Поглиблене розслідування: як криптовалюта стала інструментом для кіберзлочинців?

1. Передумови дослідження

Базуючись на розподіленому консенсусі та економічних стимулах, блокчейн надає нові рішення для встановлення, зберігання та передачі цінностей у відкритому мережевому просторі без дозволу. Однак із швидким зростанням крипто-екосистеми за останні кілька років криптовалюта все частіше використовується в різних ризикованих видах діяльності, забезпечуючи більш прихований і зручний метод передачі вартості для азартних онлайн-ігор, чорної онлайн-індустрії, відмивання грошей та інших видів діяльності.

Тим часом криптовалюта є однією з ключових інфраструктур у криптоіндустрії. Велика кількість компаній web3 також використовують стейблкойни, такі як USDT, як основний спосіб збору коштів і здійснення платежів. Однак у таких компаній, як правило, не вистачає надійних механізмів контролю ризиків, таких як AML, KYT і KYC, в результаті чого USDT, який використовувався для ризикованої діяльності, нестримно надходить на бізнес-адреси, завдаючи шкоди коштам на адресах компанії та клієнтів.

Цей звіт має на меті розкрити методи використання та масштаби криптовалюти в ризикованій криптовалютній діяльності, а також відстежити потік коштів, пов’язаних із ризикованою діяльністю, шляхом аналізу даних у ланцюжку, щоб пролити світло на загрозу ризикованих криптовалютних фондів для компаній web3. .

2. Об'єкти дослідження

Соціальна шкода, завдана незаконною та злочинною діяльністю в Інтернеті, стає дедалі серйознішою. Ця шкода включає не лише пряме посягання на особисту власність і соціальну громадську безпеку, а й непрямі правові ризики для фізичних осіб або суб’єктів господарювання, спричинені галузями виробництва, пов’язаними з незаконною та злочинною діяльністю. В останні роки всі країни активізували свої зусилля з боротьби з незаконною та злочинною діяльністю в Інтернеті та досягли певного прогресу в кримінальному законодавстві та екологічних дослідженнях Інтернету. Однак кіберзлочинність все ще залишається актуальною проблемою, яку потрібно повністю викорінити, особливо з появою нових кіберпросторів, таких як блокчейн. Традиційні азартні онлайн-ігри, підпільна онлайн-індустрія, відмивання грошей тощо використовували криптовалюту або криптоінфраструктуру в ризикованій діяльності. Це, у свою чергу, створює перешкоди для відповідної правової ідентифікації та контролю за дотриманням закону.

2.1 Азартні ігри онлайн

Азартні ігри – це ставки грошей або речей матеріальної цінності на подію з невизначеним результатом. Головна мета – виграти більше грошей або матеріальних цінностей, і в той же час учасники отримують духовне задоволення через гру в гроші та майно. Азартні ігри в Інтернеті – це поведінка, пов’язана з азартними іграми в Інтернеті, яка демонструється різними видами. В принципі, всі основні способи азартних ігор в реальному житті можна проводити в Інтернеті.

У Китаї будь-хто, хто відкриває веб-сайт азартних ігор у комп’ютерній мережі з метою отримання прибутку або діє як агент веб-сайту азартних ігор для прийому ставок, підпадає під категорію «відкриття казино», як це передбачено статтею 303 Кримінального закону. Закон. Якщо громадяни Китайської Народної Республіки збираються грати в азартні ігри або відкривають казино в прилеглих районах за межами території нашої країни, з метою залучення громадян Китайської Народної Республіки як основного джерела клієнтів, і це є гральним злочином , вони також можуть бути притягнуті до кримінальної відповідальності згідно з положеннями Кримінального закону.

