозрительных источников. Взлом сервиса Spartan - отличный пример не только того, почему DeFi привлекателен как механизм отмывания средств, но и того, насколько сложным может стать расследование, когда киберпреступники используют DeFi - особенно платформы с переходом по цепочке.

Для раскрытия дел, подобных взлому Spartan Protocol, правоохранительные органы должны хорошо разбираться в анализе транзакций DeFi, но создающие платформы DeFi команды также должны работать над тем, чтобы предотвратить злоупотребление их продуктами со стороны киберпреступников. Одним из способов сделать это является проверка счетов, взаимодействующих с их смарт-контрактами, на предмет предыдущих транзакций с известными криминальными криптосчетами. С помощью API Chainalysis разработчики DeFi могут автоматизировать процесс проверки и убедиться, что их сервисы не используются для содействия отмыванию средств. Если вы работаете в DeFi, свяжитесь с нами, чтобы узнать больше об автоматизированной проверке счетов.

Кейс: Наркоторговцы из Великобритании сотрудничают с брокером для отмывания наркоденег с применением bitcoin.

Как мы уже говорили ранее, трудно оценить роль криптовалют в отмывании средств, полученных от традиционных, офлайновых преступлений. Это связано с тем, что в таких случаях криптовалюта не перемещается со счетов, которые мы ранее определили как связанные с преступностью, а скорее изначально размещается как фиатная валюта без каких-либо доказательств ее криминального происхождения, видимых в блокчейне. Кто-то может узнать о происхождении этих средств только в том случае, если уже расследует криминальную деятельность, и мы знаем, что, по крайней мере, некоторые преступники пользуются этим механизмам. Следователи по-прежнему могут использовать Chainalysis Reactor для расследования таких дел, и мы покажем вам пример того, как это делатся, в следующем примере успешного расследования деятельности группы наркоторговцев из Великобритании.

Схема была проста: Группа поставляла наркотики по всей северной Англии и передавала их уличным дилерам, которые затем продавали их за наличные, которые затем доставлялись обратно в преступную группу. Затем курьер забирал наличные и доставлял их брокеру, который организовывал конвертацию средств в Bitcoin. Затем брокер отправлял Bitcoin на счет, указанный преступной группой, беря небольшую комиссию в размере 4%. Сеть Bitcoin используется в качестве системы передачи средств, и дальнейший анализ показал, что валюта в конечном итоге была отправлена на внебиржевой сервис, вложенный в популярную криптовалютную биржу.

Группа по борьбе с тяжкими и организованными преступлениями полиции Большого Манчестера обнаружила роль Bitcoin в операции по отмыванию после того, как остановила одного из курьеров, которого они ранее заметили за сбором наличных на конспиративной квартире, и обнаружила в его автомобиле 170 000 британских фунтов наличными. Полиция арестовала подозреваемого за отмывание и изъяла два мобильных телефона. Последующая цифровая экспертиза этих устройств показала наличие различных сообщений в WhatsApp и Telegram с подробным описанием плана, а также Bitcoin-кошельков и скриншотов хэшей транзакций.

С этой информацией офицеры смогли использовать анализ блокчейна, чтобы увидеть движение средств. Используя Chainalysis Reactor, мы можем увидеть активность, о которой говорится на скриншоте.

 

Рис.17.Telegram-переписка по кейсу.

 

Эквивалент 174 900 фунтов за вычетом 4% комиссии брокера был отправлен на Bitcoin-счет, указанный наркоторговцами. Это относительно низкий процент по сравнению с более традиционными видами отмывания средств, что говорит о том, что отмывание с помощью Bitcoin может стать все более привлекательным для традиционных преступников. Затем средства отправляются на кошелек посредника, после чего поступают на внебиржевой сервис, вложенный в популярную криптовалютную биржу. Анализ других транзакций позволил установить, что курьер, работавший на группировку наркоторговцев, используя эти методы отмыл не менее миллиона фунтов в нескольких Bitcoin-транзакциях.

 

Рис.18.

