Глубокое расследование: Как криптовалюта стала инструментом киберпреступников?

1. История расследования

Основанный на распределенном консенсусе и экономических стимулах, блокчейн предлагает новые решения для создания, хранения и передачи ценностей в открытом, не требующем разрешения сетевом пространстве. Однако с быстрым ростом криптоэкосистемы в последние несколько лет криптовалюта все чаще используется в различных рискованных видах деятельности, обеспечивая более скрытый и удобный метод передачи стоимости для онлайн-гемблинга, черной индустрии в Интернете, отмывания денег и других видов деятельности.

Между тем, криптовалюта - это одна из ключевых инфраструктур в криптоиндустрии. Большое количество компаний, работающих в сфере web3, также используют стабильные монеты, такие как USDT, в качестве основного способа сбора средств и осуществления платежей. Однако в таких компаниях, как правило, отсутствуют надежные механизмы контроля рисков, такие как AML, KYT и KYC, в результате чего USDT, использованные для рискованной деятельности, массово перетекают на бизнес-адреса, нанося ущерб средствам, находящимся на адресах компании и клиентов.

Этот отчет призван раскрыть методы и масштабы использования криптовалюты в рискованной деятельности, а также отследить движение средств, связанных с рискованной деятельностью, путем анализа данных о цепочке, чтобы пролить свет на угрозу рискованных криптовалютных средств для компаний web3.

2. Объекты исследования

Социальный вред, наносимый незаконной и преступной деятельностью в Интернете, становится все более серьезным. Этот вред включает в себя не только прямое посягательство на личную собственность и социальную общественную безопасность, но и косвенные правовые риски для физических или юридических лиц, вызванные тем, что добывающие и перерабатывающие отрасли связаны с незаконной и преступной деятельностью. В последние годы все страны активизировали свои усилия по пресечению незаконной и преступной деятельности в Интернете и добились определенного прогресса в области уголовного законодательства и экологических исследований Интернета. Однако киберпреступность все еще остается насущной проблемой, которую еще предстоит полностью искоренить, особенно с появлением новых киберпространств, таких как блокчейн. Традиционные азартные онлайн-игры, подпольная онлайн-индустрия, отмывание денег и т.д. - все они использовали криптовалюту или криптоинфраструктуру в рискованной деятельности. Это, в свою очередь, создает препятствия для соответствующей правовой идентификации и контроля со стороны правоохранительных органов.

2.1 Азартные игры онлайн

Азартные игры - это ставки деньгами или материальными ценностями на событие с неопределенным исходом. Главная цель - выиграть больше денег или материальных ценностей, и в то же время участники получают духовное удовольствие от игры с деньгами и имуществом. Онлайн-гемблинг относится к азартным играм с использованием Интернета, представленным в различных видах. В принципе, все основные методы азартных игр в реальной жизни могут быть реализованы в Интернете.

В Китае любой, кто создает сайт азартных игр в компьютерной сети с целью получения прибыли или выступает в качестве агента сайта азартных игр для приема ставок, подпадает под категорию "открытие казино", как указано в статье 303 Уголовного закона. Если граждане Китайской Народной Республики собираются для азартных игр или открывают казино в близлежащих районах за пределами территории нашей страны с целью привлечения граждан Китайской Народной Республики в качестве основного источника клиентов, и это представляет собой преступление в виде азартных игр, они также могут быть привлечены к уголовной ответственности в соответствии с положениями Уголовного закона.

Однако в других странах или регионах юридические определения азартных игр и открытия казино отличаются:

Согласно Постановлению об азартных играх Гонконга (Китай), за исключением регулируемых скачек, футбольных ставок и лотереи Mark Six, или других лицензированных игорных заведений (например, салонов маджонга), а также игорной деятельности, освобожденной от закона, другие виды игорной деятельности являются незаконными;

Согласно Закону США о борьбе с незаконными азартными играми в Интернете, проведение операций с сайтами азартных игр в Интернете через финансовые учреждения является незаконным. Однако законодательство штатов неоднородно, и существуют различия в определении направления правоприменения в отношении законов об азартных играх в Интернете, а также незаконной и связанной с ними деятельности.

Согласно заявлению Бюро инспекции и координации азартных игр Макао (Китай), правительство САР Макао никогда не выдавало лицензий на онлайн-гемблинг. Поэтому любая информация и сайты, рекламирующие азартные игры онлайн от имени правительства САР Макао, являются ложными и незаконными. Публика, которая проводит азартные игры онлайн на таких сайтах, не защищена законами САР Макао.

Как видно, онлайн-гемблинг не является незаконным во всех странах или регионах, и игровые средства, используемые платформами онлайн-гемблинга, которые лицензированы и регулируются местными органами власти, не могут считаться средствами риска. Поэтому расследование деятельности Bitrace в сфере онлайн-гемблинга ограничивается игровыми платформами, которые управляют игорным бизнесом без лицензии, агентами игровых платформ, которые принимают ставки от пользователей вне рамок лицензий на деятельность, и платежными учреждениями, которые предоставляют услуги по расчету средств для первых двух.

Традиционные платформы для онлайн-гемблинга и их агенты, например, заведения, помогают игрокам рассчитываться, создавая собственные централизованные системы пополнения, транзакций и вывода средств в криптовалюте или получая доступ к криптовалютным платежным инструментам. Такое поведение будет трудно регулировать или обеспечивать государственными органами из-за анонимного характера криптовалюты. В сети блокчейн создаются новые хэш-платформы для онлайн-гемблинга. Ставки игроков, расчеты по ставкам, осадки и сбор средств - все это управляется с помощью смарт-контрактов, с более широким распространением и быстрым развитием и изменениями.