Однак в інших країнах або регіонах юридичні визначення азартних ігор і відкриття казино відрізняються:

Відповідно до Указу про азартні ігри Гонконгу, Китай, за винятком регульованих скачок, футбольних ставок і лотереї Mark Six або інших ліцензованих гральних закладів (наприклад, салонів маджонгу), а також азартних ігор, на які не поширюється дія закону, інша азартна діяльність є незаконною ;

Відповідно до Закону США про протидію незаконним азартним іграм в Інтернеті, проведення операцій із веб-сайтами азартних онлайн-ігор через фінансові установи є незаконним. Проте державне законодавство є неоднаковим, і існують відмінності у визначенні напрямків правоохоронних органів щодо законів про азартні ігри в Інтернеті та незаконної та пов’язаної діяльності.

Згідно із заявою Бюро інспекції та координації азартних ігор Макао, Китай, уряд САР Макао ніколи не видавав ліцензії на азартні ігри онлайн. Таким чином, будь-яка інформація та веб-сайти ставок, які рекламують азартні онлайн-ігри від імені уряду САР Макао, є неправдивими та незаконними. Громадськість, яка проводить онлайн-ігри на таких веб-сайтах, не захищена законами САР Макао.

Можна побачити, що онлайн-ігри не є незаконними в усіх країнах або регіонах, і азартні ігри, які використовуються онлайн-платформами азартних ігор, які ліцензовані та регулюються місцевими урядовими департаментами, не можуть розглядатися як ризикові кошти. Таким чином, розслідування Bitrace азартних онлайн-ігор обмежується гральними платформами, які керують гральним бізнесом без ліцензії, агентами гральних платформ, які приймають ставки від користувачів, які не мають ліцензій на діяльність, і платіжними установами, які надають послуги з розрахунків для перших двох.

Традиційні онлайн-платформи для азартних ігор та їхні агенти, як-от установи, допомагають гравцям розраховуватися за рахунок створення власних централізованих систем поповнення криптовалюти, транзакцій і зняття коштів або доступу до платіжних інструментів у криптовалюті. Через анонімну природу криптовалюти таку поведінку буде важко регулювати або примушувати державним установам. Нові хеш-платформи азартних онлайн-ігор створені в мережі блокчейн. Ставки гравців, розрахунок ставок, накопичення та збір коштів управляються за допомогою смарт-контрактів із ширшим поширенням і швидшим розвитком і змінами.

2.2 Підпільна індустрія Інтернету

Під кіберпідпільними галузями розуміються великомасштабні та ланцюгові індустрії, які формуються в процесі здійснення або сприяння здійсненню незаконної та злочинної діяльності за допомогою різних технічних засобів з метою пошуку неправомірної вигоди в кіберпросторі. По суті, з метою отримання неправомірної вигоди або порушення екологічного порядку в Інтернеті. Наразі криптовалюта та певна інфраструктура криптоіндустрії значною мірою інтегрована у всю підпільну мережеву екологію.

Впроваджуючи криптовалюти в незаконну діяльність або використовуючи криптоінструменти для заміни оригінальних технічних засобів, традиційна підпільна інтернет-індустрія збільшує оманливість і руйнівність певної незаконної діяльності та зменшує можливість сприйняття або санкціонування державними відомствами діяльності, що відбувається вгору та вниз по течії. Нова підпільна індустрія блокчейнів спрямована безпосередньо на криптоактиви інвесторів або установ, що є незаконною та злочинною діяльністю, характерною для криптоіндустрії.

Цей звіт розкриває лише деякі типові підпільні дії з використанням криптовалюти.

2.3 Відмивання грошей

Відмивання грошей – це легалізація незаконних доходів. В основному це стосується використання незаконних доходів і отриманих доходів для приховування їх джерела та природи за допомогою різних засобів, щоб зробити їх легальними. Його дії включають, але не обмежуються наданням капітальних рахунків, допомогою у перетворенні форм власності, допомогою у переказі коштів або їх переказі за кордон. Криптовалюти, особливо стабільні монети, досить рано почали використовуватися для відмивання грошей через їх низьку вартість переказу, дегеографізацію та певні антицензурні характеристики. Це одна з головних причин, які призвели до критики криптовалют.