 

Этот случай показывает, насколько важно всем следователям по уголовным делам - не только тем, кто занимается киберпреступлениями - разбираться в криптовалютах и анализе блокчейна. Оно также служит примером того, как анализ блокчейна может дополнить более устоявшиеся методы расследования, которыми уже хорошо владеют правоохранительные органы. В данном случае сотрудники использовали цифровую экспертизу для обнаружения криптовалютных связей, а затем смогли проанализировать транзакции на блокчейне, чтобы понять схему отмывания денег наркоторговцами, что привело к их успешному судебному преследованию.

Финансовый баланс киберпреступников.

Криминальные «киты» удерживают более $25 млрд. в криптовалюте из множества преступных источников.

Одним из позитивных событий последнего года стала растущая способность правоохранительных органов изымать криптовалюту у преступников. В 2021 году мы увидели несколько примеров этого, в том числе:

 

  • Минюст США изъял криптовалюты на сумму $2,3 млн. у операторов шифровальщика DarkSide, ответственных за атаку на компанию Colonial Pipeline, о чем мы подробно рассказываем в нашем разделе о шифровальщиках.
  • В течение 2021 года служба IRS-CI конфисковала криптовалюты на общую сумму более $3,5 млрд.
  • Столичная полицейская служба Лондона (MPS) произвела крупнейшую в Великобритании конфискацию криптовалюты, изъяв у подозреваемого в отмывании средств $180 млн.

 

Совсем недавно, в феврале 2022 года, минюст США конфисковал Bitcoin на сумму $3,6 млрд. по делу взлома Bitfinex в 2016 году, что на данный момент является крупнейшим в истории возвратом краденных активов в криптовалюте или фиате.

Эти истории важны не только потому, что позволяют получить финансовую компенсацию жертвам криптовалютных преступлений, но и потому, что опровергают мнение о том, что криптовалюта - это неотслеживаемый, не поддающийся идентификации актив, идеально подходящий для преступлений. Если киберпреступники будут знать, что правоохранительные органы способны изъять их криптовалюту, это может снизить стимул использовать ее в будущем.

Эти кейсы также поднимают важный вопрос: Сколько криптовалюты в настоящее время хранится в блокчейне у известных криминальных структур, и поэтому теоретически может быть изъято правоохранительными органами? Ответ на этот вопрос зависит не только от криптовалютных доходов от преступлений в 2021 году, но и от нелегальных доходов за все время, которые все еще хранятся по видимым счетам. Ниже мы рассмотрим как общую сумму криптовалютных активов, которые можно отследить до незаконных источников, так и общий баланс криминальных «китов», то есть преступников, владеющих криптовалютой на сумму от 1 миллиона долларов.

Краденные средства доминируют в общем балансе преступников.

Начнем с анализа остатков криминальных средств на конец года за последние пять лет в разбивке по видам незаконной деятельности, в результате которой они были получены. В данном анализе под криминальными остатками подразумеваются любые средства, которые в настоящее время хранятся на счетах, приписываемых Chainalysis криминальным субъектам. Эти счета могут принадлежать криминальным сервисам, например, Darknet-рынкам, но в некоторых случаях на них также могут располагаться частные кошельки, например, в случаях с кражами.

 

Рис.19.Криминальный финансовый баланс на конец года за 2017-2021.

 

Больше всего выделяются две вещи: первая - огромный рост криминальных накоплений в 2021 году - на конец года преступники держали средства из известных незаконных источников на сумму $11 млрд., тогда как на конец 2020 года этот показатель составлял всего $3 млрд. Вторая причина заключается в том, насколько сильно преобладают украденные средства. По состоянию на конец 2021 года на краденные средства приходится 93% всех остатков преступных средств - $9,8 млрд.

 

Рис.20.Общий недельный баланс по видам преступлений 2021.

Примечание: «Киберкриминальные администраторы» означает счета, которые были приписаны лицам, связанным с управлением киберпреступной организацией, такой как Darknet-рынок.