2.2 Подземная индустрия Интернета

Под киберподпольными отраслями понимаются крупномасштабные и цепные отрасли, которые формируются в процессе осуществления или помощи в осуществлении незаконной и преступной деятельности с помощью различных технических средств с целью получения незаконной выгоды в киберпространстве. По сути, они предназначены для получения незаконной выгоды или нарушения экологического порядка в Интернете. В настоящее время криптовалюта и некоторые инфраструктуры криптоиндустрии значительно интегрировались во всю экологию подземных сетей.

Внедряя криптовалюты в незаконную деятельность или используя криптоинструменты для замены оригинальных технических средств, традиционная подпольная интернет-индустрия увеличивает обманчивость и разрушительность некоторых видов незаконной деятельности, а также снижает вероятность того, что восходящие и нисходящие действия не будут замечены или подвергнуты санкциям со стороны государственных ведомств. Новая подпольная индустрия блокчейна напрямую нацелена на криптоактивы инвесторов или учреждений, что является незаконной и преступной деятельностью, присущей криптоиндустрии.

Этот отчет раскрывает лишь некоторые из типичных видов подпольной деятельности, в которой используется криптовалюта.

2.3 Отмывание денег

Отмывание денег - это акт легализации незаконных доходов. В основном это относится к использованию незаконного дохода и полученного дохода для сокрытия и утаивания его источника и природы с помощью различных средств, чтобы придать ему законную форму. Его действия включают, но не ограничиваются предоставлением счетов капитала, помощью в конвертации форм собственности, помощью в переводе средств или их перечислении за границу. Криптовалюты - особенно стейблкоины - довольно рано стали использоваться для отмывания денег благодаря их низкой стоимости перевода, дегеографизации и некоторым антицензурным характеристикам. Это одна из главных причин, по которой криптовалюты подверглись критике.

Традиционная деятельность по отмыванию денег часто использует внебиржевой рынок криптовалют для обмена с легальной валюты на криптовалюту или с криптовалюты на легальную валюту. Сценарии отмывания денег различны, и формы разнообразны, но независимо от этого, суть такого поведения заключается в том, чтобы помешать сотрудникам правоохранительных органов расследовать финансовые связи, включая счета в традиционных финансовых учреждениях или счета в криптовалютных учреждениях.

В отличие от традиционной деятельности по отмыванию денег, объектом отмывания в новой криптовалютной деятельности является сама криптовалюта, а инфраструктура криптоиндустрии, включая кошельки, межцепочечные мосты и децентрализованные торговые платформы, будет использоваться незаконно.

3. Использование криптовалюты в азартных онлайн-играх

3.1 Как криптовалюта используется на традиционных платформах онлайн-азартных игр

В последние годы стало очень распространенным явлением, когда онлайновые игорные платформы и их агенты принимают криптовалюту в качестве фишек, в том числе:

Некоторые онлайн-платформы для азартных игр самостоятельно создали полностью централизованные системы управления криптовалютными депозитами, транзакциями и снятием средств. Чтобы получить фишки, игрокам необходимо приобрести криптовалюту (в основном USDT) на сторонней платформе и перевести ее на депозитный адрес, назначенный платформой онлайн-гемблинга каждому игроку. После того, как игрок инициирует заявку на вывод валюты, платформа начнет работу с унифицированного адреса горячего кошелька и переведет средства на целевой адрес, а логика ее работы соответствует логике работы основных криптовалютных торговых платформ.

Некоторые онлайн-платформы для азартных игр предоставляют игрокам каналы пополнения и вывода средств с помощью криптовалютных платежных инструментов. Азартные игроки не вносят USDT непосредственно на платформу онлайн-гемблинга, а переводят деньги на счет платежной платформы, и потребности в выводе средств также удовлетворяются последней. Расчеты между платформами онлайн-гемблинга и платежными платформами происходят регулярно, поэтому их деловые данные могут быть добыты путем сопоставления средств.

Возьмем для примера платформу для азартных игр, которая использует USDT для приема ставок. Платформа помогает игрокам вносить депозиты и снимать средства в USDT, подключаясь к криптовалютной платежной платформе. Компания Bitrace провела аудит фонда по одному из адресов "горячих" кошельков. В период с 27 января 2022 г. по 25 февраля 2022 г. по этому адресу было обработано в общей сложности более 1,332 млн. запросов на ввод и вывод средств в USDT от игроков.

В ходе анализа фондов выяснилось, что, как правило, онлайн-платформы для азартных игр с большим масштабом бизнеса будут создавать свои собственные функциональные разделы для депозита и вывода средств в криптовалюте, в то время как большинство малых и средних онлайн-платформ для азартных игр будут использовать криптовалютные платежные платформы. По данным мониторинга платформы аудита рисков адресных фондов DeTrust, в период с сентября 2021 по сентябрь 2023 года в общей сложности более 46,45 млрд. USDT поступило непосредственно на традиционные платформы онлайн-гемблинга или криптоплатежные платформы, предоставляющие услуги по вводу и выводу средств для платформ онлайн-гемблинга.

Среди них - изменения в масштабах фондов онлайн-гемблинга в 2021 году, соответствующие развитию вторичного рынка криптовалют в том же году. Рост масштабов с ноября 2022 года по январь 2023 года может быть связан с большим количеством азартных игр во время проведения Чемпионата мира по футболу в том году.

