Log in
For business
KYT office
Compliance solution to monitor risks, detect sanctions and ensure AML rules.
KYT office
Compliance solution to monitor risks, detect sanctions and ensure AML rules.
AML certification
How industry players can get up-to-date knowledge and professional certification.
AML certification
How industry players can get up-to-date knowledge and professional certification.
Comprehensive transaction analytics that helps to build graphs and trace funds.
Graph
Travel rule
(soon)
For personal use
Telegram bot
Bot for checking crypto for risks, providing AML reports.
Telegram bot
Bot for checking crypto for risks, providing AML reports.
Crypto recovery
Services are focused on tracking
and recovering crypto assets.
Сrypto recovery
Services are focused on tracking
and recovery crypto assets.
Docs and reports
All types of documents related
to cryptocurrency.
Docs and reports
All types of documents related
to cryptocurrency.
Portfolio tracker
Information about all assets and risk assessment in one place.
Portfolio tracker
Information about all assets and risk assessment in one place.
AML checks
Сhecking wallets and transactions
for illicit funds.
AML checks
Сhecking wallets and transactions
for illicit funds.
ES
FR
中文
Вход
AML-сертификация
Актуальные знания в области AML/KYT от ведущих экспертов отрасли.
AML-сертификация
Актуальные знания в области AML/KYT от ведущих экспертов отрасли.
Graph
Визуализация перемещения активов
и связей между кошельками.
Graph
Визуализация перемещения активов
и связей между кошельками.
KYT Office
Мониторинг транзакций и кошельков для вашего отдела комплаенса.
KYT Office
Мониторинг транзакций и кошельков для вашего отдела комплаенса.
Для себя
Для Бизнеса
Travel rule
(Cкоро)
Телеграм-бот
Бот для проверки кошельков и транзакций с выдачей отчётов.
Телеграм-бот
Бот для проверки кошельков и транзакций с выдачей отчётов.
Возврат средств
Услуги по отслеживанию и возврату украденных криптоактивов.
Возврат средств
Услуги по отслеживанию и возврату украденных криптоактивов.
AML-проверки
Проверка кошельков и транзакций на наличие "грязной" криптовалюты.
AML-проверки
Проверка кошельков и транзакций на наличие "грязной" криптовалюты.
Портфолио трекер
Информация о всех активах и оценка рисков в одном месте.
Портфолио трекер
Информация о всех активах и оценка рисков в одном месте.
Отчёты
Все типы документов связанные
с криптовалютой.
Отчёты
Все типы документов связанные
с криптовалютой.
PRIVATE
Government
Financial institutions
Exchanges
PSP's
Wallets
Gambling platforms
Investment platforms
Stablecoin issuers
Investigators
Regulators
Law enforcement
Для бизнеса
Госсектор
Финансовые организации
Биржи
Платежные провайдеры
Кошельки
Игровые платформы
Инвестиционные платформы
Эмитенты стейблкоинов
Расследователи
Регуляторы
Правоохранительные органы
ES
FR
中文
13.07.2026

Черный список Tether год спустя: больше заморозок, быстрее реакция, то же окно

24 месяца наблюдений: как Tether блокирует USDT и где лазейка, через которую утекают миллионы.

Версия: 9 мая 2026 г. (продолжение первой части исследования, которая также длилась год). Период исследования: 1 мая 2024 — 9 мая 2026 (всего 24 месяца). Все исходные данные (CSV-файлы) и скрипты для анализа выложены в открытом доступе на GitHub. Детальные статистические таблицы, разборы конкретных историй и проверка методологии собраны в Приложениях A-H в конце полного отчета, который можно скачать по ссылке.

За год Tether превратился в один из главных «контролеров» криптоиндустрии. Всего за два года компания заблокировала тысячи адресов, сожгла больше $ 1 млрд USDT и наладила тесную работу с силовиками. Но сама техническая схема заморозки осталась прежней: между первой и финальной подписью в кошельке Tether все так же открывается временное окно, которое видно всем желающим. За время исследования через эту лазейку с подозрительных адресов успели вывести $ 127,6 млн USDT, и это только очевидные, «чистые» случаи, без учета спорных ситуаций.

