Ищем 10 миллиардов «Хезболлы», спрятанных в крипте. И находим!
27 июня 2023 г. министр обороны Израиля Йоав Галлант объявил о важном достижении в деле пресечения финансирования группировки «Хезболла» и сил «Кудс» с помощью цифровых валют. Операция должна была привести к изъятию средств на миллионы долларов. Но так ли это? Разбираемся в деталях этого дела.
Национальное бюро Израиля по борьбе с финансированием терроризма выпустило 2 Постановления о наложении ареста на имущество (ASO 29/23 и ASO 34/23). В них содержится информация о номерах аккаунтов на криптовалютной бирже Binance, именах, криптовалютных адресах и номерах национальных идентификационных документов лиц, связанных с организациями «Хезболла» и иранскими силами «Кудс». Как оказалось, все перечисленные в документах адреса принадлежат к сети TRON (TRC-20).
- TKiBsUqd5ixPTqVWVp5BdDCHvoR7nwfMn3
- TXfKFBPkZTjcjvZLpzZcXeTZVav1VBEmfu
- TWQEKPhwtXk8XGfhfnQKHv6AU4Ce4qEEm4
- TReSAwt6Epi8MhvkTQJbamrJuvEeZnxTdp
- TBvub4tefF7pNr3UazUCvFMJbpVhcfAAc2
- TYiJb2qhbtzSmSYWv7at2M7EGrH8EcgmJr
- TNuSHwQnCFGP3DGS4LykeHn821ystJMCTK
- TJqPocniAs5fyauqLgmRJXdKdfgFGjMTRA
- TEUk9cTheXr1CoVgcVqc5j8ifAzmHkxJai
- TWeRNPzBjUroNfSuZPA8B9c2ipjQkYM5PL
- TG1xjFTUFYeDHQxvKoCUo7fZ9t6nxd1iys
- TC79XFhLcFFP5AojzJEheFySZkyT4DLpQr
- TCydk24r1DAVkdvDzYhUQruT3aa9cFrGrV
- TFQZpueb99fwRtKTa9NwRCjLyqiCP3MGHM
- TR3W6S94NLJ5yAs8c4ZZXTUsJeUmsZtS4A
- TDwxqs6Nn62mic4UPRaKzW6JUKM5wDW3WY
- TJdX83eW28zoiFgD3AH5WHN4k8XKBzY6JP
- TJSUmTC6Jfyim9wSmrUPNPxJxnJXsGpvCU
- TUAJ4qENLgTwrrioPaW8rKDYs4rZbxkWZF
- TMWkK1qx5KR6cJ1jjSqQsNUik3bfPDmhpf
- TCvMMsShKX8vHUxx1GbZ7jf8TRbXDmVfMG
- TGmw6hyZ7fw4ySZji5QmjKVJWXFP8Kmddw
- TJyHmwD7DKSeaJgE5xKZmmt87cyvsbSAk9
- TR2iVPD66Bm35X1JpEg5Uc8TAvw38iznVF
- TEX2r8REzxQ9UvXCbzx2wkHfE6Vu7nDwte
- TStACMeyKFiV1p1QpYsDQF15cs1ezEw2dT
- TUDE8fd8iLHMt4r5C1ybpohCvyvM1vDYNU
- TA9f6oyvsh2VzEB19hYk2Az4hZpHQjT18b
- TYh5oEYa8hJhXtbkpqXDpfSYUg7udNJ8DY
- TH8d32LzX7oJ5Fj8egzPKToMQ6VtjoodDd
- TVboq8xBRBSzCQ8v9cXQCTeGZmpoUNhjC5
- TRsJo9dLYzxp7XXvGzQwX5mXkRKAYYXJyV
- TFWTGjvwu1eziL9W4oSu7Jd6rxk4av7UNm
- TXFaNo6MZifpqtGUPn4vU9LzGkxqSW4XcM
- TXmQwjEHUEU1jAtUQZeXJoYUCR2yZD8bXm
- TGHP4NnEfAtn7aKUshq6ERZNisW5muUVHm
- TTiDzRuBU8vmHV1jKVxMhonMKKrchydXjb
- TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq
- TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG
- TY825nrM5GiztWFRQW3JpPUAGuZhWPisSA
- TY3TUu4RwSDmUqQAbQ66vU3tRdkqPC19M4
- TWvsfLNZrB8xPEeUE5Jzo94MzNYcCZ3ia8
- TVoJZwG6SZrpk2Y11w2WW54HyvJmKTkeqG
- TTxuaC7zJ5QbBhnUL2KEkQbFc5UEipE1fd
- TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy
- THsPCpqBmmi8CzMWvQ1Zw7cMZaJ77hnmVW
- TCG5LT8GZu9xedHbfwo2Mea2nJJbi5QGTv
- TXXfxvnjg4497duutm5uEHUgqAhSVoM4nS
- TXBMWt3T4WhFkcPnob1567cGDM3ou27GWE
- TVzsknku8cubpukTmUVn5Ro747Bgw3GS63
- TUtw7GQJssJ6WtBE1J2xKks7VimKP8m587
- TU3bxJ7FRpwsfwwc7bQLa9Jr89e7UzWB3m
- TSgiPLeKKTd6vQa2aLfb1QFmNV9DW52xYK
- TQLoZxoAu2arL3jCyz5ToZf4gqkmvXxtTy
- TQ4HeWsnzXexz2UKY3Ef94xg3rnWkawirR
- TPpRxpTw3Mn71rHzStQfjHB369zxHYqQiz
- TNT8WTuCoPwuYzScrHwbv5Wzw9XBwu9u3q
- TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq
- TM45NsDQ1YUMMHosa2uK5FZbxxggNzxSys
- TJZnMKRAXWqhewxDUGvsfaoe8exUjHPwA6
- THBPKbkuVSxNG7cq8bAvicrTm2YpMMZVKQ
- TGSv6fGeiZbWA1jBdsgkGLumtqp4wFXxzq
- TFS7HvL8Y7zWoSR6FroD9SGiKCpWTZLLLX
- TDAegnxRRBVuRFJ1tkpmignshcu12nfoQF
- TCWMveoWyAwkCthHC43nfgbtmAfPGXYhQD
I. Постановления о наложении ареста на имущество ASO 29/23 от 21 мая 2023 года
Мы изучили адреса из ASO 29/23, (Рис.1), и обнаружили, что все они так или иначе связаны друг с другом: либо напрямую, либо через адреса-посредники.
Рис. 1 - Связи между адресами из ASO 29/23 от 21 мая 2023 года (смотреть в высоком разрешении)
Общий оборот по схеме: 7.7 миллиардов Долларов США.