Традиційна діяльність з відмивання грошей часто використовує позабіржовий ринок криптовалюти для обміну з законної валюти на криптовалюту або з криптовалюти на законну валюту. Сценарії відмивання грошей різноманітні, а форми різноманітні, але незважаючи ні на що, суть такого типу поведінки полягає в тому, щоб заблокувати співробітникам правоохоронних органів розслідування фінансових зв’язків, включаючи рахунки в традиційних фінансових установах або рахунки в криптовалютних установах.

На відміну від традиційної діяльності з відмивання грошей, метою відмивання нової діяльності з відмивання грошей у криптовалюті є сама криптовалюта, а інфраструктура криптоіндустрії, включаючи гаманці, міжланцюгові мости та децентралізовані торгові платформи, буде використовуватися незаконно.

3. Використання криптовалюти в азартних іграх онлайн

3.1 Як криптовалюта використовується на традиційних платформах азартних онлайн-ігор

Останніми роками платформи азартних онлайн-ігор та їхні агенти стали дуже поширеними для прийому криптовалюти як фішок, зокрема:

Деякі онлайн-платформи азартних ігор самостійно створили повні централізовані системи керування депозитами, транзакціями та зняттям коштів у криптовалюті. Щоб отримати фішки, гравцям потрібно придбати криптовалюту (переважно USDT) на сторонній платформі та переказати її на адресу депозиту, призначену платформою азартних онлайн-ігор кожному гравцеві. Після того, як азартний гравець ініціює заявку на виведення валюти, платформа починає роботу з уніфікованої адреси гарячого гаманця та переказує кошти на цільову адресу, а її бізнес-логіка реалізації відповідає логіці основних платформ для торгівлі криптовалютою.

Деякі онлайн-платформи для азартних ігор надають гравцям канали депозитів і зняття через доступ до інструментів криптовалютних платежів. Гравці не вносять USDT безпосередньо на ігрову онлайн-платформу, а переказують гроші на рахунок платіжної платформи, і потреби виведення також задовольняються останнім. Платформи онлайн-азартних ігор і платіжні платформи регулярно здійснюють розрахунки за коштами, тому їхні бізнес-деталі можна отримати за допомогою кореляції фондів.

Візьмемо як приклад ігрову платформу, яка використовує USDT для прийому ставок. Платформа допомагає гравцям робити депозити та знімати USDT, підключаючись до платіжної платформи криптовалюти. Bitrace провела аудит фонду на одній з адрес гарячих гаманців. У період з 27 січня 2022 року по 25 лютого 2022 року ця адреса обробила загалом понад 1,332 мільйона доларів США запитів на внесення та зняття коштів від гравців.

У практиці аналізу фондів виявлено, що зазвичай азартні онлайн-платформи з більшим бізнесом створюють власні розділи для внесення та виведення коштів у криптовалюті, тоді як більшість малих і середніх азартних онлайн-платформ обирають доступ до платіжних платформ у криптовалюті. Відповідно до моніторингу платформи аудиту ризиків адресних фондів DeTrust, у період з вересня 2021 року по вересень 2023 року загалом понад 46,45 мільярдів доларів США надійшло безпосередньо на традиційні платформи азартних онлайн-ігор або крипто-платіжні платформи, які надають послуги депозиту та зняття коштів для платформ онлайн-азартних ігор. .

Серед них зміни в масштабах азартних онлайн-фондів у 2021 році відповідають розвитку вторинного ринку криптовалюти того року. Зростання масштабів з листопада 2022 року по січень 2023 року може бути пов’язане з великою кількістю азартних ігор під час Чемпіонату світу з футболу того року.

Аналіз джерел USDT з адрес, переданих на ігрові онлайн-платформи, показує, що понад 7,43 мільярда USDT надійшли безпосередньо з централізованих торгових платформ, що становить 16% від загального надходження. Цю партію коштів або гравці вносять безпосередньо з адреси біржі на платформу азартних онлайн-ігор, або казино та його агенти здійснюють обіг коштів через торгову платформу. З огляду на те, що адресні кошти другого рівня інших адрес також надходять з централізованого торгового майданчика, ця цифра явно занижена. Це свідчить про те, що централізовані платформи для торгівлі криптовалютою використовуються для обслуговування індустрії азартних онлайн-ігор.