Главные цифры исследования:
  1. $1,08 млрд USDT сожжено через destroyBlackFunds за 24 месяца;
  2. $822 млн из них — за один последний год, примерно втрое больше, чем за предыдущий;
  3. $127,6 млн утекло из окна за последний год — в 6,1 раза больше, чем $20,9 млн годом ранее;
  4. устройство мультисиг-кошелька не менялось: для подтверждения операции по-прежнему нужны 3 подписи из 6 в сети Ethereum и 2 из 3 в сети Tron. За все 24 месяца наблюдений компания ни разу не сменила владельцев ключей и не пересмотрела этот порог.

Содержание:

  1. Краткое резюме
  2. Что такое блокировка Tether и почему она важна
  3. Масштаб: блокировки стали массовыми
  4. Окно: быстрее, но по-прежнему открытое
  5. Как пользуются окном: боты вышли на поток
  6. Что происходит с замороженными USDT
  7. Атомарное уничтожение: новый прием Tether
  8. Что это значит
  9. Глоссарий

Краткое резюме

1. Заморозки со стороны Tether превратились в конвейер. За 24 месяца компания внесла в черный список 7 562 адреса. Сейчас под блокировку регулярно попадают сотни кошельков, а со счетов ежемесячно списываются десятки и сотни миллионов долларов. В основном это происходит по указке силовиков и регуляторов (среди которых Минюст США, OFAC, Секретная служба и ФБР), а также их коллег из более чем 23 стран, работающих вместе в рамках спецподразделения T3 Financial Crime Unit.

2. Объемы сжигания выросли втрое. За последний год было уничтожено $822 млн по сравнению с ~$255 млн годом ранее. Если смотреть по сетям, то на Ethereum этот показатель подскочил в 3,2 раза, а на Tron — в 3,3 раза.

3. Временное окно сузилось. Разрыв между отправкой запроса (submit) и самой блокировкой (execute) — окно submit → execute — сократился с 3 часов 10 минут до 1 часа 46 минут на Ethereum (−44%), а на Tron — с 1 часа 57 минут до 1 часа 30 минут (−23%). Более того, когда дело касается срочных совместных операций с силовиками, Tether теперь умудряется урезать это время буквально до нескольких секунд.

4. Но само окно никуда не исчезло — так устроен сам механизм. За 24 месяца правила и владельцы мультисиг-кошелька не менялись ни разу: быстрее стали работать сами сотрудники, а не код смарт-контракта. В итоге около 85% всех заморозок до сих пор проходят по старинке — через медленное и видимое для всех окно.

5. Боты поставили перехваты на конвейер. Сумма «чистого» вывода денег прямо из-под носа у Tether достигла $127,6 млн в 107 случаях блокировки — это в 6,1 раза больше, чем годом ранее. Метод не новый: это просто поставленная на поток эксплуатация все той же дыры в безопасности, которая существовала еще до публикации нашей первой части исследования в 2025 году.

6. Теперь крупные суммы теряются даже в самых узких окнах. Самый масштабный перехват на Tron составил $37,30 млн и уложился всего в 5,7 минуты. На Ethereum крупнейший куш в $27,12 млн увели за 14 минут. Так что просто снизить среднее время блокировки мало: быстрых это не останавливает.

7. По-настоящему помогает только одно — полностью избавиться от публичного окна. Тем, кто выводит деньги, его длина не так уж важна: пока между первой публичной заявкой и финальной подписью есть хотя бы один блок в блокчейне, в этот зазор всегда можно успеть втиснуться.