Период активности адресов: 10.06.2021 - н.в.
При этом, единственным адрес, который напрямую связан со всеми остальными адресами из Постановления ASO 29/23 - это TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG (Рис. 2). Мы полагаем, что именно это обстоятельство повлияло на добавление остальных адресов в список.
Период активности адресов: 10.06.2021 - н.в.
При этом, единственным адрес, который напрямую связан со всеми остальными адресами из Постановления ASO 29/23 - это TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG (Рис. 2). Мы полагаем, что именно это обстоятельство повлияло на добавление остальных адресов в список.
Рис. 2 - Связь TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG с остальными адресами из ASO 29/23.
Важно подчеркнуть, что адрес TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG был внесён в чёрный список Tether, как и 3 других адреса:
Что касается остальных адресов, то они остаются активными. Более того, даже после вынесения Постановления об их аресте, они так и не были заблокированы:
- TXfKFBPkZTjcjvZLpzZcXeTZVav1VBEmfu;
- TJqPocniAs5fyauqLgmRJXdKdfgFGjMTRA;
- TCvMMsShKX8vHUxx1GbZ7jf8TRbXDmVfMG.
Что касается остальных адресов, то они остаются активными. Более того, даже после вынесения Постановления об их аресте, они так и не были заблокированы:
- TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq. Данный адрес был повторно внесен в Постановление о наложении ареста на имущество ASO 34/23 от 04 июля 2023 года. Мы рассмотрим его более детально во второй части расследования;
- TTiDzRuBU8vmHV1jKVxMhonMKKrchydXjb;
- TA9f6oyvsh2VzEB19hYk2Az4hZpHQjT18b;
- TFWTGjvwu1eziL9W4oSu7Jd6rxk4av7UNm;
- TEX2r8REzxQ9UvXCbzx2wkHfE6Vu7nDwte;
- TVboq8xBRBSzCQ8v9cXQCTeGZmpoUNhjC5;
- TYh5oEYa8hJhXtbkpqXDpfSYUg7udNJ8DY;
- TUDE8fd8iLHMt4r5C1ybpohCvyvM1vDYNU;
- TGmw6hyZ7fw4ySZji5QmjKVJWXFP8Kmddw;
- TJSUmTC6Jfyim9wSmrUPNPxJxnJXsGpvCU;
- TR2iVPD66Bm35X1JpEg5Uc8TAvw38iznVF;
- TDwxqs6Nn62mic4UPRaKzW6JUKM5wDW3WY;
- TYiJb2qhbtzSmSYWv7at2M7EGrH8EcgmJr;
- TG1xjFTUFYeDHQxvKoCUo7fZ9t6nxd1iys;
- TCydk24r1DAVkdvDzYhUQruT3aa9cFrGrV;
- TMWkK1qx5KR6cJ1jjSqQsNUik3bfPDmhpf;
- TKiBsUqd5ixPTqVWVp5BdDCHvoR7nwfMn3;
- TWQEKPhwtXk8XGfhfnQKHv6AU4Ce4qEEm4;
- TR3W6S94NLJ5yAs8c4ZZXTUsJeUmsZtS4A;
- TWeRNPzBjUroNfSuZPA8B9c2ipjQkYM5PL;
- TJyHmwD7DKSeaJgE5xKZmmt87cyvsbSAk9;
- TJdX83eW28zoiFgD3AH5WHN4k8XKBzY6JP.
Все эти адреса до сих пор активно отправляют и получают криптовалюту с крупных криптовалютных бирж и сервисов (Binance, KuCoin, BTCTurk.com, Bybit.com и т. д.), как напрямую, так и через адреса-посредники.
Также, мы можем предположить, что часть адресов из списка принадлежит неидентифицированным сервисам по обмену криптовалюты, например адрес TR3W6S94NLJ5yAs8c4ZZXTUsJeUmsZtS4A. На это указывают следующие признаки: высокая транзакционная активность и объемы; большое количество контрагентов; а также короткий промежутком времени между вводом и выводом одинаковых сумм криптовалюты.
Как уже отмечалось ранее, средства с указанных выше адресов все еще поступают на различные криптовалютные биржи. В качестве примера, рассмотрим транзакцию 0244c105a81424924cc0c2f59f279662adede295dc0f019963c97330336614ab и дальнейшее движение денег (Рис. 3). К слову, весь путь средств от TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG до криптовалютной биржи Binance занял 2 дня, с 29 мая 2023 по 30 мая 2023.
Также, мы можем предположить, что часть адресов из списка принадлежит неидентифицированным сервисам по обмену криптовалюты, например адрес TR3W6S94NLJ5yAs8c4ZZXTUsJeUmsZtS4A. На это указывают следующие признаки: высокая транзакционная активность и объемы; большое количество контрагентов; а также короткий промежутком времени между вводом и выводом одинаковых сумм криптовалюты.
Как уже отмечалось ранее, средства с указанных выше адресов все еще поступают на различные криптовалютные биржи. В качестве примера, рассмотрим транзакцию 0244c105a81424924cc0c2f59f279662adede295dc0f019963c97330336614ab и дальнейшее движение денег (Рис. 3). К слову, весь путь средств от TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG до криптовалютной биржи Binance занял 2 дня, с 29 мая 2023 по 30 мая 2023.
Рис. 3 — Движение средств от TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG до криптовалютной биржи Binance.
Первым шагом средства были отправлены на адрес TN3FAiqhofwZZfPHnbJFZeVtucgEGPaUt9. На этом адресе криптовалюта замешивается со средствами, которые пришли с крупных криптовалютных бирж и обменников (Binance, OKX, KuCoin, Pionex и т.д.).
Затем, деньги отправляются на TV2wfiurVwDpaNK5FKobfHm971hMmMbKUH транзакцией 5a71304e8d6e51dd14bb0afc65cf33b59828ee2f158d5df387986113150f10df. На этом адресе также происходит замешивание средств, поступающих с криптовалютной биржи Binance. После этого, с TV2wfiurVwDpaNK5FKobfHm971hMmMbKUH средства направляются на TAMkHhPRR4C4QCU7B8X6UNZo5uMUGRCPJi, а оттуда на 3 других адреса:
Затем, деньги отправляются на TV2wfiurVwDpaNK5FKobfHm971hMmMbKUH транзакцией 5a71304e8d6e51dd14bb0afc65cf33b59828ee2f158d5df387986113150f10df. На этом адресе также происходит замешивание средств, поступающих с криптовалютной биржи Binance. После этого, с TV2wfiurVwDpaNK5FKobfHm971hMmMbKUH средства направляются на TAMkHhPRR4C4QCU7B8X6UNZo5uMUGRCPJi, а оттуда на 3 других адреса:
- TPR49qLrcxc4iq4QebmetrxPQW5p5XP7FS, принадлежит криптовалютной бирже Binance;
- TCS4G3TdpuCcLQuXbv9PvEVC7qaesCP2cy, принадлежит криптовалютной бирже OKX;
- TPgDHdF7vPmzf4Z25ZoxAT3q4xDw9eJ19D.