3.2 Як нова хеш-криптовалюта використовується в онлайн-азартних іграх

Кожна транзакція в блокчейні буде відповідати унікальному хеш-значенню. Це значення генерується випадковим чином і не може бути підроблено. Тому деякі онлайн-платформи азартних ігор розробили гру на вгадування хешу на основі цього. Правило полягає в тому, щоб вгадати хеш транзакції: вгадати, чи є остання цифра чи числа парними чи непарними, великими чи маленькими, на основі чого визначається результат вгадування та розподіляються ставки.

Візьміть типовий геймплей «вгадай хвіст» як приклад. Гравець повинен ініціювати переказ на адресу ставки. Якщо хеш-значення переказу закінчується певним числом або літерою, гравець виграє, а платформа повертає подвійну суму після вирахування деяких очок; якщо останні числа не збігаються, гравець програє, а фішки не повертаються.

Тому такі адреси азартних онлайн-ігор у ланцюжку часто проявляються як високочастотні грошові транзакції з фіксованою сумою з кількома адресами, що призводить до величезного масштабу взаємодії фондів.

Нарешті, завдяки великій кількості різноманітних ігрових процесів і платформ, цей тип хеш-онлайн-азартних ігор колись був дуже популярним завдяки швидкому темпу та чесному геймплею. Однак через те, що ігровий процес надто прозорий, а хакери легко викрадають кошти, масштаб і частка ринку цих ігрових процесів значно зменшилися.

4. Використання криптовалюти в підпільній промисловій діяльності

4.1 Як криптовалюта використовується в традиційній підпільній індустрії

4.1.1 Інвестиційне та фінансове шахрайство

Інвестиційне та фінансове шахрайство – це різновид інвестиційного шахрайства в Інтернеті. Шахраї часто заявляють, що вони «експерти в галузі» через соціальні мережі та інші канали, і заманюють жертву на фальшиву платформу (зазвичай APP), розуміючи жертву, піклуючись про неї та домагаючись її, таким чином виманюючи у неї інвестиційні кошти. У ці шахрайські програми інвестори починають інвестувати великі суми після отримання невеликих або навіть великих прибутків від інвестицій, азартних ігор, купівлі та продажу товарів, купівлі та продажу цінних паперів тощо. Однак у цей час практично всі кошти будуть втрачені і ніколи не будуть відновлені. Коли потерпілий виявив, що кошти в АПП неможливо «вивести» і зв’язатися з так званими «експертами», він раптом зрозумів, що його ошукали.

Цей тип традиційного онлайн-інвестиційного шахрайства також почав використовувати криптовалюту або криптоінструменти для шахрайства в останні роки, взявши за приклад емоційне шахрайство та підпільне шахрайство з порівняльним показником USDT.

4.1.1.1 Емоційне шахрайство

Емоційне шахрайство часто поєднується з інвестиційним шахрайством, але головними жертвами є користувачі, які не використовують криптовалюту. Шахраї створюють ідеальних онлайн-персон і використовують форму онлайн-знайомств, щоб спонукати партнерів онлайн-знайомств купувати USDT для участі в інвестиціях у криптовалюту, таких як арбітраж обміну валют, торгівля деривативами, видобуток ліквідності тощо.

Жертва заробляє велику суму грошей на своїх «інвестиціях» за короткий проміжок часу, і її заохочують інвестувати більше. Але насправді USDT потерпілого не брав участі в так званій арбітражній діяльності. Натомість його передали на прання після перенесення на платформу. У той же час запит жертви на відкликання буде відхилено платформою з різних причин, доки жертва нарешті не дізнається, що її ошукали.