Что такое блокировка Tether и почему она важна

Tether как эмитент USDT изначально зафиксировал в своих правилах право блокировать токены на конкретных адресах. Компания открыто подтвердила это еще в 2017–2018 годах, когда добавила в код смарт-контракта нужные методы. Работает это через три вызова, которые могут выполнять исключительно владельцы проекта (owner-only) на контракте USDT:
  • замораживает адрес — двигать его USDT больше нельзя;
  • снимает заморозку;
  • полностью сжигает USDT на уже заблокированном адресе (при изъятии за этим обычно идет выпуск той же суммы заново на кошелек правоохранителей).
Управляет смарт-контрактом USDT мультисиг-кошелек (нужно 3 подписи из 6 на Ethereum и 2 из 3 на Tron) — и именно в этой схеме сидит уязвимость. (Юридическую сторону вопроса эксперты BitOK подробно разобрали в материале «Willkie Farr & Gallagher: юрфирма, которая может заморозить ваши стейблкоины».) Первая подпись для заморозки (submitTransaction) тут же попадает в публичный блокчейн. Но сама блокировка включится только тогда, когда доедет последняя нужная подпись. Все это время с адреса по-прежнему можно свободно выводить средства, а любой наблюдатель заранее видит, какой кошелек вот-вот заморозят. Это временное окно мы описали в исследовании BitOK еще в мае 2025 года — тогда потери от него превысили $30 млн.
Уязвимость на одной картинке: между первой подписью Tether (запрос отправлен) и последней подписью (заморозка активна) целевой адрес все еще может тратить деньги. Перехватчик выводит USDT внутри этого окна — иногда на это уходят секунды, чаще есть запас в минуты — и технически обгоняет блокировку.

Почему сейчас это важнее, чем раньше: заморозка USDT перестала быть редкой технической процедурой. Почти все блокировки за 2025–2026 годы запускаются по указке силовиков или через спецподразделение T3 Financial Crime Unit (альянс Tether, Tron Foundation и TRM Labs, созданный в августе 2024 года). Вот несколько громких примеров, по которым виден масштаб:
  • Январь 2025 — по запросу правоохранителей США заморожено $182 млн USDT на 5 кошельках в сети Tron;
  • Июнь 2025 — Минюст США подал иск о конфискации $225,3 млн, украденных по мошеннической схеме pig-butchering, отдельно отметив помощь Tether;
  • Октябрь 2025 — у подразделения T3 FCU набралось уже более $300 млн замороженных активов в 23 странах;
  • Февраль 2026 — власти Турции заблокировали $544 млн USDT, связанных с нелегальным гемблингом сети Şahin;
  • Апрель 2026 — операция «Economic Fury»: $344 млн на двух Tron-кошельках Центробанка Ирана заморожены одновременно с их внесением в санкционный список OFAC;
  • Сентябрь 2025 — Tether пообещал раскрывать данные о каждой блокировке в режиме реального времени.
Когда инструмент разрастается до таких масштабов, кратно растет и ответственность: главная уязвимость системы становится головной болью для всей индустрии. (Полную хронологию действий и заявлений Tether можно найти в Приложении A.)

Масштаб: блокировки стали массовыми

Во-первых, масштабы системы сильно выросли. За 24 месяца наблюдений Tether внес в черный список 7 562 адреса и уничтожил $1,08 млрд USDT с помощью функции сжигания средств (destroyBlackFunds) — причем $822 млн из этой суммы сгорели за последний год.
В разных сетях ситуация отличается. На Ethereum количество блокировок почти не изменилось, но сумма сожженных токенов подскочила в 3,2 раза — это значит, что под удар стали попадать гораздо более «богатые» кошельки. На Tron выросли вообще все показатели: число заморозок увеличилось в 2,4 раза, а объем уничтоженных монет — в 3,3 раза.

Здесь нужна важная оговорка: больше трети заблокированных кошельков на Tron за последний год имели на балансе меньше $100. Это своего рода профилактика — силовики и Tether заранее морозят целые сети связанных адресов, чтобы мошенники не смогли использовать их в будущем. Если не брать в расчет такие пустые кошельки-пустышки, то реальный объем зависших денег на Tron вырос в 2,1 раза. Вся статистика по рискам ниже построена исключительно на анализе кошельков с деньгами (детали можно посмотреть в Приложении C).

Оценки сторонних аналитиков подтверждают эти данные: к концу октября 2025 года подразделение T3 FCU удерживало более $300 млн в 23 странах; эксперты BlockSec насчитали $1,26 млрд заморозок на 4 163 адресах за один только 2025 год; а агентство Reuters оценивает общую сумму арестованных при участии Tether средств в $4,2 млрд в рамках более чем 1 800 расследований.

Похоже, за 2025–2026 годы Tether превратился в один из самых мощных инструментов контроля и борьбы с преступностью среди всех эмитентов стейблкоинов, и всю эту работу можно прозрачно отследить прямо в блокчейне.