С TPgDHdF7vPmzf4Z25ZoxAT3q4xDw9eJ19D деньги направляются на депозитный адрес биржи Binance TLrUZUL11xdfuKgQFE7BYWryUSHTggiP4k.
Оставшаяся часть денег отправляется с адреса TPgDHdF7vPmzf4Z25ZoxAT3q4xDw9eJ19D на TTVvA15DymzD6FFYVSVJcFBdpXv1oJMBkp (предположительно является депозитным адресом Binance). После этого, средства поступают на горячий кошелёк Binance TV6MuMXfmLbBqPZvBHdwFsDnQeVfnmiuSi. Из этой схемы видно, что злоумышленники используют цепочку адресов и транзакций, чтобы скрыть связь с финансированием терроризма.
Как отмечалось ранее, Постановление о наложении ареста на имущество от 21 мая 2023 года содержит 39 адресов. Так, несколько крупных адресов-контрагентов, которые явно участвовали в схеме по отмыванию средств, имеют связь с адресами из ASO 29/23. Давайте рассмотрим их подробнее:
Оставшаяся часть денег отправляется с адреса TPgDHdF7vPmzf4Z25ZoxAT3q4xDw9eJ19D на TTVvA15DymzD6FFYVSVJcFBdpXv1oJMBkp (предположительно является депозитным адресом Binance). После этого, средства поступают на горячий кошелёк Binance TV6MuMXfmLbBqPZvBHdwFsDnQeVfnmiuSi. Из этой схемы видно, что злоумышленники используют цепочку адресов и транзакций, чтобы скрыть связь с финансированием терроризма.
Как отмечалось ранее, Постановление о наложении ареста на имущество от 21 мая 2023 года содержит 39 адресов. Так, несколько крупных адресов-контрагентов, которые явно участвовали в схеме по отмыванию средств, имеют связь с адресами из ASO 29/23. Давайте рассмотрим их подробнее:
- TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D (Рис. 4);
Рис. 4 - Схема связей адреса TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D.
- TCpsC2K7tBBAPN8FQ9uqv6wAYS5esS4VR2 (Рис. 5);
Рис. 5 - Схема связей адреса TCpsC2K7tBBAPN8FQ9uqv6wAYS5esS4VR2.
- TBa1gEwPMPbieSK4Zq2Rw5Wx2MTkhE3F2Y (Рис. 6);
Рис. 6 - Схема связей адреса TBa1gEwPMPbieSK4Zq2Rw5Wx2MTkhE3F2Y.
- TTiHL3uRJksTDygxsaKJLMFuNmzHSvNXSc (Рис. 7).
Рис. 7 - Схема связей адреса TTiHL3uRJksTDygxsaKJLMFuNmzHSvNXSc.
Перечисленные адреса имеет достаточно большой оборот и транзакционную активность. 3 адреса, а именно TTiHL3uRJksTDygxsaKJLMFuNmzHSvNXSc, TBa1gEwPMPbieSK4Zq2Rw5Wx2MTkhE3F2Y и TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D, предположительно являются депозитными. В свою очередь, TCpsC2K7tBBAPN8FQ9uqv6wAYS5esS4VR2 является агрегационным.
Особенный интерес вызывает TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D. Он напрямую взаимодействовал с TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG, который, как мы уже знаем, был добавлен в черный список Tether.
Рассмотрим примеры транзакций по отмыванию средств, полученных с адресов из Постановления от 21 мая 2023. Здесь происходят прямые транзакции между адресами TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D и TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG (транзакции 7ffc3be5affd90106a6672b87e70f87b8e76b80f31cb41b95122e5b8e3c6b446 и f899e9e12af41949b3601b246fffa2aa76f103c76247651f01ca6004d41f7437). Затем деньги агрегируются на балансе TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D и далее отправляются на адрес TG2tzRjDHSnuVTq6Z44BAhWhpNvgE299sc (Рис. 8). Чтобы замаскировать операции, на адрес TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D также поступают средства через 3 адреса-посредника: TVdNM7KNez7EinXFkuc57FN6XnNELt4yVq, TE2Xphc9Zvo6stfaqra7wKFqCjbVtK496q и TJunpRjUdinfzgVfFxAwHC5EtZzEegzt5t.
Особенный интерес вызывает TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D. Он напрямую взаимодействовал с TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG, который, как мы уже знаем, был добавлен в черный список Tether.
Рассмотрим примеры транзакций по отмыванию средств, полученных с адресов из Постановления от 21 мая 2023. Здесь происходят прямые транзакции между адресами TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D и TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG (транзакции 7ffc3be5affd90106a6672b87e70f87b8e76b80f31cb41b95122e5b8e3c6b446 и f899e9e12af41949b3601b246fffa2aa76f103c76247651f01ca6004d41f7437). Затем деньги агрегируются на балансе TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D и далее отправляются на адрес TG2tzRjDHSnuVTq6Z44BAhWhpNvgE299sc (Рис. 8). Чтобы замаскировать операции, на адрес TNRmy9bkRuHcbgxgS6vNkcFPunW8xgXY9D также поступают средства через 3 адреса-посредника: TVdNM7KNez7EinXFkuc57FN6XnNELt4yVq, TE2Xphc9Zvo6stfaqra7wKFqCjbVtK496q и TJunpRjUdinfzgVfFxAwHC5EtZzEegzt5t.
Рис. 8 - Описание пути средств с адреса TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG.
Далее, криптовалюта с TG2tzRjDHSnuVTq6Z44BAhWhpNvgE299sc была перенаправлена через цепочку транзакций на депозитные адреса крупных криптобирж: Binance (TA1RrFRmoDnxGETNzV2gh26kVEzMHPHaYB) и Kraken (TNKGoyPvdaZpE68zawE5fFmvHVxmRpnaVb). При отправке были использованы следующие адреса: TJjY7vFq6Hohr8nAqLL4n9sQDdjKNAsHhv, TDgmVGhQs78XH127bzzXWXFGUdVutGoHkw, TTS1hYDqB8ZwBLTU3etrtSXy6yvjg1VWjM.
Стоит отметить, что весь путь перемещения средства с TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG до депозитных адресов бирж Binance и Kraken также занял 2 дня: с 22 мая 2023 по 23 мая 2023.