Анализ источников USDT с адресов, переданных платформам онлайн-гемблинга, показывает, что более 7,43 млрд. USDT поступило непосредственно с централизованных торговых платформ, что составляет 16% от общего притока. Эта партия средств либо вносится игроками непосредственно с адреса биржи на платформу онлайн-гемблинга, либо казино и его агенты осуществляют оборот средств через торговую платформу. Учитывая, что средства второго уровня других адресов также поступают с централизованной торговой платформы, эта цифра явно занижена. Это говорит о том, что централизованные криптовалютные торговые платформы используются для обслуживания индустрии онлайн-игр.

3.2 Как новая криптовалюта хэш используется в онлайн-гемблинге

Каждой транзакции в блокчейне будет соответствовать уникальное хэш-значение. Это значение генерируется случайным образом и не может быть подделано. Поэтому некоторые онлайн-платформы для азартных игр разработали игру по угадыванию хэша, основанную на этом. Правило заключается в угадывании хэша транзакции: угадайте, является ли последняя цифра или цифры четными или нечетными, большими или маленькими, по которым определяется исход угадывания и делятся ставки.

Возьмем для примера типичный игровой процесс "Угадай номер хвоста". Игроку необходимо инициировать перевод на адрес ставки. Если хэш-значение перевода заканчивается определенной цифрой или буквой, игрок выигрывает, а платформа возвращает дубль после вычета некоторого количества очков; если последние цифры не совпадают, игрок проигрывает, и фишки не возвращаются.

Поэтому такие адреса онлайн-игр в цепочке часто проявляются как высокочастотные транзакции средств с фиксированной суммой с несколькими адресами, что приводит к огромным масштабам взаимодействия средств.

Наконец, благодаря большому количеству вариантов игровых автоматов и платформ, этот вид азартных онлайн-игр был когда-то очень популярен благодаря быстрому темпу и честному игровому процессу. Однако из-за того, что игровой процесс слишком прозрачен, а средства легко похищаются хакерами, масштабы и доля рынка этих игр значительно сократились.

4. Использование криптовалюты в подпольной индустрии

4.1 Как криптовалюта используется в традиционной подземной индустрии

4.1.1 Инвестиционное и финансовое мошенничество

Инвестиционное и финансовое мошенничество - это один из видов мошенничества с онлайн-инвестициями. Мошенники часто выдают себя за "экспертов в отрасли" через социальные сети и другие каналы и заманивают жертву на ложную платформу (обычно APP), понимая, заботясь о жертве и уговаривая ее, тем самым обманывая ее в отношении инвестиционных средств. В этих мошеннических APP инвесторы начинают вкладывать большие суммы после получения небольшой или даже большой прибыли, полученной в результате инвестирования, азартных игр, покупки и продажи товаров, покупки и продажи ценных бумаг и т.д. Однако на данный момент практически все средства будут потеряны и никогда не будут восстановлены. Когда жертва обнаружила, что средства в APP нельзя "вывести", а с так называемыми "экспертами" нельзя связаться, он внезапно понял, что его обманули.

В последние годы этот вид традиционного мошенничества с онлайн-инвестициями также начал использовать криптовалюту или криптоинструменты для обмана, взяв в качестве примера эмоциональное мошенничество и подпольное мошенничество с бенчмарком USDT.

4.1.1.1 Эмоциональное мошенничество

Эмоциональное мошенничество часто сочетается с инвестиционным, но основными жертвами становятся пользователи не криптовалют. Мошенники создают идеальные онлайн-личности и используют форму онлайн-знакомств, чтобы склонить партнеров по онлайн-знакомствам к покупке USDT для участия в криптовалютных инвестициях, таких как арбитраж на валютной бирже, торговля деривативами, добыча ликвидности и т.д.

Жертва зарабатывает большую сумму денег на своих "инвестициях" за короткий промежуток времени, и ее побуждают инвестировать еще больше. Но на самом деле USDT жертвы не участвовал в так называемой арбитражной деятельности. Вместо этого, после перевода на платформу, она была передана для отмывания. В то же время, запрос жертвы на вывод средств отклонялся платформой по различным причинам, пока жертва, наконец, не обнаруживала, что ее обманули.

4.1.1.2 Подпольное мошенничество с бенчмарком USDT

Подпольный бенчмарк USDT - это мошеннический метод, замаскированный под отмывание денег. Платформа, как правило, утверждает, что является платформой для приема заказов, предназначенной для отмывания средств USDT, вовлеченных в дело, но на самом деле это инвестиционная афера. Как только участники инвестируют большую сумму USDT, платформа откажется возвращать деньги по разным причинам.

Возьмите в качестве примера "подпольную платформу для бенчмарков USDT", которая все еще работает. Он позволяет пользователям использовать "чистые USDT" для обмена на "подземные USDT" по "обменному курсу" 1:1.1~1.45. Пользователь собирает подземные USDT и затем переводит их на другие платформы для продажи, а лишняя часть - это доход от "скоринга" пользователя.

На данный момент банда мошенников незаконно получила более 870 000 USDT тем же способом. 784 независимых адреса перевели USDT на мошеннические адреса, но только 437 адресов получили деньги обратно. Почти половина участников не преуспела в "арбитраже".

4.1.2 Поддельный APP

Поддельные приложения - это те приложения, которые злоумышленники используют различные средства, чтобы перепаковать настоящие приложения и выдать их за подлинные. Поддельные приложения, объединяющие криптовалюту, в основном включают в себя поддельные кошельки и поддельные приложения Telegram.