Окно: быстрее, но по-прежнему открытое

После выхода нашего исследования в 2025 году все задавались одним вопросом: прикроет ли Tether эту лазейку? Если коротко, то ситуация выглядит следующим образом:

Временной зазор сократился. Обычно разрыв между подачей заявки (submit) и самой заморозкой (execute) уменьшился с 3 часов 10 минут до 1 часа 46 минут в сети Ethereum (−44%), а на Tron — с 1 часа 57 минут до 1 часа 30 минут (−23%).

Появился «экстренный режим». В некоторые месяцы среднее время ожидания падает до минимума: например, в марте 2026 года на Ethereum блокировка происходила в том же блоке (0 минут), а на Tron занимала всего 1,6 минуты. За последний год 16,3% заморозок на Ethereum и 17,3% на Tron сработали быстрее чем за две минуты. Это не единичные случаи, а системный параллельный процесс. Судя по всему, так проходят совместные операции с силовиками: подписи собирают заранее вне сети (офчейн) и отправляют в блокчейн разом за один-два блока. Тот факт, что в марте 2026 года около 90 блокировок на Ethereum проскочили в одном блоке с заявкой, для кошелька с правилом «3 подписи из 6» невозможно объяснить без предварительной координации участников.

Но стандартный, медленный режим никуда не делся. Когда у Tether есть четкая координация с органами, окно схлопывается до секунд. Когда ее нет — лазейка остается открытой на привычные несколько часов. Фактически внутри одной системы работают два разных конвейера, и около 85% всех блокировок до сих пор плетутся по медленному пути. Общая статистика улучшилась в основном из-за изменения структуры операций: экстренных случаев стало больше, и они чисто математически тянут средние показатели вниз, хотя повседневная рутинная работа быстрее не стала. «Длинные хвосты» (затянутые блокировки) тоже на месте: в месяцы массовых облав на Tron средняя длительность окна и вовсе вырастала почти вдвое (полные таблицы с максимальными задержками и детальный анализ таких серий блокировок лежат в Приложении B).

Вывод: уязвимость никуда не исчезла. В техническом устройстве кошельков ничего не менялось: все те же 6 подписантов с порогом в 3 голоса на Ethereum и 3 участника с порогом в 2 голоса на Tron. За 24 месяца в блокчейне не зафиксировано ни одного изменения состава владельцев или правил (OwnerAddition, OwnerRemoval или RequirementChange). Точка входа для перехвата денег осталась прежней — это все та же публичная заявка (submit), которая видна за минуты или часы до реального ареста средств.

Но имеет ли значение длина этого окна для тех, кто выводит деньги? Ответ на этот вопрос пугает: самые крупные суммы улетали как раз в те моменты, когда окно было максимально коротким.

Как пользуются окном: боты вышли на поток

За последний год перехватчики — те, кто вытягивает USDT с адреса в промежутке между первой и последней подписью Tether, — увели $127,6 млн. И это только «чистые» случаи: $52,4 млн в сети Ethereum (14 блокировок) и $75,3 млн на Tron (93 блокировки). Годом ранее по этой же статье потерь проходило $20,9 млн в 62 случаях. То есть объем упущенных средств вырос в 6,1 раза — и это по самому строгому критерию, который мы используем в расчетах.

С другой стороны, эта оценка заведомо занижена из-за жестких критериев отбора: примерно $51 млн подозрительных случаев (категории racing, partial и weak) мы вынесли в отдельные CSV-файлы для ручного AML-анализа.

«Чистый» (clean) — это самая строгая из пяти наших категорий: перехватчик успел вывести не менее 95% от исходного баланса, так что к моменту финальной заморозки на адресе осталось не более 5%. Другими словами, кошелек именно опустошили под ноль, а не просто зафиксировали на нем случайное движение средств. (Полную схему деления на категории clean / racing / partial / weak / noise и суммы по ним можно найти в Приложении D.)
Перехваты на Tron в основном по силам даже человеку: в 78% случаев на реакцию оставалось не меньше 10 минут, так что молниеносный MEV-инструментарий тут не требовался. Сумма чистых (clean) выводов: $13,4 млн → $75,3 млн (рост в 5,6 раза). На Ethereum типичный временной отрыв от финальной подписи сократился с 46 до 10 минут (в 4,5 раза), но всю статистику здесь определяет один мощный выброс: на крупнейший случай ($27,12 млн) приходится 51% всей суммы, а на семь крупнейших — 89%.