4.1.1.2 Підпільне шахрайство з тестом USDT

Підпільне шахрайство з еталонним показником USDT — це шахрайський метод, замаскований під відмивання грошей. Платформа загалом стверджує, що є платформою для прийому замовлень для відмивання коштів USDT, залучених у справу, але насправді це інвестиційне шахрайство. Як тільки учасники інвестують велику суму USDT, платформа відмовиться повернути гроші з різних причин.

Візьмемо для прикладу «підпільну еталонну платформу USDT», яка все ще працює. Це дозволяє користувачам використовувати «Чистий USDT» для обміну на «підземний USDT» за «обмінним курсом» 1:1,1~1,45. Користувач збирає підпільний USDT, а потім передає його на інші платформи для продажу, а зайва частина – це дохід від «скорингу» користувача.

Наразі шахрайська група незаконно отримала понад 870 000 доларів США тим самим методом. 784 незалежні адреси перевели USDT на шахрайські адреси, але лише 437 адрес отримали гроші назад. Майже половині учасників «арбітраж» не вдався.

4.1.2 Підроблений APP

Під фальшивими програмами розуміються ті програми, які зловмисники використовують різними способами, щоб перепакувати справжні програми та видавати їх за справжні. До підроблених програм, які поєднують криптовалюту, в основному належать підроблені гаманці та підроблені програми Telegram.

4.1.2.1 Програма підробленого гаманця

Крадіжка валюти через фальшиву програму гаманця — це метод викрадення грошей шляхом спонукання інших завантажити та встановити фальшиву програму гаманця з бекдором для викрадення початкової фрази гаманця, а потім незаконно передавати активи інших людей. Злодії монет розміщують посилання для завантаження фальшивих гаманців у пошукових системах, неофіційних магазинах мобільних додатків, соціальних платформах та інших каналах. Після того, як жертва завантажить і встановить програму та створить або синхронізує адресу гаманця, вихідна фраза буде надіслана викрадачеві монет. Після того, як жертва переведе більшу кількість криптоактивів, викрадені монети будуть переведені партіями або автоматично.

В даний час цей метод отримав високу промисловість. Бізнес команди розробки підроблених гаманців і команди з експлуатації та просування повністю розділені. Перший лише бере участь у розробці та обслуговуванні продукту та продає продуктові рішення через рекрутингових агентів по всьому світу; останньому потрібно лише просувати фальшивий гаманець APP. Вам навіть не потрібно розуміти принципи шифрування.

Крадіжка мультипідпису є різновидом крадіжки фальшивого гаманця. Технологія мультипідпису означає, що кілька користувачів підписують цифровий актив одночасно. Можна просто зрозуміти, що в обліковому записі гаманця одночасно є кілька людей з правами підпису та платежу. Якщо адреса може бути підписана та оплачена лише одним закритим ключем, виразом є 1/1, а виразом мультипідпису є m/n. Тобто загалом n приватних ключів можуть підписати обліковий запис, і ви можете оплатити транзакцію, коли її підпишуть m адрес.

Суть традиційної фальшивої крадіжки гаманця полягає в тому, щоб поділитися правами контролю гаманця з жертвою. Злодій монет не може перешкодити жертві передавати активи. Однак, ґрунтуючись на принципі технології мультипідпису, викрадач монет негайно інтегрує мультипідпис в адресу жертви після того, як жертва встановить підроблений APP-гаманець. Коли особиста адреса додається до мультипідпису, власник гаманця сам не зможе передавати активи в гаманці, а може лише передавати їх, але не виводити, а викрадач валюти зможе передавати активи на у будь-який час, що часто залежить від часу переказу жертвою великих сум коштів.