Стоит отметить, что весь путь перемещения средства с TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG до депозитных адресов бирж Binance и Kraken также занял 2 дня: с 22 мая 2023 по 23 мая 2023.
II. Постановления о наложении ареста на имущество ASO 34/23 от 4 июля 2023 года
Отдельное внимание заслуживает Постановление о наложении ареста на имущество ASO 34/23, опубликованное 4 июля 2023 года и содержащее 26 адресов. Интересно, что несмотря на более свежую дату публикации этого списка, большинство указанных адресов перестали функционировать еще в 2022 году. Тем не менее, чтобы лучше разобраться в происходящем, мы решили изучить паттерны поведения этих адресов, формат их взаимоотношений друг с другом и выяснить, на какие сервисы в конечном итоге перенаправлялась криптовалюта.
На рисунке ниже мы можем увидеть общую схему, которая отображает взаимоотношения адресов из списка. Чтобы облегчить последовательное изучение адресов, связанных с организациями «Хезболла» и «Кудс», мы также добавили на схему несколько адресов из предыдущего списка, которые нам уже знакомы (TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG, TR2iVPD66Bm35X1JpEg5Uc8TAvw38iznVF) (Рис. 9).
На рисунке ниже мы можем увидеть общую схему, которая отображает взаимоотношения адресов из списка. Чтобы облегчить последовательное изучение адресов, связанных с организациями «Хезболла» и «Кудс», мы также добавили на схему несколько адресов из предыдущего списка, которые нам уже знакомы (TWBAPzpPiZarfVsY2BLXeaLhNHurn4wkWG, TR2iVPD66Bm35X1JpEg5Uc8TAvw38iznVF) (Рис. 9).
Рис. 9 - Список адресов из ASO 34/23 от 4 июля 2023 года.
Общий оборот по схеме: 3.13 миллиардов Долларов США.
Период активности адресов: 26.10.2020 - н.в.
Заметим, что практически все адреса в данном списке активно связаны друг с другом. Однако есть три адреса, которые выделяются, поскольку у них нет связей с остальными:
Первый адрес (TNT8WTuCoPwuYzScrHwbv5Wzw9XBwu9u3q) напрямую оперирует с биржами, обходя другие адреса из списка. Второй адрес (TY825nrM5GiztWFRQW3JpPUAGuZhWPisSA) имеет всего три транзакции на общую сумму в 23 доллара США, что кажется довольно незначительным. Третий адрес (TCWMveoWyAwkCthHC43nfgbtmAfPGXYhQD) также не имеет прямых связей с другими адресами из списка. Однако интересно то, что он и вышерассмотренный адрес TY825nrM5GiztWFRQW3JpPUAGuZhWPisSA отправляли свои средства на один общий адрес-посредник (TWpXrN3aDibwAgZospcDhstcSvQuXaBYwJ), который, в свою очередь, контактировал с некоторыми адресами из списка.
В целом, данные три адреса играют несущественную роль в схеме и не требуют более детального изучения.
Возвращаясь к других адресам, можно заметить, что большинство адресов являются адресами-посредниками. В краткие сроки они направляют полученные средства на агрегационные адреса. В свою очередь, агрегационные адреса аккумулируют балансы с адресов-посредников (или напрямую от отправителей) и занимаются “отмыванием” полученной криптовалюты через наиболее популярные биржи (Binance, Whitebit, OKX и тд). Часть средств также отмывается через иранские криптовалютные сервисы (Nobitex.ir, Bit24.cash,Excoino.com и т.д.). Добавим, что размер круга отражает оборот конкретного адреса.
Среди агрегационных адресов можно выделить:
Для удобства изложения информации, разделим общую схему на несколько блоков.
Период активности адресов: 26.10.2020 - н.в.
Заметим, что практически все адреса в данном списке активно связаны друг с другом. Однако есть три адреса, которые выделяются, поскольку у них нет связей с остальными:
- TNT8WTuCoPwuYzScrHwbv5Wzw9XBwu9u3q;
- TY825nrM5GiztWFRQW3JpPUAGuZhWPisSA;
- TCWMveoWyAwkCthHC43nfgbtmAfPGXYhQD.
Первый адрес (TNT8WTuCoPwuYzScrHwbv5Wzw9XBwu9u3q) напрямую оперирует с биржами, обходя другие адреса из списка. Второй адрес (TY825nrM5GiztWFRQW3JpPUAGuZhWPisSA) имеет всего три транзакции на общую сумму в 23 доллара США, что кажется довольно незначительным. Третий адрес (TCWMveoWyAwkCthHC43nfgbtmAfPGXYhQD) также не имеет прямых связей с другими адресами из списка. Однако интересно то, что он и вышерассмотренный адрес TY825nrM5GiztWFRQW3JpPUAGuZhWPisSA отправляли свои средства на один общий адрес-посредник (TWpXrN3aDibwAgZospcDhstcSvQuXaBYwJ), который, в свою очередь, контактировал с некоторыми адресами из списка.
В целом, данные три адреса играют несущественную роль в схеме и не требуют более детального изучения.
Возвращаясь к других адресам, можно заметить, что большинство адресов являются адресами-посредниками. В краткие сроки они направляют полученные средства на агрегационные адреса. В свою очередь, агрегационные адреса аккумулируют балансы с адресов-посредников (или напрямую от отправителей) и занимаются “отмыванием” полученной криптовалюты через наиболее популярные биржи (Binance, Whitebit, OKX и тд). Часть средств также отмывается через иранские криптовалютные сервисы (Nobitex.ir, Bit24.cash,Excoino.com и т.д.). Добавим, что размер круга отражает оборот конкретного адреса.
Среди агрегационных адресов можно выделить:
- THBPKbkuVSxNG7cq8bAvicrTm2YpMMZVKQ;
- TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq;
- TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy;
- TUtw7GQJssJ6WtBE1J2xKks7VimKP8m587;
- TPH78JPrRRDn9y3uCCW23PNYzJutpL3AKc;
- TDAegnxRRBVuRFJ1tkpmignshcu12nfoQF;
- TR2iVPD66Bm35X1JpEg5Uc8TAvw38iznVF.
Для удобства изложения информации, разделим общую схему на несколько блоков.
Часть I
Сначала рассмотрим взаимодействие следующих адресов (Рис. 10):
Стоит отметить, что два последних адреса не входят в Постановление о наложении ареста на имущество ASO 34/23 от 04 июля 2023 года, однако имеют прямое отношение к рассматриваемой схеме.