В полученных данных четко выделяются три главные момента:
  • Это отлаженный конвейер, а не разовые акции. Деньги перехватывали и до нашего первого материала ($20,9 млн годом ранее — далеко не ноль), но за последний год процесс превратился в готовую инфраструктуру. На Tron этот конвейер стабильно работал еще с 2024 года, а теперь вырос в 5,6 раза в деньгах и в 1,9 раза по числу инцидентов, при этом типичный отрыв от финальной подписи сократился со 145 до 86 минут. На Ethereum рост суммы в 7 раз держится в основном на одном крупном выбросе — главный кейс ($27,12 млн) покрывает половину всей годовой суммы, — но при этом зона реакции меньше минуты, которая годом ранее пустовала, теперь плотно забита целой серией инцидентов.
  • Далеко не везде работают боты. На Tron в 78% «чистых» перехватов у злоумышленников было как минимум 10 минут между публичным вызовом submit и выводом средств — этого времени вполне достаточно для человека: нужны лишь уведомление в Telegram и заранее подготовленная транзакция. Молниеносная реакция на уровне MEV-ботов (меньше минуты) составляет всего 2% случаев на Tron, но зато занимает сразу 36% на Ethereum (включая целую серию выводов с отрывом всего в 24–96 секунд от финальной подписи — человек физически не способен так среагировать, это чистая автоматика). Уязвимость одна и та же, но используют ее и вручную, и кодом — а значит, закрывать лазейку нужно полностью.
  • Короткие временные окна больше никого не спасают. Самый крупный перехват за всю историю — на сумму $37,30 млн в сети Tron 5 июня 2025 года — произошел в окне длительностью всего 5,7 минуты. Бот опередил финальную подпись Tether примерно на 120 секунд и за 4 минуты полностью прогнал всю сумму через пул ликвидности SunSwap V3 в токен TRX. После такого обмена вызов функции addBlackList становится бесполезным — на адресе больше нет USDT, и сжигать регуляторам просто нечего. Крупнейший случай на Ethereum ($27,12 млн 26 июля 2025 года) аналогично уложился в 14 минут. Инфраструктура вывода средств развивалась параллельно со слоем входа: теперь под рукой у перехватчиков настроенные каналы кросс-чейн мостов (Chainflip, Near Intents), готовые шаблоны для быстрых DEX-свопов и даже прямые маршруты на аккаунты бессрочных фьючерсов. Современный злоумышленник не просто пытается обогнать мультисиг-кошелек — он моментально уходит в другие активы, к которым функция destroyBlackFunds неприменима в принципе. (Полные цепочки транзакций, разбор адресов-получателей, техническое устройство бота и вопросы атрибуции приведены в Приложении E.)

Что происходит с замороженными USDT

Чтобы увидеть всю картину целиком, давайте проследим судьбу каждого доллара. Мы взяли все адреса, которые Tether планировал заблокировать, зафиксировали их балансы на момент подачи заявки (submit) и проверили, куда ушли эти деньги. Вариантов оказалось ровно шесть:
  1. Так и остались заморожены — деньги до сих пор лежат нетронутыми в черном списке.
  2. Сожжены позже — их уничтожили в обычном режиме, через несколько дней или недель после блокировки.
  3. Сожжены моментально (атомарно) — их уничтожили в том же самом блоке сети, где произошла заморозка.
  4. Разморожены — позже Tether исключил эти адреса из черного списка, вызвав функцию removeBlackList.
  5. Перехвачены в «окне» (чистый вывод) — деньги успели вывести до того, как блокировка окончательно вступила в силу.
  6. Прочий отток в «окне» — спорные переводы и обычное движение средств в этот короткий промежуток времени.
В сети Tron доля перехваченных в «окне» средств, со времени первого исследования, выросла с 1,2% до 3,9% от всех целевых USDT ($75,3 млн). При этом показатель «все еще заморожено» в 86,9% кажется завышенным: дело в недавних операциях силовиков, из-за которых средства еще просто не успели сжечь. В сети Ethereum после нашей первой публикации примерно каждый пятый доллар из тех, что планировали заблокировать, избежал долгой заморозки: $52,4 млн (13%) успели перехватить и вывести, а еще $31,9 млн (8%) Tether сжег моментально. При этом доля размороженных средств упала с 18,8% всего до 1,2%.
Главный вывод: в Ethereum после того, как мы опубликовали данные, примерно каждый пятый доллар перестал оседать на «мертвых» заблокированных адресах. Перехватчики успели выдернуть 13,0% ($52,4 млн), а сам Tether моментально сжег еще 7,9% ($31,9 млн). В то же время доля размороженных адресов рухнула с 18,8% до 1,2% — Tether практически перестал амнистировать кошельки и возвращать их в оборот (это подтверждают и независимые эксперты из BlockSec, которые оценили долю разморозок за 2025 год всего в 3,6%).