4.1.2.1 Поддельный кошелек APP

Кража валюты из поддельного кошелька APP - это метод кражи денег путем побуждения других людей скачать и установить поддельный кошелек APP с черным ходом, чтобы украсть начальную фразу кошелька, а затем незаконно перевести чужие активы. Похитители монет размещают ссылки на загрузку поддельных APP-кошельков в поисковых системах, неофициальных магазинах мобильных приложений, на социальных платформах и других каналах. После того, как жертва скачает и установит приложение и создаст или синхронизирует адрес кошелька, начальная фраза будет отправлена похитителю монет. Как только жертва переведет большую сумму криптоактивов, украденные монеты будут переводиться партиями или автоматически.

В настоящее время этот метод получил широкое промышленное распространение. Бизнес команды по разработке фальшивых кошельков и команды по эксплуатации и продвижению полностью разделены. Первый участвует только в разработке и обслуживании продукта и продает решения, нанимая агентов по всему миру; второму нужно только продвигать поддельный кошелек APP. Вам даже не нужно понимать принципы шифрования.

Кража нескольких подписей - это вариант кражи фальшивых кошельков. Технология мультиподписи означает, что несколько пользователей подписывают цифровой актив одновременно. Можно просто понять, что на счету кошелька есть несколько человек, имеющих право подписи и платежа одновременно. Если адрес может быть подписан и оплачен только одним закрытым ключом, выражение равно 1/1, а выражение мультиподписи - m/n. То есть, всего n закрытых ключей могут подписать аккаунт, и Вы можете оплатить транзакцию, когда ее подпишут m адресов.

Суть традиционной кражи фальшивых кошельков заключается в том, чтобы разделить с жертвой права на управление кошельком. Похититель монет не может помешать жертве перевести активы. Однако, основываясь на принципе технологии мультиподписи, похититель монет немедленно интегрирует мультиподпись в адрес жертвы после того, как жертва установит поддельный кошелек APP. Когда личный адрес добавляется к мультиподписи, сам владелец кошелька не сможет переводить активы в кошельке, а сможет только вводить, но не выводить, а похититель валюты сможет перевести активы в любое время, которое часто зависит от времени, когда жертва переводит большие суммы.

4.1.2.2 Поддельное приложение Telegram APP

Типичным применением поддельных APP в криптовалютной подпольной индустрии является вредоносная имплантация бэкдора в APP Telegram. Telegram APP - это социальное программное обеспечение, широко используемое криптовалютными инвесторами, и многие внебиржевые торговые операции опираются на это программное обеспечение. Мошенники будут использовать методы социальной инженерии, чтобы побудить цель "скачать" или "обновить" поддельное приложение Telegram APP. Как только целевой пользователь введет адрес блокчейна в чат, вредоносная программа определит его, заменит и отправит вредоносный адрес, заставив контрагента, который не знает об этом, отправить средства на вредоносный адрес.

4.1.3 Гарантия оплаты третьей стороной для подземной промышленности

Гарантия оплаты третьей стороной означает, что после того, как покупатель и продавец достигли намерения или соглашения о товарной сделке в режиме онлайн, покупатель сначала оплачивает платеж третьей стороне, а третья сторона временно хранит его. После того, как покупатель получает товар и проверяет его, он уведомляет об этом стороннего посредника, после чего сторонний посредник производит оплату продавцу для завершения всей сделки. На самом деле, это метод онлайн-платежей, при котором в качестве кредитного посредника используется третья сторона, временно контролирующая оплату товаров как для покупателей, так и для продавцов до того, как покупатель подтвердит получение товара. Во время этой операции сторонний посредник будет взимать определенный процент за обслуживание.

В настоящее время некоторые подпольные сторонние платформы гарантирования платежей, помимо традиционных легальных валютных каналов, также начали широко использовать Tether (в основном trc20-USDT) в качестве гарантированных средств для предоставления услуг, включая нелегальный обмен валюты, нелегальные товарные операции и сбор нелегальных средств. Услуги по гарантированию платежей предоставляются для транзакций, включая агентские платежи и криптовалютные транзакции, задействованные в деле. Несмотря на то, что типы транзакций различаются, процесс транзакций одинаков.

Обычно один из продавцов и покупателей платит платформе, гарантирующей оплату, за размещение объявления в рекламной зоне, либо в определенной области сайта, либо в официальной группе Telegram. В объявлении будет подробно указан тип транзакции, требования к транзакции и способ оплаты.

После завершения переговоров между покупателем и продавцом им необходимо связаться со службой поддержки платформы гарантирования платежей, чтобы создать "специальную группу". Специальная группа - это непубличная группа телеграмм, используемая только для передачи транзакций. Его членами являются покупатели, продавцы и роботы специальных групп. В принципе, транзакции "один-ко-многим" не допускаются, а также не допускается добавление нерелевантного персонала.

Продавцу необходимо, чтобы покупатель перевел оплату на официальный счет гарантийной платформы и предоставил сертификат. Этот процесс называется "стайлинг". Торговец уведомит продавца о необходимости доставить товар после подтверждения оплаты; затем продавец начнет отправлять товар после получения уведомления о доставке от торговца. Затем покупатель подтверждает получение товара и уведомляет торговца об освобождении кредита. Получив от покупателя подтверждение о получении или уведомление о займе, торговец вычитает комиссию, выдает займ продавцу и предоставляет ваучер о займе; наконец, продавец подтверждает получение платежа, и сделка завершается.