Далее следуют фонды торговых площадок в Darknet - 448 миллионов долларов, затем мошенничества - 192 миллиона, мошеннические магазины - 66 миллионов и шифровальщики - 30 миллионов долларов. Криминальные балансы также колебались в течение года: от минимума в $6,6 млрд. в июле до максимума в $14,8 млрд. в октябре. Эти колебания напоминают о важности скорости в криптовалютных расследованиях, поскольку криминальные средства, успешно отслеженные в блокчейне, могут быть быстро ликвидированы. Конечно, криминальные балансы могут падать и по веским причинам. Значительное падение криминальных накоплений, которое мы видим выше в феврале 2022 года, связано с конфискацией минюстом США $3,6 млрд. в Bitcoin, похищенных в результате взлома Bitfinex в 2016 году. После этого изъятия, по состоянию на 9 февраля 2022 года, криминальные балансы составляют около $5 млрд.

 

Давайте посмотрим, какие типы киберпреступников дольше всего хранят свои средства.

 

Рис.21.Среднее время хранения криптовалюты для криминальных счетов за 2021 VS все время.

 

Если рассматривать тенденции за все время, то продавцы и администраторы Darknet-рынков дольше всего держат свои средства перед ликвидацией, а кошельки с краденными средствами хранятся наименьшее время. Последнее может вызвать удивление - как краденные средства могут храниться так мало по времени, но при этом составлять подавляющее большинство суммы криминальных накоплений? Оказывается, большинство этих средств принадлежат очень крупным счетам, которые хранят средство дольше, чем другие счета в категории краденных средств. Но что действительно бросается в глаза, так это то, насколько сократилось время хранения по всем категориям - среднее время хранения в 2021 году по крайней мере на 75% меньше, чем в прошлом во всех категориях. Операторы шифровальщиков, в частности, являются примером этой тенденции, поскольку теперь они держат средства в среднем всего 65 дней, прежде чем ликвидировать их. Возможно, это реакция на растущее давление правоохранительных органов, с которым сталкиваются злоумышленники, использующие программы-вымогатели.

Криминальные киты показывают больше вариаций.

Вопрос, который естественным образом вытекает из нашего исследования криминальных накоплений: Какие преступники хранят больше всего криптовалюты? Мы решили провести исследование, проанализировав балансы криминальных китов. Однако обратите внимание, что мы рассчитываем балансы несколько иначе, чем общие накопления преступников, о которых мы говорили выше. Мы определяем «криминального кита» как любой частный кошелек с криптовалютой на сумму от $1 млн., который получил более 10% средств с криминальных счетов.

Следует понимать, что поскольку баланс криминальных китов рассчитывается на основе данных о частных кошельках, а общий криминальный баланс рассчитывается на основе данных о счетах, помеченных как незаконные (то есть они могут включать средства, хранящиеся на сервисах в дополнение к частным кошелькам), баланс криминальных китов, обсуждаемый здесь, не будет совпадать с общим криминальным балансом, рассчитанным выше.

В целом, Chainalysis выявил 4068 криминальных китов, владеющих криптовалютой на сумму более 25 миллиардов долларов. Криминальные киты составляют 3,7% от всех криптовалютных китов - то есть частных счетов, на которых хранится криптовалюта на сумму более $1 млн.

 

Рис.22.Доля всех криптовалютных «китов», получивших 10% и более средств с криминальных счетов.

 

Интересная картина вырисовывается, когда мы разбиваем криминальных китов по доле их общих средств, имеющих незаконное происхождение: большинство криминальных китов получали либо относительно небольшую, либо чрезвычайно большую долю своего общего баланса с криминальных счетов.

 

Рис.23.Криминальные «киты» по доле всех средств, полученных с криминальных счетов.

 

Выше мы распределили всех криминальных китов по доле всех полученных ими криптовалют, поступивших с криминальных счетов. 1 374 криминальных кита получили от 10% до 25% от общего баланса с криминальных счетов. Однако самый крупная группа находится близко позади: 1 361 счет получил от 90% до 100% своего общего баланса с криминальных счетов. В целом, 1 333 криминальных кита получили от 25% до 90% всех средств с криминальных счетов.

Незаконные средства, полученные криминальными китами, также поступают из более разнообразных источников, чем средства, составляющие общий баланс преступников.

 

Рис.24.Источники средств, получаемых криминальными «китами».