Однако здесь нужно сделать две важные оговорки, без которых цифры в таблице могут сбить с толку.

Во-первых, показатель Tron «86,9% все еще заморожено» высок только потому, что эти блокировки совсем свежие. Последние месяцы были переполнены крупными операциями правоохранительных органов ($461 млн в январе 2026 года и $457 млн в апреле 2026 года), и до уничтожения этих монет просто еще не дошли руки. Если учесть этот временной фактор, то за последний год Tether стал сжигать монеты даже активнее, чем раньше (42,3% против 31,8% для аналогичных блокировок возрастом 12–18 месяцев), так что темпы работы они не сбавляли (детальную таблицу по возрасту блокировок можно найти в Приложении G).

Во-вторых, есть еще один денежный поток, который вообще прошел мимо этой статистики: за два года на 463 адреса пришло $65,7 млн USDT уже после того, как эти кошельки официально попали в черный список. Эти деньги сгорели при первой же следующей зачистке. То есть пользователи сами, своими руками, отправили средства на публично заблокированные адреса. Причем $36,7 млн из этой суммы ушло на Tron даже после сентября 2025 года, когда Tether запустил систему оповещений в реальном времени. Вывод простой: прозрачность — это хорошо, но от обычной невнимательности она не спасает.

Атомарное уничтожение: новый прием Tether

Пока перехватчики вовсю осваивали свою сторону «окна», работа самого Tether тоже менялась. Самое заметное нововведение: функции addBlackList и destroyBlackFunds теперь срабатывают в одном и том же блоке. То есть заморозка и сжигание происходят одновременно, без привычной паузы в несколько дней или недель, которая раньше требовалась для одобрения двух отдельных цепочек мультисига (подписей от нескольких участников).

Это тренд 2025 года. Если поднять всю историю USDT в сети Ethereum (начиная с запуска в ноябре 2017 года, а это около 20,4 млн блоков), то за период с 2017 по 2024 год набралось всего 4 такие моментальные пары операций на скромные $1,78 млн. А вот один только 2025 год выдал сразу 7 пар на внушительные $32,0 млн. В сети Tron такой подход почти не используют (всего $0,034 млн в двух парах): там работает схема мультисига «2 из 3» и само временное окно короче, поэтому Tether может вполне безопасно сжигать монеты уже постфактум.

Но за этими $32 млн скрываются две совершенно разные истории. Если добавить единственный аналогичный случай мая 2026 года (на скромные $1,4 тыс.), получится восемь пар за весь 24-месячный период исследования — и семь из этих восьми случаев в Ethereum — это просто «уборка мелочи» (когда остатки в размере от $1,4 тыс. до $100 тыс. на уже заблокированных группах адресов зачищали одним махом вместо двух подходов). А вот практически вся остальная сумма — это один-единственный случай: $31,77 млн, которые ушли 8 ноября 2025 года с контракта AIDAlphaWithdraw протокола GAIB, буквально на следующий день после того, как проект открыл вывод средств.
Все это очень похоже на спланированную операцию по изъятию: деньги на контракт переводили крупные институциональные игроки, и, скорее всего, средства конкретных вкладчиков просто пометили и конфисковали прямо «на входе». Впрочем, официальных подтверждений этому нет. Ни GAIB, ни Tether никак не прокомментировали этот случай, так что нельзя исключать и другие версии вроде взлома смарт-контракта или его использования для отмывания денег. Записывать все эти мелкие кошельки вместе с кейсом GAIB в общие «$32 млн совместной работы с силовиками» было бы натяжкой. С уверенностью говорить об этом можно только в контексте GAIB (полную таблицу и хронологию событий мы вынесли в Приложение F).