Платформа не выделяет пользователям независимые адреса для изоляции средств в каждой транзакции. Вместо этого все вклады отправляются на один и тот же адрес вклада в течение определенного периода времени. Таким образом, на этот адрес напрямую поступает большое количество средств, связанных с онлайн-гемблингом и подпольной индустрией, отмыванием денег и другими рискованными средствами. В то же время, из-за огромного объема средств, он также в определенной степени запутывает направление движения средств и создает препятствия для деятельности следователей по отслеживанию.

Аудит известных адресов платформ, гарантирующих незаконную торговую деятельность, показал, что за последние 12 месяцев размер гарантированных ими средств имел тенденцию к росту, включая более 17,07 миллиардов USDT в сети TRON и более 670 миллионов USDT в сети Ethereum, что указывает на то, что большинство незаконных сделок, обеспеченных такими платформами, происходит в сети TRON.

4.2 Новые способы использования криптовалюты в подземной индустрии

4.2.1 Кража монет через авторизацию

Кража монет через авторизацию - это техника кражи валюты, при которой незаконно переводятся чужие активы путем кражи прав управления USDT с чужих адресов. Публичные цепочки, такие как Tron и Ethereum, позволяют пользователям передавать права на эксплуатацию определенного актива в кошельке на другие адреса. Таким образом, последний получит права на управление частью или всеми активами адреса и сможет в любой момент обратиться к договору для передачи разрешенных активов в адрес.

Этот вид вредоносного запроса на авторизацию для кражи валюты обычно маскируется под платежную ссылку, доступ к airdrop-требованию, интерактивный контракт и другие honeypots. Как только жертву побудят к взаимодействию, актив в адресе - обычно это USDT - будет авторизован получателю без ограничений и передан с помощью метода "TransferFrom" в более позднее время.

Похитители монет часто обманывают жертву, заставляя ее нажать на фишинговую ссылку и запустить мошеннический смарт-контракт. На данный момент начальная фраза кошелька жертвы не утекает. Поэтому некоторые потери все же можно возместить, вовремя отменив авторизацию.

4.2.2 Фишинг с нулевым переводом

Фишинг с нулевым переводом - это мошенничество, направленное на криптовалютных инвесторов, которые не используют приложения для кошельков должным образом. Отправив большое количество транзакций USDT с суммой 0 на неопределенный адрес блокчейна, можно увеличить запись взаимодействия целевого адреса без разрешения. Если неустановленное лицо попытается скопировать адрес из существующей записи о переводе на смарт-устройстве при инициации перевода на адрес, можно отправить средства на неправильный адрес, что приведет к убыткам.

Компания Bitrace провела анализ фонда на большом количестве мошеннических адресов, которые были отмечены как фишинговые в сети Tron, и определила транзакции с суммами переводов менее 1 USDT с этих адресов как фишинговую деятельность, а транзакции на сумму более 10 USDT - как мошеннические поступления.

Наши исследования показывают, что активность и масштабы ущерба от фишинговых действий с нулевой передачей расширяются. На данный момент более 451 миллиона средств USDT в сети TRON были потеряны в результате фишинговых атак.

4.2.3 Мошенничество с фальшивой платформой для арбитража монет

Распространенный способ арбитражного мошенничества с использованием фальшивых монет-платформ заключается в том, что мошенник ложно утверждает, что разработал некий "умный арбитражный контракт". Участникам достаточно вложить в контракт определенное количество криптовалюты, чтобы получить избыточное количество другой известной криптовалюты, такой как Binance Coin, Huobi Points и OKX Coin. Получив "арбитражную прибыль", участники могут получить прибыль, ликвидировав ее на стороннем торговом рынке.

На ранних этапах тестирования с небольшими суммами действительно будут возвращаться настоящие избыточные криптовалюты, но как только жертва вложит большую сумму, будут возвращаться фальшивые токены, которые не имеют никакой рыночной стоимости. Эта техника мошенничества стара, но эффективна, и в сообществе криптовалютных инвесторов до сих пор существует большое количество ее разновидностей. Это не только наносит финансовый ущерб обычным инвесторам, но и наносит негативный урон фирменному капиталу самозванца.

4.2.4 Торговля адресами крутых счетов Tron

Как и в случае с традиционной подпольной деятельностью, преступникам в подпольной криптоиндустрии также необходимо создавать или приобретать виртуальные личности перед осуществлением незаконной и преступной деятельности. В традиционной подпольной деятельности это банковские счета и информация о личности. В подпольной криптовалютной деятельности это адрес блокчейна. Обычно такие адреса настраиваются и получаются от профессиональных провайдеров крутых адресов.

В азартных играх онлайн операторы игорных платформ Hash часто пользуются адресами крутых счетов Tron. Они будут массово приобретать "крутые" счета у профессиональных поставщиков услуг "крутых" счетов и использовать эти счета в качестве бизнес-адресов для реализации таких функций, как прием и оплата средств, хранение, передача или прием ставок, расчеты по средствам и т.д.

В подпольной деятельности кастомизация крутых аккаунтов прямо породила более утонченный вариант рыбалки с нулевой передачей - рыбалку с одним и тем же номером хвоста. По сравнению с обычными широко распространенными нулевыми переводами USDT, нацеленными на неконкретные объекты блокчейна, фишинг с одинаковыми номерами часто носит индивидуальный характер. Мошенники скопируют первые и последние цифры часто используемых адресов контрагентов и переведут больше денег.

Стоимость такой рыбалки высока. Согласно котировкам определенного поставщика услуг по обслуживанию крутых счетов TRON, можно увидеть, что восьмизначный настраиваемый адрес доставляется за 12 часов и продается за 100 USDT. Тот же восьмизначный счет стоит всего 100 USDT.

