Минус $ 344 млн: что стоит за одной из крупнейших заморозок Tether

23 апреля 2026 года эмитент самого капитализированного стейблкоина Tether (USDT) — компания Tether — заморозила $ 344,2 млн USDT на двух адресах в сети TRON:

Заморозка оказалась одной из крупнейших единовременных блокировок стейблкоина в 2026 году. Причиной, по мнению аналитиков BitOK, стала связь адресов с мошенническими схемами, включая обналичивание украденной крипты.

Tether не раскрыла, кому принадлежат адреса. Также кошельки не фигурируют в списке SDN (Specially Designated Nationals — перечень лиц и организаций под санкциями США, который ведет OFAC, Управление по контролю за иностранными активами Минфина США).

Анализ блокчейн-следа помог инвестигейторам BitOK выяснить, что под блокировку попало холодное хранилище целого расчетного узла, обслуживающего схемы pig butchering (инвестиционное мошенничество, при котором к жертве втираются в доверие, а затем убеждают ее вложить деньги в фиктивную платформу), санкционированные площадки и подпольную обналичку.

Через кластер из 10 адресов за 2021−2023 годы прошло $ 1,78 млрд USDT, а суммарный оборот этой мошеннической экосистемы приближается к $ 3 млрд. Из них ≈$ 657 млн — чистые внешние входы ($ 640 млн через четыре агрегатора и ~$ 17 млн прямых крупных депозитов от доверенных клиентов в горячие кошельки), $ 740 млн — внутренние переводы между узлами кластера (ротация горячих кошельков, перемещение в холодное хранение), $ 313 млн — внешний перевод через транзитных посредников, $ 344 млн осели в двух холодных хранилищах и заморожены Tether. Баланс сходится: $ 657 млн вход = $ 313 млн выход + $ 344 млн заморозка.

Операции, связанные с двумя замороженными адресами. Инфографика составлена при помощи Graph от BitOK.

Заморожены не два отдельных кошелька, а финальное звено продуманной инфраструктуры. Кластер из 10 адресов выстроен в классическую архитектуру подпольного внебиржевого обменника (OTC-деска — посредника, работающего с клиентами напрямую, минуя публичные биржи) с тремя уровнями.

Кошельки, принимавшие средства от внешних клиентов. Через них прошло $ 640 млн чистых депозитов. Крупнейший из них, TRQyU5aU1A, обработал $ 325 млн за год работы с февраля 2022-го по март 2023-го.

Речь про кошельки, постоянно подключенные к сети для оперативной обработки транзакций. Через адреса шла обработка потока активов. Их было четыре, и они сменяли друг друга в строгой последовательности: каждый новый открывался в день закрытия предыдущего. Такая ротация — типичная схема подсанкционного OTC-деска, снижающая риск обнаружения и заморозки. Крупнейший из горячих кошельков, TD2BiYkih, пропустил через себя $ 380 млн.

В этом случае мы говорим про адреса для долгосрочного хранения, отключенные от активных операций. Именно их заморозили.

TNiq9AXBp9 принял $ 228 млн, из которых $ 212,9 млн заморожены; TTiDLWE6 — $ 140 млн, заморожено $ 131,3 млн. Средства оседали на этих адресах и более не двигались.
Прямая связь между двумя холодными кошельками подтверждается транзакцией от 7 января 2022 года: $ 8,6 млн ушли напрямую с TTiDLWE6 на TNiq9 (tx 7ff5a0c5…).

Профиль контрагентов раскрывает масштаб и географию операции.

Через цепочку кошельков инвестигейторы обнаружили связи кластера с платформами Xinbi, Huione Guarantee и HuionePay. Предположительно, заморожена часть средств, связанных со скам-центрами в Камбодже, работавшими по схеме pig butchering.

Интересно! Схема pig butchering крайне популярна в Камбодже по ряду причин: из-за сочетания высокого уровня коррупции, наличия закрытых экономических зон и готовой инфраструктуры пустующих зданий, контролируемых международными криминальными синдикатами. В 2024 году аналитики BBC пришли к выводу о том, что масштабы pig butchering дошли до половины ВВП Камбоджи.

Главная улика — это $392,7 млн, прошедших через камбоджийскую платформу Huione Pay. В 2025 году FinCEN признала ее ключевым узлом отмывания денег для «скам-центров» Юго-Восточной Азии, а связанный с ней маркетплейс Huione Guarantee обслуживает криминальные транзакции как минимум с 2022 года.

Связь прослеживается через многоуровневое трассирование (подробнее — в разделе про российский след). В апреле 2024 года федеральный суд в Атланте предъявил обвинения по делу Huione International Pay.

Помимо HuionePay, в цепочках экспозиции обнаружено более 30 уникальных скам-проектов в схеме pig butchering:

Аналитики BitOK пришли к выводу о том, что кластер системно обслуживал десятки разных мошеннических операций.

При этом первичное происхождение средств, осевших в холодных хранилищах, остается неустановленным. Блокчейн-трассирование показывает, куда деньги уходили и через какие сервисы проходили, но не позволяет однозначно идентифицировать конечный источник — особенно при глубине кластера в десятки промежуточных переводов и множестве схем перемешивания средств.

Заметка инвестигейтора: заморозка может быть частью очередного этапа давления США на экосистему: камбоджийских скам-центров и китайских структур, которые выступают прослойкой для перемещения и легализации средств.

$59,2 млн связей прослеживается с Garantex — биржей с российскими корнями, которая находится под санкциями OFAC с апреля 2022 года, а с марта 2025-го — под уголовным преследованием Минюста США. Профиль контрагентов кластера в целом указывает на выраженный русскоязычный сегмент.