4.1.2.2 Фальшива програма Telegram

Типовим застосуванням підроблених додатків у підпільній індустрії, пов’язаній з криптовалютою, є зловмисне бекдорне імплантування до додатка Telegram. Telegram APP — це соціальне програмне забезпечення, яким зазвичай користуються криптовалютні інвестори, і багато операцій позабіржової торгівлі покладаються на це програмне забезпечення. Шахраї використовуватимуть методи атаки соціальної інженерії, щоб спонукати ціль «завантажити» або «оновити» підроблений APP Telegram. Коли цільовий користувач вставляє адресу блокчейну через вікно чату, зловмисне програмне забезпечення ідентифікує та замінює його та надсилає шкідливу адресу, змушуючи контрагента, який цього не знає, надсилати кошти на шкідливу адресу.

4.1.3 Гарантія сторонніх платежів для підпільної промисловості

Гарантія платежу третьою стороною означає, що після того, як покупець і продавець досягнуть наміру чи угоди щодо товарної операції в Інтернеті, покупець спочатку сплачує платіж третій стороні, а третя сторона тимчасово зберігає його. Після того, як покупець отримає товар і правильно його огляне, він повідомляє про це стороннього посередника, після чого третя сторона сплачує оплату продавцю для завершення всієї операції. Насправді це метод онлайн-платежів, який використовує третю сторону як кредитного посередника для тимчасового контролю за оплатою товарів як для покупців, так і для продавців до того, як покупець підтвердить отримання товару. Під час цієї транзакції сторонній посередник стягуватиме певний відсоток від плати за обслуговування.

Наразі деякі підпільні сторонні платформи гарантування платежів, окрім традиційних легальних валютних каналів, також почали широко використовувати Tether (переважно trc20-USDT) як гарантовані кошти для надання послуг, включаючи незаконний обмін валюти, незаконні транзакції з товарами та незаконні кошти. колекція. Послуги гарантування платежів надаються для транзакцій, включаючи агентські платежі та транзакції з криптовалютою, які беруть участь у справі. Хоча типи транзакцій відрізняються, процес транзакцій узгоджений.

Зазвичай один із покупців і продавців платить платформі гарантії платежу за розміщення реклами в рекламній зоні або в певній частині веб-сайту, або в офіційній групі Telegram. В оголошенні буде детально вказано тип транзакції, вимоги до транзакції та спосіб оплати.

Після завершення переговорів між покупцем і продавцем їм необхідно зв’язатися зі службою підтримки клієнтів платформи гарантії платежів, щоб створити «спеціальну групу». Спеціальна група — це непублічна група телеграм, яка використовується лише для обміну інформацією. До його складу входять покупці, продавці та спеціальні групи роботів. У принципі, транзакції «один до багатьох» заборонені, і не дозволяється додавати невідповідний персонал.

Продавець вимагає від покупця переказу оплати на офіційний рахунок гарантійної платформи та надання сертифікату. Цей процес називається «стейкинг». Продавець повідомить продавця про доставку товару після підтвердження оплати; тоді продавець почне відправляти товар після отримання від продавця повідомлення про доставку. Потім покупець підтверджує отримання товару та повідомляє продавця про повернення кредиту. Після отримання від покупця підтвердження квитанції або повідомлення про позику торговець вираховує комісію та повертає позику продавцю та надає ваучер на позику; нарешті, продавець підтверджує отримання платежу, операція завершена.

Платформа не виділяє користувачам незалежні адреси для ізоляції коштів у кожній транзакції. Замість цього всі депозити надсилаються на ту саму адресу депозиту протягом певного періоду часу. Таким чином, на цю адресу безпосередньо надходить велика сума коштів, пов’язаних з онлайн-іграми та підпільними індустріями, відмиванням грошей та іншими фондами ризику. Водночас, через величезний обсяг коштів, це певною мірою вносить плутанину в спрямування коштів та створює перешкоди для слідчої діяльності слідчих.

Аудит відомих адрес платформ, які гарантують незаконну торговельну діяльність, показав, що розмір їхніх гарантованих коштів зростав протягом останніх 12 місяців, включаючи понад 17,07 мільярдів доларів США в мережі TRON і понад 670 мільйонів доларів США в Ethereum. мережі, що вказує на те, що більшість незаконних транзакцій, захищених такими платформами, відбуваються в мережі TRON.