- TWvsfLNZrB8xPEeUE5Jzo94MzNYcCZ3ia8;
- TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy;
- TTxuaC7zJ5QbBhnUL2KEkQbFc5UEipE1fd;
- TUtw7GQJssJ6WtBE1J2xKks7VimKP8m587;
- TPH78JPrRRDn9y3uCCW23PNYzJutpL3AKc;
- TJXs786aim9pbYmBsYzibx4obAtiMTNyon.
Стоит отметить, что два последних адреса не входят в Постановление о наложении ареста на имущество ASO 34/23 от 04 июля 2023 года, однако имеют прямое отношение к рассматриваемой схеме.
Рис. 10 - Схема взаимодействия части адресов из Постановления ASO 34/23.
Давайте начнем изучение схемы с адреса TWvsfLNZrB8xPEeUE5Jzo94MzNYcCZ3ia8. Данный адрес принимает средства напрямую с бирж и иных криптовалютных сервисов (Рис. 11), а затем в кратчайшие сроки направляет средства на два основных адреса:
Рис. 11 - Пример транзакций адреса TWvsfLNZrB8xPEeUE5Jzo94MzNYcCZ3ia8.
Адрес TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy, помимо агрегации средств с TWvsfLNZrB8xPEeUE5Jzo94MzNYcCZ3ia8, также принимает криптовалюту от различных контрагентов. При этом схема получения криптовалюты гораздо интереснее (Рис. 12).
Рис. 12 - Схема получения средств адресом TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy.
Детальное изучении адреса TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy раскрывает интересные паттерны поведения. Мы заметили, что он получает криптовалюту, как через адреса-посредники (Рис. 13), так и напрямую от бирж. Отличие от предыдущего адреса TWvsfLNZrB8xPEeUE5Jzo94MzNYcCZ3ia8 заключается в том, что TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy аккумулирует балансы нескольких предварительных транзакций перед отправкой средств на агрегационный адрес. Как мы помним, предыдущий адрес-посредник моментально перенаправлял полученные средства каждой отдельной транзакцией.
Рис. 13 - Пример транзакций адреса TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy.
Причин такого поведения может быть несколько. Вполне вероятно, что перед нами неидентифицированный криптовалютный сервис, в котором адреса-посредники могут являться адресами депозита. Однако не все транзакции с криптовалютных бирж попадают на адрес TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy через адреса-посредники, есть и прямые переводы.
Также мы не можем исключать того, что адреса-посредники создаются специально отправителем средств. Мелкие транзакции через адреса-посредники позволяют запутать алгоритмы блокчейн аналитики криптовалютных сервисов, поскольку создают только косвенную связь с адресом TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy.
Отдельно отметим, что около 15% всех поступающих средств идут с иранских бирж, которые находятся под санкциями в большинстве стран. Такие средства не могут быть заведены на крупные биржи, так как все передовые системы блокчейн аналитики сразу же пометят данные транзакции как высокорисковые.
Поэтому владелец адреса использует “чистые” средства, полученные с крупных криптовалютных бирж. Это позволяет смешать их среди всех других активов и размыть процент высокорисковых активов в обороте. В результате, около 85% средств на балансе адреса TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy были получены от крупных платформ, таких как Binance, Huobi, OKX и других.
Но средства с данного кошелька не направляются сразу на биржи, они агрегируются на двух основных адресах:
Подчеркнем еще раз: хотя адрес TPH78JPrRRDn9y3uCCW23PNYzJutpL3AKc и не упоминается в ASO 34/23, он является агрегационным адресом для полученных средств с адреса TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy.
Кроме того, приблизительно 35% средст направляются на адрес TJXs786aim9pbYmBsYzibx4obAtiMTNyon, который также не упоминается ни в Постановлении ASO 34/23, ни в ASO 29/23. С него средства далее направляются на TN6tJv6hmzDxQSLfAgdJBqXudJWCTusen1, который, в свою очередь, направляет их на адрес неидентифицированного сервиса TBM9rsth7dYNvrE9Yq9CsZQTTiea2njjPW.
Оставшиеся 65% средств с этих адресов идут прямо или опосредованно на крупные криптовалютные биржи.
Благодаря такой схеме замешивания средств, процент средств с иранских бирж в общем уровне риска не превышает 1% для TUtw7GQJssJ6WtBE1J2xKks7VimKP8m587 и 7% для адреса TPH78JPrRRDn9y3uCCW23PNYzJutpL3AKc.
Далее начинается процесс направления этих средств на различные криптовалютные сервисы. Это делается для того, чтобы запутать алгоритмы блокчейн аналитики и уменьшить связь с «Хезболлой» и «Кудс», а также для придания им видимости законных операций. Около 90% средств были перенаправлены на самые популярные криптовалютные биржи. Затем часть этих средств была направлена обратно на иранские биржи. Чтобы наглядно проиллюстрировать этот процесс, мы создали отдельную схему (Рис. 14).
Также мы не можем исключать того, что адреса-посредники создаются специально отправителем средств. Мелкие транзакции через адреса-посредники позволяют запутать алгоритмы блокчейн аналитики криптовалютных сервисов, поскольку создают только косвенную связь с адресом TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy.
Отдельно отметим, что около 15% всех поступающих средств идут с иранских бирж, которые находятся под санкциями в большинстве стран. Такие средства не могут быть заведены на крупные биржи, так как все передовые системы блокчейн аналитики сразу же пометят данные транзакции как высокорисковые.
Поэтому владелец адреса использует “чистые” средства, полученные с крупных криптовалютных бирж. Это позволяет смешать их среди всех других активов и размыть процент высокорисковых активов в обороте. В результате, около 85% средств на балансе адреса TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy были получены от крупных платформ, таких как Binance, Huobi, OKX и других.
Но средства с данного кошелька не направляются сразу на биржи, они агрегируются на двух основных адресах:
Подчеркнем еще раз: хотя адрес TPH78JPrRRDn9y3uCCW23PNYzJutpL3AKc и не упоминается в ASO 34/23, он является агрегационным адресом для полученных средств с адреса TK8qQuPSCeQx6AKuqHLX4xycSVFNXGVWQy.
Кроме того, приблизительно 35% средст направляются на адрес TJXs786aim9pbYmBsYzibx4obAtiMTNyon, который также не упоминается ни в Постановлении ASO 34/23, ни в ASO 29/23. С него средства далее направляются на TN6tJv6hmzDxQSLfAgdJBqXudJWCTusen1, который, в свою очередь, направляет их на адрес неидентифицированного сервиса TBM9rsth7dYNvrE9Yq9CsZQTTiea2njjPW.
Оставшиеся 65% средств с этих адресов идут прямо или опосредованно на крупные криптовалютные биржи.