Аномально высокую долю на входящей стороне — 16–26% у главных-узлов кластера — занимает MaskEX.com, базирующаяся в ОАЭ биржа с активной русскоязычной клиентской базой. При этом на исходящей стороне MaskEX дает всего 0,01–1%.

Важно! Аналитики BitOK пришли к выводу о том, что MaskEX.com выступала главным каналом залива USDT: клиенты покупали стейблкоин на MaskEX и заводили его в OTC-деск, а не выводили туда. Это чистый паттерн закупа. Сбыт реализовывался уже через HuionePay и биржи.

В целом биржевой профиль кластера типичен для крупного теневого внебиржевого обменника:

Проверка всех 24 ключевых узлов сети (10 ядра + 5 партнеров + 9 транзитов) на предмет прямых переводов с 571 известным помеченным адресом — HuionePay, MaskEX, Garantex, Tether-блэклисты, скам-площадки и другие — дала одно попадание: партнер TPRUTj98 получил $453 тыс. от одного HuionePay-адреса в период октябрь 2023 — январь 2024 года, уже после сворачивания основного кластера. Все остальные связи — HuionePay ($392,7 млн), Garantex ($59,2 млн), MaskEX и десятки блэклист-кластеров — на 100% косвенные.

Средняя глубина цепочки от холодных хранилищ до Garantex составляет 8,5–8,8 операции, до HuionePay — 10,3 операции. Максимальные цепочки достигают 25–28 посредников. Это маркер профессионального OTC-деска: между ядром и любым слишком приметным сервисом стоит цепочка из 5–10 коротких транзитных кошельков, которые ротируют каждые 3–6 месяцев. Мелкие операторы так себя не ведут — такая дисциплина характерна для крупных подсанкционных игроков с внутренней комплаенс-командой.

Первый адрес кластера — холодное хранилище TNiq9AXBp9 — создан 4 марта 2021 года. К лету того же года запущены первые три горячих кошелька. Система выходит на проектную мощность к началу 2022-го. В этот период:

Пиковый месяц — январь 2023 года: $124 млн ушли на TNiq9. Но уже в феврале кошелек начали сворачивать. 24 февраля 2023-го проходят последние крупные переводы: $30 млн уходят в холодное хранилище TTiDLWE6, TNiq9 получает последние $153 тыс.

Дальше — стремительное закрытие. 14 марта 2023 года останавливается крупнейший агрегатор TRQyU5aU1A ($325 млн). Примечательно, что уже на следующий день, 15 марта, Франкфуртская прокуратура совместно с Европол проводит операцию против *миксера ChipMixer, которым, вероятно, пользовались мошенники. 23 марта останавливается основной горячий кошелек TD2BiYkih ($381 млн). К маю 2023-го прекращает работу последний агрегатор.

*Совпадение сворачивания кластера с операцией против ChipMixer — очень сильный сигнал. Он указывает на то, что мошенники знали о грядущем расследовании или были непосредственно им затронуты.

С мая 2023-го по апрель 2026-го — три года тишины. Единственная активность на адресах кластера — так называемое «отравление адресов» (address poisoning): злоумышленники создавали клоны адресов с совпадающими первыми и последними символами и отправляли на настоящие адреса микроскопические суммы (1–10 USDT), рассчитывая, что оператор случайно скопирует поддельный адрес из истории транзакций и отправит на него крупный перевод. Подтверждено минимум шесть таких пар. Ни одна атака не сработала — операторы распознавали подмену.

$313 млн, ушедшие из кластера наружу, попали не на биржи напрямую, а в девять транзитных узлов, через которые прошло более 83% всего внешнего оттока.

Ноды перенаправляли средства далее — преимущественно в экосистему HuionePay. Особняком стоит TRJvQFUWwSmnk5rgM8m4HgE6Csj2qPEupX: он собрал $217 млн (из которых $40 млн от нашего кластера), отправил 92,7% исходящего потока в HuionePay и продолжал функционировать до ноября 2025 года — спустя 2,5 года после сворачивания основного кластера.

Финальная волна оттока в апреле–мае 2023 года — $107 млн на три адреса от последнего работавшего агрегатора TEqbDjaQp2 — это не распределение клиентам, а перенос капитала в новую инфраструктуру.

Кластер из 10 адресов работал не изолированно. Он функционировал как расчетный узел для пяти и более крупных OTC-партнеров с аналогичным профилем.

У всех партнеров схожий профиль экспозиции: HuionePay 9–24%, Garantex 1–3%. Но в отличие от ядра кластера, они продолжали работать до 2024–2025 годов — после сворачивания центрального узла потоки перераспределились по другим каналам. Суммарный экосистемный оборот приближается к $3 млрд USDT.

Заметка инвестигейтора: чем дальше, тем чаще заморозки затрагивают уже не отдельных скамеров, а платежные и гарантийные узлы, через которые проходили крупные объемы средств.

Короткий ответ — из-за бюрократии. Средства в холодных хранилищах не двигались с февраля 2023 года.

Заморозка стала результатом расследования, в котором, судя по всему, приняли участие регуляторы нескольких юрисдикций. Совокупные признаки указывают на совместную работу немецких и международных следователей с последующим запросом в Tether на блокировку средств.

Заморозка $344 млн — не уникальное событие. С 2025 года правоохранительные органы США и международные регуляторы ведут масштабную кампанию по разрушению криптоинфраструктуры, которая обслуживает мошенничество. В том числе, под процедуру заморозки попала Garantex.