4.2 Нові способи використання криптовалюти підпільною індустрією

4.2.1 Крадіжка монет за допомогою авторизації

Крадіжка монет за допомогою авторизації — це техніка крадіжки валюти, яка незаконно передає активи інших людей шляхом викрадення прав керування USDT адресами інших людей. Публічні ланцюги, такі як Tron і Ethereum, дозволяють користувачам передавати права на роботу певного активу в гаманці на інші адреси. Останній таким чином отримає права на управління частиною або всіма активами адреси та може в будь-який час розірвати договір про передачу дозволених активів на адресу.

Цей тип зловмисного запиту на авторизацію на крадіжку валюти зазвичай маскується під платіжне посилання, доступ до вимоги, інтерактивний контракт та інші приманки. Після спонукання жертви до взаємодії актив в адресі (зазвичай USDT) буде авторизовано одержувачу без обмежень і буде передано за допомогою методу «TransferFrom» пізніше.

Злодії монет часто обманюють цільову жертву, щоб вона натиснула фішингове посилання та запустила шахрайський смарт-контракт. Наразі вихідна фраза гаманця жертви не просочується. Таким чином, певні збитки все ж можна відшкодувати, своєчасно скасувавши авторизацію.

4.2.2 Фішинг без передачі

Фішинг із нульовим переказом — це шахрайство, націлене на інвесторів у криптовалюту, які неправильно використовують програми гаманців. Надсилаючи велику кількість транзакцій USDT із сумою 0 на невизначену адресу блокчейну, запис взаємодії цільової адреси можна збільшити без дозволу. Якщо невказана особа намагається скопіювати адресу з наявного запису переказу на смарт-пристрої під час ініціювання переказу на адресу, можна надіслати кошти на неправильну адресу, що призведе до збитків.

Bitrace провів аналіз коштів на великій кількості шахрайських адрес, які були позначені як фішингові адреси в мережі Tron, і визначив транзакції з сумою переказу менше 1 USDT з цих адрес як фішингову діяльність, а транзакції з більш ніж 10 USDT як шахрайські доходи.

Наше дослідження показує, що діяльність і масштаб шкоди від фішингової діяльності без передачі даних розширюються. На даний момент через фішингові атаки було втрачено понад 451 мільйон доларів США в мережі TRON.

4.2.3 Шахрайство з фальшивим арбітражем монет на платформі

Поширеним методом арбітражного шахрайства з використанням підроблених монет платформи є те, що шахрай неправдиво стверджує, що розробив певний «розумний арбітражний контракт». Учасникам потрібно лише інвестувати певну суму криптовалюти в контракт, щоб отримати надлишок іншої відомої криптовалюти, такої як Binance Coin, Huobi Points і OKX Coin. Після отримання «арбітражних прибутків» учасники можуть отримати прибуток, ліквідувавши їх на сторонньому торговому ринку.

Ранні тести з невеликими сумами справді повернуть реальний надлишок криптовалюти, але як тільки жертва інвестує велику суму, підроблені токени будуть повернуті, а останні не мають жодної ринкової вартості. Ця техніка шахрайства є старою, але ефективною, і досі існує велика кількість активних варіантів у спільноті інвесторів криптовалюти. Це не тільки завдає фінансових втрат звичайним інвесторам, але й завдає негативної шкоди капіталу бренду самозванця.

4.2.4 Крута адресна торгівля обліковим записом Tron

Подібно до традиційної підпільної діяльності, злочинці в підпільній криптоіндустрії також повинні створювати або купувати віртуальні особи, перш ніж здійснювати незаконну та кримінальну діяльність. У традиційній підпільній діяльності це банківські рахунки та інформація про особу. У підпільній криптодіяльності це адреса блокчейну. Зазвичай такі адреси налаштовуються та отримуються від професійних провайдерів класних адресних послуг.