Благодаря такой схеме замешивания средств, процент средств с иранских бирж в общем уровне риска не превышает 1% для TUtw7GQJssJ6WtBE1J2xKks7VimKP8m587 и 7% для адреса TPH78JPrRRDn9y3uCCW23PNYzJutpL3AKc.
Далее начинается процесс направления этих средств на различные криптовалютные сервисы. Это делается для того, чтобы запутать алгоритмы блокчейн аналитики и уменьшить связь с «Хезболлой» и «Кудс», а также для придания им видимости законных операций. Около 90% средств были перенаправлены на самые популярные криптовалютные биржи. Затем часть этих средств была направлена обратно на иранские биржи. Чтобы наглядно проиллюстрировать этот процесс, мы создали отдельную схему (Рис. 14).
Рис. 14 - Описание схемы отправки средств на криптовалютные биржи.
На данной схеме иллюстрируется процесс «распыления» крупных криптовалютных балансов небольшими по объему транзакциями через множество адресов-посредников (Рис. 15). Важно отметить, что некоторые из этих адресов-посредников, с большей вероятностью, являются депозитными адресами криптовалютных сервисов, на которые направляются средства. Об этом свидетельствуют предыдущие транзакции, где были идентифицированы депозитные адреса (Рис. 16).
Однако и создание адресов-посредников злоумышленниками также не лишено смысла. Это позволяет злоумышленникам устранить прямую связь с исходными адресами и опосредованно перемещать крупные суммы без привлечения внимания автоматических комплаенс-алгоритмов криптовалютных бирж.
Стоит отметить, что мы не можем исключать принадлежность адресов TK8qQu…, TUtw7…, TPH7… к неидентифицированному криптовалютному сервису. В таком случае, перед нами могут быть операционные адреса этого сервиса, с которых осуществлялись выводы средств в интересах пользователей. Тем не менее, правоохранительные органы Израиля пометили эти адреса как связанные с деятельностью «Хезболлы» и иранскими силами «Кудс». Несмотря на возможность ошибки в маркировке, в нашем расследовании предположим, что все средства на этих адресах действительно связаны с вышеупомянутыми организациями.
Однако и создание адресов-посредников злоумышленниками также не лишено смысла. Это позволяет злоумышленникам устранить прямую связь с исходными адресами и опосредованно перемещать крупные суммы без привлечения внимания автоматических комплаенс-алгоритмов криптовалютных бирж.
Стоит отметить, что мы не можем исключать принадлежность адресов TK8qQu…, TUtw7…, TPH7… к неидентифицированному криптовалютному сервису. В таком случае, перед нами могут быть операционные адреса этого сервиса, с которых осуществлялись выводы средств в интересах пользователей. Тем не менее, правоохранительные органы Израиля пометили эти адреса как связанные с деятельностью «Хезболлы» и иранскими силами «Кудс». Несмотря на возможность ошибки в маркировке, в нашем расследовании предположим, что все средства на этих адресах действительно связаны с вышеупомянутыми организациями.
Рис. 15 - Список транзакций адреса TUtw7GQJssJ6WtBE1J2xKks7VimKP8m587.
Рис. 16 - Список транзакций адреса TUtw7GQJssJ6WtBE1J2xKks7VimKP8m587.
При этом, наше внимание также привлек TSzUJkJjBJ7myGhtfGrAZYt6TS7JzV1cuL. Данный адрес, вероятно, является депозитным адресом иранского сервиса excoino.com. Мы изучили транзакции этого адреса и заметили, что 99.9% из них представляют собой переводы с биржи CoinEx.com на иранский сервис excoino.com (Рис. 17). Единственная транзакция, которая выбивается из общего списка, связана с исследуемым адресом TUtw7GQJssJ6WtBE1J2xKks7VimKP8m587. Исходя из этого, можно предположить, что аккаунт адреса отправителя с CoinEx.com (TSzUJkJjBJ7myGhtfGrAZYt6TS7JzV1cuL) находится в прямой аффилиации с общей схемой отмывания средств.
Рис. 17 - Список транзакций адреса TSzUJkJjBJ7myGhtfGrAZYt6TS7JzV1cuL.
Часть II
Теперь рассмотрим взаимодействие адресов (Рис. 18):
Рис. 18 - Схема взаимодействия части адресов из Постановления ASO 34/23
Начнем с адреса TY3TUu4RwSDmUqQAbQ66vU3tRdkqPC19M4. Именно он является адресом-посредником, с которого впоследствии направляются средства на адреса THBPKbkuVSxNG7cq8bAvicrTm2YpMMZVKQ и TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq (Рис. 19). При этом, большинство средств с THBPKbkuVSxNG7cq8bAvicrTm2YpMMZVKQ также агрегируется на TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq.
Начнем с адреса TY3TUu4RwSDmUqQAbQ66vU3tRdkqPC19M4. Именно он является адресом-посредником, с которого впоследствии направляются средства на адреса THBPKbkuVSxNG7cq8bAvicrTm2YpMMZVKQ и TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq (Рис. 19). При этом, большинство средств с THBPKbkuVSxNG7cq8bAvicrTm2YpMMZVKQ также агрегируется на TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq.
Рис. 19 — Список транзакций адреса TY3TUu4RwSDmUqQAbQ66vU3tRdkqPC19M4.
Адрес TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq оперирует с 6 ноября 2021 года и продолжает свою активность в настоящее время. За этот период у него сменилось множество агрегационных адресов-контрагентов, на которые с него направлялись средства.
Наибольшими по объемам контрагентами являются TVPK634J7TSsB5mpv7wQuXB3uKHNBgYzfq и TBEvhxtcaCN1gzhGNpfoLCgeKRQckEsimR. Эти адреса уже использовались для отправки средств на криптовалютные сервисы, но их активность была в основном в 2022 году.
На текущий момент, наибольший интерес для нас представляют более свежие адреса, которые функционируют по настоящее время, при этом не были упомянуты в Постановлениях ASO 34/23 и ASO 29/23. Речь идет об адресах TPP2NR1QxqKGwNHoki1svj2vC42Hsv7DS3 и TEgZr9tHVz1k1UxqPWkAN6XPnDa4yu7NB1. Оба адреса агрегируют средства с ранее упомянутого TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq, а также независимо получают средства от других контрагентов. После этого, данные адреса направляют средства непосредственно на криптовалютные сервис, как показано на правой части схемы (Рис. 18).
Итак, средства, агрегированные на адресах TPP2NR1QxqKGwNHoki1svj2vC42Hsv7DS3 и TEgZr9tHVz1k1UxqPWkAN6XPnDa4yu7NB1, далее перенаправляются на криптовалютные биржи (Рис. 20).