Моментальное уничтожение доказывает главное — Tether технически полностью к этому готов. Когда компании нужно, чтобы блокировка и сжигание прошли в один миг и без всяких временных окон для вывода, она легко это делает. Однако пользуется Tether этим инструментом очень выборочно: например, крупные публичные операции агентства T3 за этот же период все так же проводились по старинке, в два отдельных этапа.

Что это значит

Tether стал действовать быстрее, но сам публичный разрыв во времени никуда не делся. А пока стандартный процесс оставляет это «окно» открытым, шустрые игроки продолжат выстраивать вокруг него свою инфраструктуру.

Данные за год говорят скорее не о том, что Tether проигрывает эту гонку, а о поиске некоего баланса. Компания делом доказала, что при срочной необходимости может сжимать временное окно до считанных секунд, а если нужно — и вовсе до нуля, сжигая монеты моментально.
Но и перехватчики дали понять, что длина этого окна для них не критична: они успели вывести $37,30 млн всего за 5,7 минуты. Современные сервисы вывода позволяют буквально за пару минут конвертировать USDT в другие активы, которые уже никак не сжечь. В итоге быстрее стали обе стороны, а дистанция между ними осталась прежней.

Важный факт: даже после того, как на Tron запустили обновление черного списка в реальном времени, пользователи умудрились отправить $36,7 млн на уже заблокированные адреса. Поэтому наш совет с 2025 года остается прежним: перехватчикам не так важна длительность окна — им достаточно, чтобы между первой публичной заявкой и финальной подписью был хотя бы один блок сети. Настоящих решений этой проблемы по-прежнему три:
  1. Проводить операцию addBlackList моментально (атомарно), собирая все подписи вне сети (офчейн) и отправляя их одной готовой транзакцией.
  2. Согласовывать подписи непублично, чтобы они попадали в один блок без предварительного появления в общем доступе (через бандлы (комплекты) Flashbots на Ethereum или прямой канал к супер-представителям на Tron).
  3. Создать отдельный аварийный смарт-контракт с заранее подготовленным пакетом разрешений для экстренных случаев.
Пока ни один из этих вариантов не реализован. Если Tether официально запустит такую «быструю полосу» вместо того, чтобы каждый раз проводить ускоренные блокировки вручную — это и станет ключевым изменением в системе, за которым действительно стоит следить.

Глоссарий

addBlackList

функция смарт-контракта USDT, доступная только владельцу контракта (мультисиг-кошельку Tether). Вызов addBlackList(addr) блокирует конкретный адрес, после чего переводить с него USDT становится невозможно.

removeBlackList

функция смарт-контракта USDT, доступная только владельцу контракта. Вызов removeBlackList(addr) снимает ранее наложенную блокировку адреса и возвращает возможность переводить с него USDT.

destroyBlackFunds

функция, которая безвозвратно сжигает (уничтожает) токены USDT на кошельке, который уже находится в черном списке. Обычно при конфискации эту же сумму выпускают заново, но уже на официальный кошелек правоохранительных органов. Функция сработает только в том случае, если адрес уже заблокирован.

submitTransaction

первая стадия в работе мультисига. Команда предлагает заблокировать адрес и сразу ставит первую подпись, тем самым открывая публичное окно. Эту транзакцию видно в блоке еще до того, как блокировка вступит в силу.

окно submit → execute

временной зазор между моментом, когда в мультисиг-кошельке появляется первая подпись за блокировку (операция submitTransaction, которую видно в публичном блокчейне), и финальной подписью, которая эту блокировку фактически активирует. Пока это «окно» открыто, владелец кошелька все еще может свободно выводить свои USDT. Именно эту уязвимость мы и оцениваем в нашем исследовании.