Помимо поставщиков услуг "крутых" аккаунтов TRON, некоторые поставщики услуг группового чат-робота Telegram APP, поставщики услуг исходного кода веб-сайтов, поставщики услуг инструмента пакетной передачи данных, поставщики услуг быстрой постановки в очередь SEO и другие группы также оказывают подобную помощь участникам незаконной деятельности. В этой статье мы не будем подробно рассказывать о том, как извлечь из этого выгоду.

5. Как криптовалюта используется в деятельности по отмыванию денег

5.1 Формы использования криптовалюты в традиционном отмывании денег

Использование криптовалют в традиционной деятельности по отмыванию денег направлено на перевод платежей от пользователей с высоким уровнем риска на счета пользователей с низким уровнем риска, тем самым обходя меры контроля рисков со стороны платежных учреждений. Обычно это принимает форму обмена легальной валюты, участвующей в деле, на криптовалютные средства на внебиржевом рынке криптовалют или обмена криптовалютных средств, участвующих в деле, на легальную валюту, чтобы заблокировать связь с капиталом и избежать отслеживания и преследований.

Типичный сценарий отмывания украденных денег заключается в том, что после того, как мошенники обманом завладевают наличными жертвы, они быстро разбивают средства на небольшие суммы и переводят их на несколько банковских карт подряд, а затем организуют "продавцов карт" для снятия наличных, после чего переправляют наличные на частных лицах, автомобилях, самолетах или общественном транспорте в место расположения банды, занимающейся отмыванием денег. В прошлом эти деньги часто использовались для покупки товаров или конвертировались в иностранную валюту и выводились из страны, но сейчас они чаще всего используются для покупки USDT в оффлайне. Затем эта партия USDT будет либо конвертирована в наличные на внебиржевом рынке криптовалют, либо напрямую вывезена из страны или других групп отмывания денег для дальнейшей обработки. В этом процессе важную роль играют внебиржевые рынки нелегальной торговой платформы USDT, платформа для гарантирования платежей и централизованная торговая платформа.

5.1.1 Нелегальная платформа USDT

Нелегальная платформа USDT - это новый способ отмывания денег. Ее основная модель заключается в объединении операций с цифровыми валютами с традиционными "эталонными" платформами. Во-первых, организаторы платформы набирали трейдеров USDT, покупая большие суммы USDT и переводя их на зарубежные биржи, чтобы продать их и заработать на разнице в цене. Затем они потребовали, чтобы торговцы зарегистрировали счета обмена цифровых валют на свои настоящие имена и привязали банковские карты на свои личные имена. Переводчикам необходимо приобрести определенное количество USDT в качестве торгового депозита и поставить его на "эталонную" платформу. Организатор платформы откроет для передающего счет на платформе, чтобы отметить количество и цену единицы USDT, доступных для продажи, на основе суммы депозита USDT, внесенного передающим, а также запишет банковский счет получателя и другую информацию. Когда зарубежным телекоммуникационным мошенникам и другим преступным группировкам нужно получить украденные деньги, они сначала размещают у передающей стороны заказ на покупку USDT через платформу "benchmark", а затем поручают жертве перевести деньги на банковский счет, зарезервированный передающей стороной на платформе. Когда жертва переводит свои средства на счет мошенника, тот подтверждает транзакцию на платформе, тем самым завершая первый перевод украденных денег. После этого переводчик использовал украденные деньги, чтобы продолжать покупать USDT на бирже и выводить монеты на платформу бенчмаркинга в повторяющемся цикле, зарабатывая на разнице в цене USDT и комиссии платформы в процессе.

Этот вид деятельности банды, занимающиеся отмыванием денег, называют "косвенным получением USDT", что может помочь преступникам и бандам, занимающимся отмыванием денег, полностью избежать риска кражи денег и аутентификации реального имени на торговой платформе.

5.1.2 Команда бенчмарков

Помимо найма эталонного персонала для отмывания украденных денег, отмыватели денег также часто используют более прямую модель "эталонной команды" для отмывания денег. Форма в основном та же, что и у нелегальной торговли USDT, но разница в том, что в модели "эталонной команды" внебиржевые криптовалютные сделки происходят в оффлайне и осуществляются наличными. Сначала руководитель группы набирает большое количество реальных людей для регистрации реальных именных счетов банковских карт. Когда преступники (так называемые "владельцы материала") незаконно получают украденные деньги (так называемый "материал"), они связываются с лидером команды через незаконную стороннюю платформу гарантирования платежей, чтобы принять заказы; затем большая сумма средств разделяется и переводится на несколько банковских карт под контролем команды. Если деньги являются "черными деньгами", полученными из первых рук, они называются "материалом из первых рук". Если это подержанные или бывшие в употреблении черные деньги, они называются "подержанными материалами" и "бывшими в употреблении материалами", из которых последние имеют меньшие финансовые риски и меньшие комиссионные; затем руководитель группы поедет с водителем за соответствующим владельцем карты, чтобы снять наличные в местном банкомате. После многократного снятия наличных лидер команды продолжит использовать свой личный или общественный транспорт для перевозки наличных в указанное место для проведения оффлайн-транзакций; наконец, при вмешательстве сторонней платформы гарантирования платежей лидер команды переводит наличные целевой организации, чтобы заработать комиссионные, а другая сторона переводит USDT на гарантийный адрес, чтобы завершить процесс отмывания денег.