 

В то время как краденные средства доминируют в общем балансе преступников, Darknet-рынки являются крупнейшим источником криминальных средств, направляемых криминальным китам, на втором месте - мошенничество, на третьем - краденные средства.

Наконец, мы также можем использовать анализ часовых поясов, чтобы попытаться приблизительно определить местоположение криминальных китов. На приведенном ниже графике мы присвоили часовые пояса UTC 768 криминальным китам, чьи кошельки обладают достаточной активностью, чтобы мы могли сделать точную оценку.

 

Рис.25.Предполагаемый часовой пояс криминальных «китов».

 

Временные зоны UTC 2, 3 и 4, по оценкам, содержат больше всего криминальных китов, в то время как временные зоны 1 и -9 также имеют большое количество. Часовые пояса UTC 2, 3 и 4 включают большую часть России, в том числе крупные населенные пункты, такие как Москва и Санкт-Петербург, что особенно интересно в контексте огромной роли России в криптовалютной преступности, о чем мы рассказываем в других разделах этого отчета. Однако часовые пояса, конечно, позволяют нам оценить только продольное местоположение, поэтому вполне возможно, что некоторые из криминальных китов базируются в других странах в пределах часовых поясов 2, 3 и 4, таких как Южная Африка, Саудовская Аравия или Иран.

Возможность эффективно отслеживать криминальных китов и количественно оценивать их активы на основе одного публичного набора данных является основным отличием криптовалютной преступности от фиатной. В фиате преступники с самым высоким чистым капиталом используют мутные сети иностранных банков и подставных корпораций, чтобы скрыть свои активы. Но в криптовалюте транзакции сохраняются в блокчейне для всеобщего обозрения. Расследование преступных китов представляет собой отличную возможность для государственных органов по всему миру продолжить череду успешных конфискаций и привлечь к ответственности крупнейших бенефициаров криптовалютных преступлений.

Криминал и NFT.

Исследователи Chainalysis выявили значительные объемы «серых» сделок и некоторые случаи отмывания средств в этом новом классе активов.

«Non-fungible tokens» (NFT) стали одной из самых громких историй в криптовалюте в 2021 году. NFT - это цифровые элементы на основе блокчейна, котоые разработаны таким образом, чтобы быть уникальными, в отличие от традиционных криптовалют, которые предназначены для взаимозаменяемости. NFT могут хранить данные на блокчейне - большинство проектов NFT построены на таких блокчейнах, как Ethereum и Solana - и эти данные могут быть связаны с изображениями, видео, аудио, физическими объектами, членством и бесчисленными другими развивающимися вариантами использования. NFT обычно дают владельцу право собственности на данные или медиа, с которыми связан токен, и обычно покупаются и продаются на специализированных торговых площадках.

Популярность NFT резко возросла в 2021 году. Chainalysis отследил минимум $44,2 млрд. криптовалюты, отправленной в контракты ERC-721 и ERC-1155 - два типа смарт-контрактов Ethereum, связанных с рынками и коллекциями NFT - по сравнению со всего лишь $106 млн. в 2020 году.

 

Рис.26.Еженедельный объем криптовалют и средняя стоимость транзакции на NFT-платформы 2021.

 

Однако, как и в случае с любой новой технологией, NFT не исключает возможности злоупотреблений. Важно, чтобы по мере того, как наша индустрия рассматривает все способы, которыми этот новый класс активов может изменить то, как мы связываем блокчейн с физическим миром, мы также создавали продукты, которые делают инвестиции в NFT максимально безопасными и надежными. Ниже мы рассмотрим две формы криминальной деятельности, которую мы наблюдали в NFT:

 

  • Отмывочная торговля для искусственного повышения стоимости NFT.
  • Отмывание средств через покупку NFT.

 

Давайте погрузимся в этот вопрос.

 

Некоторые продавцы НФТ наживаются на "отмывочной" торговле.