Рис. 20 - Описание схемы отправки средств на криптовалютные биржи.
Рассмотрим конкретную транзакцию от ее происхождения до финального адреса получателя на криптовалютном сервисе. Речь идет о последнем переводе с адреса TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq от 30 июля 2023 года, на сумму в 1000 USDT (txID: 2e10ed3e4b6da5d3ec2790bad0f6e0e99596603fac6b17a88c52a074cec47833). Ниже представлена графическая схема для наглядности (Рис. 21).
Рассмотрим конкретную транзакцию от ее происхождения до финального адреса получателя на криптовалютном сервисе. Речь идет о последнем переводе с адреса TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq от 30 июля 2023 года, на сумму в 1000 USDT (txID: 2e10ed3e4b6da5d3ec2790bad0f6e0e99596603fac6b17a88c52a074cec47833). Ниже представлена графическая схема для наглядности (Рис. 21).
Рис. 21 - Описание пути средств с адреса TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq.
Если проследить по датам и объему транзакций адреса TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq, можно обнаружить, что незадолго до вывода средств был осуществлен ввод на аналогичную сумму с адреса TVrCuogYvLPKfUUHoaLypo9sYh5sQPZvES. Очевидно, что адрес TVrCuogYvLPKfUUHoaLypo9sYh5sQPZvES выполняет роль посредника в данной транзакции (Рис. 22).
Рис. 22 - Список транзакций адреса TVrCuogYvLPKfUUHoaLypo9sYh5sQPZvES.
Мы видим, что средства были получены с биржи KuCoin (TUpHuDkiCCmwaTZBHZvQdwWzGNm5t8J2b9). При чем, около 14000 USDT до сих пор находятся на данном адресе без движения.
После установления происхождения средств, необходимо узнать, куда в итоге направились средства. Исследуя даты и объемы, нам удалось выяснить, что средства были отправлены на TNVGqbptZMogW5JHCkh49mmgrm9rvgoj83. Мы полагаем, что этот адрес является депозитным адресом на бирже Binance - именно туда пришли средства с двух адресов (один из них был подробно исследован ранее). Впоследствии средства агрегировались на горячем кошельке Binance TV6MuMXfmLbBqPZvBHdwFsDnQeVfnmiuSi (Рис. 23). При этом, данная транзакция была совершена уже после публикации Постановления ASO 34/23.
Рис. 23 - Список транзакций адреса TNVGqbptZMogW5JHCkh49mmgrm9rvgoj83.
При изучении адреса-посредника TNVGqbptZMogW5JHCkh49mmgrm9rvgoj83 мы обнаружили и другие интересные транзакции. Мы заметили его взаимодействие с двумя агрегационными адресами, которые были рассмотрены в предыдущей схеме (TPP2NR1QxqKGwNHoki1svj2vC42Hsv7DS3, TEgZr9tHVz1k1UxqPWkAN6XPnDa4yu7NB1). Кроме того, он также взаимодействовал с адресом TLCtpbmULLYVR6B6ztKpB5ZEZfuPiVdiSX, который ранее нам не был известен (Рис. 24).
Рис. 24 — Описание схемы отправки средств на криптовалютные биржи.
Если изучить взаимоотношения данных адресов, то можно обнаружить интересные связи:
- Например, депозитный адрес Binance (TNVGqbptZMogW5JHCkh49mmgrm9rvgoj83) принимает транзакции от нескольких адресов, отображенных. Все средства в конечном итоге направляются на горячий кошелек Binance (TV6MuMXfmLbBqPZvBHdwFsDnQeVfnmiuSi). В данном случае, депозитный адрес используется только одним лицом, которое, предположительно, имеет прямую связь со схемой отмывания криптовалюты.
- Также, особую роль в схеме отмывания криптовалюты играет адрес TLCtpbmULLYVR6B6ztKpB5ZEZfuPiVdiSX. Он принимает криптовалюту как напрямую с криптовалютных бирж, так и с ранее известных нам адресов (TMmEYcSL4KhzJuYpRH16aLsG16YoFyYKUq, TPP2NR1QxqKGwNHoki1svj2vC42Hsv7DS3, TEgZr9tHVz1k1UxqPWkAN6XPnDa4yu7NB1). При этом, сами средства, с помощью техники «распыления», о который мы говорили ранее, направляются на депозитные адреса крупных криптовалютных бирж.
- Несмотря на то, что данные адреса были включены в постановления об аресте, криптовалютные биржи продолжают принимать средства от них, будь то прямо или опосредованно. Мы полагаем, что причиной могут быть некачественные системы блокчейн аналитики, которыми пользуются криптовалютные сервисы, поскольку они не смогли своевременно идентифицировать высокорисковые кластеры. Либо же данные сервисы сознательно принимают высокорисковые активы на свои счета.
Все транзакции были совершены недавно, и большинство из адресов никак не помечены правоохранительными органами Израиля — они свободно осуществляют транзакции с адресами из Постановлений.
Часть III
В заключительной схеме (Рис. 25) мы рассмотрим транзакции, связанные с адресом TVoJZwG6SZrpk2Y11w2WW54HyvJmKTkeqG. Интересно, что этот адрес имеет самый высокий процент криптовалюты, полученной с иранских бирж (примерно 25%) среди всех остальных адресов из Постановления ASO 34/23 (Рис. 26).
Рис. 25 - Описание схемы отправки средств на Иранские биржи.
Рис. 26 — Распределение криптовалюты с адреса TVoJZwG6SZrpk2Y11w2WW54HyvJmKTkeqG.
- Примерно 81% всех средств переводятся непосредственно или опосредованно на крупные криптовалютные биржи (Binance, OKX, KuCoin, CoinEx, Huobi и др.);
- Аналогичным образом, около 15% всех средств направляются на иранские криптовалютные биржи (Nobitex.ir, Bitpin. ir, AbanTethet.com, Wallex. ir и т. д.).
Остальные адреса из списка либо полностью повторяют особенности поведения адресов, которые уже были рассмотрены в предыдущих схемах, либо не имеют четких паттернов.
Так, к первым можно отнести адреса:
Часть балансов данных адресов агрегируется на TXtdCEdrMxTd8my6iT1fDzqwaDsHnu1mXY (адрес не указан в Постановлениях ASO 34/23 и ASO 29/23). После этого средства направляются либо на биржи, используя уже рассмотренные ранее техники, либо пересылаются на остальные адреса, отмеченные на схеме.