Этот вид деятельности по отмыванию денег принимает форму многоуровневых переводов на банковские счета, снятия наличных в банкоматах и оффлайновых криптовалютных транзакций. Это не только многократно прерывает связь для отслеживания средств, но и обходит контроль банковских средств.

Компания Bitrace провела аудит фондов на некоторых адресах в сети Tron, которые были отмечены как имеющие риск отмывания денег и с суммой фонда, превышающей 1 миллион USDT. Период проведения аудита - с сентября 2021 года по март 2023 года, а содержание аудита - перевод USDT.

Данные показывают, что с сентября 2021 года по март 2023 года на адреса с риском отмывания денег в сети TRON поступило в общей сложности более 64,25 млрд. USDT, и на масштабы средств не повлиял медвежий рынок на вторичном рынке криптовалют. Нетрудно заметить, что участники бизнеса не являются инвесторами в истинном смысле этого слова.

5.2 Как криптовалюты по-новому используются для отмывания денег

Для киберпреступников, работающих в криптоиндустрии, анонимные биржи, основанные на криптографической инфраструктуре и обфускации цепочки, являются наиболее распространенными методами отмывания средств.

5.2.1 Путаница в средствах на цепочке

Платформы для разделения фондов на цепочки и смешивания валют - самые распространенные каналы путаницы в фондах.

Разделение средств означает, что преступники используют сложные и многоуровневые транзакции для поэтапного перевода виртуальных валют через различные адреса кошельков и счетов, и, наконец, переводят их на адреса кошельков зарубежных сообщников, тем самым разрывая связь между вводом и выводом капитала и размывая виртуальную валюту. Этот метод одинаково эффективен при отмывании криптовалютных денег и является распространенным способом, используемым практиками для работы со средствами в подпольной индустрии.

Возьмите в качестве примера адресную канву дела о мошенничестве в сфере инвестиций и финансирования. После сбора зашифрованных средств жертвы, незаконная прибыль расходилась по нескольким каналам финансирования и, наконец, собиралась на нескольких адресах обменных счетов для вывода средств.

Смешивание монет - это смешивание криптовалюты пользователя с валютами других пользователей, а затем перевод смешанной валюты на целевой адрес, чтобы скрыть первоначальный путь движения валюты, что затрудняет отслеживание источника и места назначения криптовалюты. Поэтому многие платформы для смешивания криптовалют попали под санкции правительств разных стран, включая самую известную Tornado.cash, на которую Управление по контролю за иностранными активами (OFAC) Министерства финансов США наложило санкции 8 августа 2022 года. Некоторые из связанных с ними адресов Ethereum включены в список специально созданных в США. После включения в этот список имущество и имущественные права физических или связанных с ними организаций окажутся под угрозой замораживания.

Но, несмотря на это, поскольку контракт на смешивание валют Tornado.Cash является публичным и нелицензированным, другие пользователи все равно могут выполнять действия по смешиванию валют, напрямую обращаясь к этому контракту. Возьмем для примера атаку OnyxProtocol, которая произошла 1 ноября 2023 года. Злоумышленник получил комиссию за обработку адреса через платформу для смешивания валют и в дальнейшем отмывал средства.

5.2.2 Анонимный обмен по цепочке

Торговые платформы без KYC и межцепочечные мосты - два наиболее важных канала анонимного обмена внутри цепочки.

До сих пор, за исключением нескольких физических адресов, на которые были наложены санкции, этот тип инфраструктуры шифрования не применял более жесткого контроля рисков в отношении рискованных шифровальных средств или адресов шифрования с высоким уровнем риска. В результате нелегальные средства часто могут быть обменены на эти адреса сразу после атаки.

Возьмем в качестве примера атаку Nirvana Finance, которая произошла 25 июня 2023 года. После того, как злоумышленник незаконно получил зашифрованные средства учреждения-жертвы, он немедленно перевел часть средств на THORWallet DEX, который является безразрешительной и высокоприватной децентрализованной торговой платформой, позволяющей пользователям напрямую осуществлять межцепочечные обмены между блокчейнами без раскрытия информации о транзакциях. Поэтому THORWallet можно увидеть во многих инцидентах, связанных с безопасностью шифрования, которые происходили в прошлом.

6. Рискованные шифровальные средства загрязняют корпоративные адреса web3

6.1 Устранение загрязнения на централизованных торговых платформах

Централизованные торговые платформы - одно из самых важных мест для отмывания рискованных средств USDT. В этом отчете компания Bitrace проверила 126 адресов горячих кошельков распространенных централизованных торговых платформ, а также провела аудит криптовалютных фондов, связанных с онлайн-гемблингом, подпольными индустриями и деятельностью по отмыванию денег. Также была полностью изучена ситуация с их притоком с января 2021 года по настоящее время.

С января 2021 года по сентябрь 2023 года на некоторые централизованные торговые площадки сети Tron поступило в общей сложности более 41,52 миллиарда USDT, подверженных риску, включая 22,579 миллиарда USDT, связанных с азартными играми в Интернете, 10,570 миллиарда USDT, связанных с подпольными активами, и 8,373 миллиарда USDT, связанных с отмыванием денег.

С января 2021 года по сентябрь 2023 года на некоторые централизованные торговые площадки сети Ethereum поступило в общей сложности более 3,315 миллиардов рискованных USDT, включая 1,1 миллиарда USDT, связанных с онлайн-гемблингом, 1,842 миллиарда USDT, связанных с подпольной индустрией, и 372 миллиона USDT, связанных с отмыванием денег.