Еще одной областью, вызывающей беспокойство НФТ, является «отмывочная торговля», то есть проведение сделки, в которой продавец выступает на обеих сторонах сделки, чтобы создать ложное представление о стоимости и ликвидности актива. Исторически сложилось так, что криптовалютные биржи пытаются создать видимость больших объемов торгов, чем есть на самом деле. В случае с «отмывочной торговлей» NFT, цель состоит в том, чтобы сделать свои NFT более ценным, чем он есть на самом деле, «продав» его на новый кошелек, который также контролирует первоначальный владелец. Теоретически, это было бы относительно просто с NFT, поскольку многие торговые NFT-платформы позволяют пользователям торговать, просто подключив свой кошелек, без необходимости идентифицировать себя.

Однако с помощью анализа блокчейна мы можем отследить отмывочную торговлю NFT, проанализировав продажи NFT на самофинансируемые счета, то есть были профинансированные либо продающим криптосчетом, либо счетом, который первоначально профинансировал продающий счет. Анализ продаж NFT на самофинансируемые счета показывает, что некоторые продавцы NFT провели сотни отмывочных сделок.

 

Рис.27.Продавцы NFT по количеству продаж на самофинансируемые счета 2021.

 

Давайте более подробно рассмотрим продавца 1, самого «плодовитого» продавца NFT, который совершил 830 продаж на самофинансированные счета. На скриншоте Etherscan ниже показана транзакция, в которой этот продавец, используя счет, начинающийся с 0x828, продал NFT на счет, начинающийся с 0x084, за 0,4 Ethereum через торговую площадку NFT.

 

 

Рис.28.Скриншот Etherscan.

 

На первый взгляд все выглядит нормально. Однако график Chainalysis Reactor ниже показывает, что счет 0x828 незадолго до этой продажи отправил 0,45 Ethereum на счет 0x084.

 

Рис.29.Транзакции продавца NFT.

 

Эта активность соответствует шаблону Продавца 1. На графике Reactor ниже показаны аналогичные отношения между продавцом 1 и сотнями других счетов, на которые он продавал NFT.

 

Рис.30.Граф из системы Chainalysis Reactor.

 

Продавец 1 - это счет в центре. Все остальные счета на этом графике получили средства от основного счета Продавца 1 до покупки NFT с этого счета. Однако пока что Продавец 1, похоже, не извлек прибыли из своей активной отмывочной торговли. Если мы подсчитаем сумму, которую продавец 1 заработал на продаже NFT счетам, которые он сам не финансировал - и которые, как мы можем предположить, являются жертвами, не знающими о том, что NFT, которые они покупают, были отмыты - это не компенсирует сумму, которую им пришлось потратить на комиссию во время сделок отмывочной торговли.

 

Кошелек продавца 1

Сумма комиссионных

Доход от продажи NFT

Общий баланс

0x828...

- $35,642

$27,258

- $8,383

 

Однако история меняется, если мы посмотрим на более крупную часть экосистемы NFT. Используя анализ блокчейна, мы выявили 262 пользователя, которые продали NFT на самофинансируемый счет более 25 раз. Хотя мы не можем быть на 100% уверены, что все случаи продажи NFT на самофинансируемые кошельки предназначены для отмывочной торговли, порог в 25 транзакций дает нам большую степень уверенности в том, что эти пользователи являются постоянными отмывочными трейдерами. Как и в случае с одним трейдером, мы рассчитали общую прибыль этих 262 трейдеров, вычтя сумму, потраченную ими на комиссию, из суммы, которую они заработали на продаже NFT ничего не подозревающим покупателям. Одна оговорка для этого анализа заключается в том, что он охватывает только сделки, совершенные в Ethereum и Wrapped Ethereum, так что, вероятно, существует деятельность по отмыванию, которую мы здесь не рассматриваем.

 

Тем не менее, вырисовывается интересная история: Большинство отмывочных схем в NFT были убыточными, но успешные отмыватели получили такую прибыль, что в целом эта группа из 262 человек является крайне доходной.