Адрес TU3bxJ7FRpwsfwwc7bQLa9Jr89e7UzWB3m может послужить примером второй категории. Такие адреса не являются адресами-посредниками, а также не имеют повторяющихся паттернов поведения. Вместо этого они напрямую взаимодействуют как с адресами бирж, так и другими адресами. Транзакции на них разнородны. Вероятно, такие адреса принадлежат неопознанным криптовалютным сервисам, которые продолжают свою деятельность даже после их добавления в список.
Отдельно отметим следующие адреса:
- TQLoZxoAu2arL3jCyz5ToZf4gqkmvXxtTy,
- TFS7HvL8Y7zWoSR6FroD9SGiKCpWTZLLLX,
- TCG5LT8GZu9xedHbfwo2Mea2nJJbi5QGTv,
- TY825nrM5GiztWFRQW3JpPUAGuZhWPisSA.
Эти адреса совершили всего несколько транзакций (не более 3) на небольшие суммы, переводя средства на адреса, которые принадлежат криптовалютным сервисам. В связи с этим, они не представляют интереса для нашего расследования.
Выводы
После тщательного изучения адресов, указанных в Постановлениях ASO 34/23 и ASO 29/23, командой аналитиков BitOK была выявлена схема отмывания криптовалюты, с использованием недостатках в системах блокчейн аналитики, а также техники замешивания средств.
По заявлению властей Израиля, средства из Постановлений должны были быть изъяты, однако, есть косвенные признаки, указывающие на то, что активы так и не были заблокированы. Так, например, часть адресов из Постановлений остаются активными и продолжают отправлять и получать средства с крупных криптовалютных бирж (OKX, Kraken, Binance, и т.д.). Другая часть средств продолжает движение через адреса, принадлежащие иранским криптовалютным биржам (Nobitex.ir, Bitpin.ir, AbanTethet.com, Wallex.ir и т.д.). Можно было бы предположить, что блокировка средств происходила после их поступления на биржи. Однако учитывая, что на один и тот же биржевой адрес средства заводились неоднократно, мы полагаем, что это не так.
В целях введения заблуждения комплаенс служб криптовалютных бирж, злоумышленники активно использовали адреса-посредники, на которых происходило смешивание средств, и их дальнейшее «распыление» на несколько адресов перед отправкой на адреса криптовалютных бирж.
Результаты показывают, что большая часть отмытых активов в конечном итоге концентрируется на адресах, принадлежащих бирже Binance (TNVGqbptZMogW5JHCkh49mmgrm9rvgoj83, TPR49qLrcxc4iq4QebmetrxPQW5p5XP7FS, TLrUZUL11xdfuKgQFE7BYWryUSHTggiP4k, TTVvA15DymzD6FFYVSVJcFBdpXv1oJMBkp, TA1RrFRmoDnxGETNzV2gh26kVEzMHPHaYB).
Мы также предполагаем, что часть из используемых адресов может принадлежать различным неустановленным сервисам обмена криптовалюты, так как они демонстрируют типичные паттерны поведения, характерные для таких сервисов: высокую транзакционную активность и объемы, большое количество контрагентов, а также короткий промежуток времени между вводом и выводом одинаковых сумм.
Скорее всего эти адреса продолжат свою активность и в будущем. Поэтому важно проводить их мониторинг, чтобы не допустить дальнейшего отмывания криптовалюты. Команда BitOK продолжит следить за ситуацией и улучшать системы мониторинга для предотвращения подобных инцидентов в будущем.
По заявлению властей Израиля, средства из Постановлений должны были быть изъяты, однако, есть косвенные признаки, указывающие на то, что активы так и не были заблокированы. Так, например, часть адресов из Постановлений остаются активными и продолжают отправлять и получать средства с крупных криптовалютных бирж (OKX, Kraken, Binance, и т.д.). Другая часть средств продолжает движение через адреса, принадлежащие иранским криптовалютным биржам (Nobitex.ir, Bitpin.ir, AbanTethet.com, Wallex.ir и т.д.). Можно было бы предположить, что блокировка средств происходила после их поступления на биржи. Однако учитывая, что на один и тот же биржевой адрес средства заводились неоднократно, мы полагаем, что это не так.
В целях введения заблуждения комплаенс служб криптовалютных бирж, злоумышленники активно использовали адреса-посредники, на которых происходило смешивание средств, и их дальнейшее «распыление» на несколько адресов перед отправкой на адреса криптовалютных бирж.
Результаты показывают, что большая часть отмытых активов в конечном итоге концентрируется на адресах, принадлежащих бирже Binance (TNVGqbptZMogW5JHCkh49mmgrm9rvgoj83, TPR49qLrcxc4iq4QebmetrxPQW5p5XP7FS, TLrUZUL11xdfuKgQFE7BYWryUSHTggiP4k, TTVvA15DymzD6FFYVSVJcFBdpXv1oJMBkp, TA1RrFRmoDnxGETNzV2gh26kVEzMHPHaYB).
Мы также предполагаем, что часть из используемых адресов может принадлежать различным неустановленным сервисам обмена криптовалюты, так как они демонстрируют типичные паттерны поведения, характерные для таких сервисов: высокую транзакционную активность и объемы, большое количество контрагентов, а также короткий промежуток времени между вводом и выводом одинаковых сумм.
Скорее всего эти адреса продолжат свою активность и в будущем. Поэтому важно проводить их мониторинг, чтобы не допустить дальнейшего отмывания криптовалюты. Команда BitOK продолжит следить за ситуацией и улучшать системы мониторинга для предотвращения подобных инцидентов в будущем.
ООО «Битналог», ОГРН: 1217700524084, ИНН: 9701188283
System status
All services operational
Для СМИ и партнеров:
Для вопросов и предложений:
Soon
О нас
помощь
ООО «Битналог», ОГРН: 1217700524084, ИНН: 9701188283
System status
All services operational
Для СМИ и партнеров:
Для вопросов и предложений:
Soon
О нас
помощь
Как создать иконку приложения на экране Android для быстрого запуска сайта BitOK:
Готово! Теперь ты можешь запускать наш сайт с главного экрана телефона.
Нажми на значок меню в верхней правой части экрана.
Выбери «Добавить на главный экран» и нажми «Добавить».
3.
Открой сайт BitOK в браузере Google Chrome по ссылке или QR-коду.
1.
2.
Выбери «На экран "Домой"» и нажми «Добавить».
3.
Открой сайт BitOK в браузере Safari по ссылке или QR-коду.
1.
2.
Нажми на значок «Поделиться» в нижней части экрана.
Как создать иконку приложения на экране IOS для быстрого запуска сайта BitOK:
Готово! Теперь ты можешь запускать наш сайт с главного экрана iPhone.