Из общего количества рисковых средств и доли рисковых средств нетрудно понять, что масштаб незаконного использования USDT в сети Tron больше, чем в сети Ethereum, а доля рисковых средств в категории онлайн-гемблинга выше. Это соответствует тому, что наблюдалось на практике. Ситуация неизменна - агенты казино и обычные игроки предпочитают использовать Tron USDT, чтобы сэкономить на комиссии за обработку.

6.2 Загрязнение рынка безрецептурных препаратов

В дополнение к внебиржевому сектору централизованных торговых платформ, некоторые платежные платформы, группы криптовалютных инвесторов и сообщества акцепторов создадут внебиржевые рынки определенного масштаба. На таких площадках отсутствуют полноценные механизмы KYC и KYT, и они не могут обрабатывать транзакции. Трудно судить о риске капитала контрагента, трудно ограничить рискованные средства впоследствии, и в него часто будет поступать большая доля рискованных USDT.

Компания Bitrace провела аудит фондов по адресам с типичными характеристиками внебиржевого рынка и размером фонда более 1 миллиона USDT. Данные показывают, что за последние два года на эти адреса поступило не менее 3,439 млрд. USDT, связанных с рисковой деятельностью, причем объем притока увеличивался с течением времени и практически не был затронут спадом на вторичном рынке.

6.3 Зашифрованное загрязнение адреса платежной платформы

Являясь одной из инфраструктур в области децентрализованных финансов, криптовалютные платежные инструменты предоставляют услуги по расчету средств для блокчейн-институтов, с одной стороны, и определенные услуги по приему криптовалюты для обычных пользователей, с другой. Поэтому они сталкиваются с таким же рискованным загрязнением криптовалютного капитала.

Компания Bitrace провела аудит фондов по адресам основных криптовалютных платежных платформ, которые в основном обслуживают клиентов в Юго-Восточной и Восточной Азии. Данные показывают, что в период с января 2021 по сентябрь 2023 года на эти адреса перетекло в общей сложности более 40,51 миллиарда USDT, из которых 334,6 миллиарда приходилось на сеть Tron и 7,04 миллиарда USDT - на сеть Ethereum. Практически во все времена риск USDT в сети TRON загрязняет криптовалютную платежную платформу сильнее, чем сеть Ethereum.

7. Выводы и предложения

Участники онлайн-гемблинга, подпольной индустрии, отмывания денег и других видов деятельности широко используют криптовалюты, включая USDT, чтобы повысить анонимность средств и избежать слежки со стороны регулирующих и правоохранительных органов. Прямым результатом этого является то, что компании Web3, которые занимаются криптовалютным бизнесом, соответствующим требованиям, и обычные криптовалютные инвесторы не способны распознать финансовые риски и пассивно собирают криптовалютные средства, связанные с рискованной деятельностью, что, в свою очередь, приводит к загрязнению адресов фондов и даже к возбуждению дела.

Отраслевые организации должны усилить свою осведомленность о контроле риска капитала, активно налаживать сотрудничество с местными правоохранительными органами и обращаться к услугам по анализу угроз, предоставляемым поставщиками систем безопасности, для восприятия, идентификации, предотвращения и блокирования рискованных зашифрованных средств, чтобы защитить свои бизнес-адреса и адреса пользователей от загрязнения.

7.1 Повысьте осведомленность о контроле риска капитала

Помимо основных действий, связанных со знанием своего пользователя (KYC) - проверки подлинной личности клиента, совершения операции и источника средств в соответствии с законом, - отраслевые учреждения должны также выполнять обязанности по мониторингу и управлению аномальными операциями клиентов (KYT) и своевременно сообщать о нарушениях. Проведите иерархическое управление пользователями с подозрительной рискованной финансовой деятельностью и примите меры по ограничению некоторых или всех функций платформы.

7.2 Активно изучайте местные законы и правила и сотрудничайте с правоохранительными органами

Платформам необходимо создать или доверить профессиональную команду, которая будет проводить стыковку и рассмотрение запросов правоохранительных органов со всего мира, помогать в выявлении, борьбе и предотвращении преступной деятельности, связанной с валютой, снижать причиненные экономические потери и предотвращать загрязнение средств на бизнес-адресах платформы и счетах пользователей.

7.3 Создайте сеть разведки угроз и механизм обмена информацией

Отраслевым организациям необходимо обращать внимание на сетевую разведку из открытых источников и следить за адресами атак и средствами, связанными с текущими инцидентами, связанными с безопасностью криптовалют, чтобы как можно скорее противостоять средствам, вовлеченным в поток на платформу; им также необходимо обращаться к внешним источникам разведки угроз, сотрудничать с криптовалютными компаниями и компаниями по безопасности для создания портретов DID для пользователей и вводить соответствующие ограничения на контроль рисков для адресов, которые связаны с рискованными адресами и не имеют хорошей истории взаимодействия. И на этой основе создайте и поддерживайте открытую базу данных по анализу угроз, которой будет пользоваться вся индустрия, чтобы обеспечить безопасность и доверие всей индустрии.

Отказ от ответственности：

1. Эта статья перепечатана с сайта[panews]. Все авторские права принадлежат оригинальному автору[Bitrace]. Если у Вас есть возражения против этой перепечатки, пожалуйста, свяжитесь с командой Gate Learn, и они незамедлительно рассмотрят их.
2. Предупреждение об ответственности: Мнения и взгляды, выраженные в этой статье, принадлежат исключительно автору и не являются инвестиционным советом.
3. Перевод статьи на другие языки осуществляется командой Gate Learn. Если не указано, копирование, распространение или плагиат переведенных статей запрещены.