мультисиг (Gnosis-classic)

тип кошелька, который управляет смарт-контрактом USDT. Для одобрения операции требуется собрать 3 подписи из 6 в сети Ethereum или 2 из 3 в сети Tron. Это конкретная техническая архитектура: функция submitTransaction сразу создает предложение и автоматически ставит первую подпись от автора, а последняя необходимая подпись исполняет команду в рамках той же самой транзакции. За все 24 месяца наших наблюдений состав этих кошельков ни разу не менялся.

перехватчик (в отличие от wallet drainer)

любой игрок, который выводит USDT с атакуемого адреса в промежутке между submit и execute. Это может быть как полностью автоматический MEV-бот, так и человек, который получил уведомление в Telegram и вручную отправил заранее подготовленную транзакцию. Не путайте их с фишинговыми «скриптами-опустошителями» (wallet drainers), которые выманивают подписи через поддельные сайты — у них совершенно другой принцип работы.

атомарное уничтожение (atomic destroy)

одновременный вызов функций addBlackList и destroyBlackFunds в одном и том же блоке. Заморозка и сжигание происходят в один миг, не оставляя временного зазора. Этот прием сам Tether начал практиковать только в 2025 году.

clean

самая строгая из пяти категорий перехвата: адрес полностью опустошен — боты вывели не менее 95% средств, а к моменту блокировки на кошельке осталось 5% или меньше. Только «чистые» случаи попадают в нашу ключевую статистику.

racing

категория перехвата: боты забрали весь стартовый баланс, но пока окно было открыто, на адрес пришли новые депозиты. Часто совпадает с кошельками крупных сервисов; для итоговой статистики вынесена в отдельный файл на ручной разбор.

partial

категория перехвата: злоумышленник забрал большую часть денег (от 50% до 95% баланса), но не все. Требует отдельного анализа и в ключевую статистику не входит.

weak

категория перехвата: умеренный вывод средств (от 5% до 50% баланса) — скорее обычная активность пользователя, чем работа бота.

noise

категория перехвата: минимальные остатки, «пыль» или внутренние технические проводки (менее 5% баланса). В расчеты не берется.

bal_sub

балансовый маркер: баланс адреса в момент подачи заявки на блокировку (submit).

bal_exe

балансовый маркер: баланс адреса в момент фактического включения блокировки (execute).

OwnerAddition

техническое событие мультисиг-кошелька, фиксирующее добавление нового владельца (подписанта). За 24 месяца в обеих сетях не произошло ни одного такого события.

OwnerRemoval

техническое событие мультисиг-кошелька, фиксирующее удаление владельца (подписанта). За 24 месяца в обеих сетях не зафиксировано.

RequirementChange

техническое событие мультисиг-кошелька, фиксирующее изменение числа необходимых подписей (порога). За 24 месяца в обеих сетях не зафиксировано — правила заморозки оставались неизменными.

бандл Flashbots

закрытый приватный канал управления очередностью транзакций в сети Ethereum. Позволяет провести заморозку внутри одного блока так, чтобы ее никто не увидел заранее.

кросс-чейн мост

инструмент быстрого вывода средств между блокчейнами (например, Chainflip или Near Intents): переводит активы в другую сеть. Как только USDT ушел через мост в другой актив, функция destroyBlackFunds становится бесполезной.

DEX-своп

обмен токенов через децентрализованный обменник (DEX вроде SunSwap или Uniswap). Позволяет быстро поменять USDT на другие токены; после обмена сжечь средства через destroyBlackFunds уже невозможно.

pig-butchering

термин индустрии («откармливание свиней») для многоэтапных мошеннических инвестиционных схем, на которые приходится львиная доля всех блокировок USDT.

T3 FCU (T3 Financial Crime Unit)

совместный операционный центр, созданный компаниями Tether, Tron Foundation и аналитиками TRM Labs в августе 2024 года. Стал ключевым каналом для проведения заморозок по запросам правоохранительных органов в период 2025–2026 годов.

Перейти

Чтобы узнать о тарифах, нажмите сюда

Попробуйте демо-версию AML-сервиса для вашего бизнеса