 

Группа по отмыванию средств

Количество счетов

Доходы

Прибыльные группы

110

$8,875,315

Бесприбыльные группы

152

- $416,984

Всего

262

$8,458,331

 

110 прибыльных трейдеров получили в общей сложности почти $8,9 млн. прибыли от этой деятельности, что значительно превышает убытки в размере $416 984, понесенные 152 убыточными трейдерами. Что еще хуже, эти $8,9 млн., скорее всего, получены от продаж ничего не подозревающим покупателям, которые считают, что NFT, которые они покупают, растут в цене, продаваясь от одного коллекционера к другому.

Отмывочная торговля NFT существует в серой правовой зоне. В то время как отмывочная торговля запрещена в отношении обычных ценных бумаг и фьючерсов, в NFT она еще не стала предметом судебного преследования. Однако ситуация может измениться, когда регулирующие органы сместят фокус и применят существующие полномочия по борьбе с мошенничеством к новым рынкам NFT. В целом, отмывочная торговля в NFT может создать криминальный рынок для тех, кто покупает искусственно завышенные в цене токены, а ее существование может подорвать доверие к экосистеме NFT, препятствуя будущему росту. Мы призываем торговые площадки NFT максимально препятствовать такой деятельности. Данные анализа блокчейна позволяют легко обнаружить пользователей, продающих NFT на счета, которые они самостоятельно финансировали, поэтому площадки могут рассмотреть возможность запрета или других наказаний для самых злостных нарушителей.

Деятельность по отмыванию средств незначительна, но заметна в NFT.

Отмывание уже давно является проблемой в мире изобразительного искусства, и нетрудно понять почему. Как отмечается в статье National Law Review за 2019 год, такие предметы искусства, как картины, легко перемещаются, имеют относительно субъективные цены и могут предоставлять определенные налоговые преимущества. Поэтому преступники могут приобрести предметы искусства на незаконно полученные средства, продать их позже, и так получают чистые деньги, никак не связанные с первоначальной преступной деятельностью. Эта история, а также псевдоанонимность криптовалют заставляет многих задуматься, не подвержены ли NFT подобным злоупотреблениям. Но если отмывание в физическом искусстве трудно поддается количественной оценке, то отмывание в NFT мы можем оценить более достоверно благодаря присущей блокчейну прозрачности.

Итак, используют ли киберпреступники незаконные средства для покупки NFT? Давайте посмотрим.

 

 

Рис.31.Объемы криминальной криптовалюты, полученной платформами NFT 2 кв.2020-4 кв.2021.

 

В третьем квартале 2021 года объем средств, отправленных на торговые площадки NFT с криминальных счетов, значительно вырос, превысив отметку в 1 миллион долларов США в криптовалюте. В четвертом квартале этот показатель снова вырос, достигнув отметки чуть менее $1,4 млн. В обоих кварталах подавляющая часть этой активности исходила от связанных с мошенниками счетов, отправляющих средства на торговые площадки NFT для совершения покупок. В обоих кварталах также наблюдались значительные суммы краденных средств, отправленных на торговые площадки. Возможно, наиболее тревожным является тот факт, что в четвертом квартале на торговые площадки NFT с криптосчетов с санкционным риском было отправлено криптовалюты на сумму около $284 000. Все это было связано с переводами с P2P-биржи Chatex, которую управление по контролю за иностранными активами (OFAC) США в прошлом году включило в список особо опасных лиц.

Примеры различных типов преступников, покупающих NFT, мы можем увидеть на графике Reactor ниже.

 

Рис.32.Схема криминальных транзакций с участием NFT.

 

Здесь мы видим счета, связанные с несколькими различными типами киберпреступников, отправляющих средства на популярную торговую площадку NFT, включая операторов вредоносных программ, мошенников и P2P-биржу Chatex.

Вся эта деятельность представляет собой каплю в море по сравнению с отмыванием криптовалютных средств на сумму $8,6 млрд., которое мы отследили за весь 2021 год. Тем не менее, отмывание, и в частности переводы от криптовалютных компаний, находящихся под санкциями, представляют собой большой риск для укрепления доверия к NFT, и должны более тщательно отслеживаться торговыми площадками, регуляторами и правоохранительными органами.

Продолжение исследования ждите вскоре в разделе «Аналитика» нашего блога!

 

Источник: https://go.chainalysis.com

Системы Информационной Безопасности