У азартних іграх онлайн оператори онлайн-платформи для азартних ігор Hash часто є користувачами класних адрес облікових записів Tron. Вони купуватимуть круті облікові записи оптом у професійних постачальників послуг крутих облікових записів і використовуватимуть ці облікові записи як ділові адреси, щоб реалізувати такі функції, як отримання та оплата коштів, зберігання, передача чи прийняття ставок, розрахунок коштів тощо.

У підпільній діяльності кастомізація крутих акаунтів безпосередньо породила більш витончений варіант риболовлі з нульовою передачею – рибалку з однаковим номером хвоста. Порівняно зі звичайними поширеними нульовими переказами USDT, націленими на неконкретні об’єкти блокчейну, фішинг того самого номера часто налаштований. Шахраї копіюють першу та останню цифри адрес контрагентів, які зазвичай використовуються, і переказують більше грошей.

Вартість цього виду риболовлі висока. Згідно з пропозицією певного постачальника послуг прохолодного облікового запису TRON, можна побачити, що восьмизначна налаштована адреса доставляється за 12 годин і продається за 100 USDT. Той самий восьмизначний рахунок коштує лише 100 USDT.

На додаток до постачальників крутих облікових записів TRON, деякі постачальники послуг роботи групового чату Telegram APP, постачальники послуг вихідного коду веб-сайтів, постачальники інструментів пакетної передачі, постачальники послуг швидкої черги SEO та інші групи також надають подібну допомогу учасникам незаконних дій. Ця стаття не буде детально пояснювати обставини отримання прибутку від цього.

5. Як криптовалюта використовується в діяльності з відмивання грошей

5.1 Форми використання криптовалюти у традиційному відмиванні грошей

Використання криптовалют у традиційній діяльності з відмивання грошей спрямоване на переказ платежів від користувачів із високим ризиком на рахунки користувачів з низьким рівнем ризику, таким чином обходячи заходи контролю ризиків платіжних установ. Зазвичай це відбувається у формі обміну законної валюти, яка бере участь у справі, на криптовалютні кошти на позабіржовому ринку криптовалют або обміну криптовалютних коштів, які беруть участь у справі, на законну валюту, щоб заблокувати зв’язок капіталу та уникнути відстеження і репресії.

Типовий сценарій відмивання вкрадених грошей полягає в тому, що після того, як шахраї виманюють у жертви готівку, вони швидко ділять кошти на невеликі суми та послідовно переказують їх на кілька банківських карток, а потім організовують «продавця карток», щоб зняти готівку, а потім перевести готівку окремими особами, автомобілями, літаками чи громадським транспортом до місця розташування банди з відмивання грошей. У минулому ця готівка часто використовувалася для купівлі товарів або конвертувалася в іноземну валюту та вивозилася з країни, але тепер вона частіше використовується для покупки USDT офлайн. Потім ця партія USDT буде або конвертована в готівку на позабіржовому ринку криптовалюти, або буде напряму вивезена з країни чи інших груп відмивання грошей для подальшої обробки. У цьому процесі важливу роль відіграють позабіржові торгові ринки нелегальної торгової платформи USDT, платформи гарантії платежів і централізованої торгової платформи.

5.1.1 Нелегальна платформа USDT

Нелегальна платформа USDT – новий метод відмивання грошей. Його базова модель полягає в поєднанні транзакцій цифрової валюти з традиційними «еталонними» платформами. По-перше, організатори платформи залучали трейдерів USDT, купуючи великі суми USDT і переказуючи їх на закордонні біржі для продажу, щоб заробити різницю в ціні. Потім вони вимагали від трейдерів зареєструвати облікові записи обміну цифрової валюти на їхні справжні імена та прив’язати банківські картки під їхніми особистими іменами. Трансференти повинні придбати певну суму USDT як торговельний депозит і поставити її на «еталонну» платформу. Організатор платформи відкриє рахунок для переказника на платформі, щоб позначити суму та ціну за одиницю USDT, доступних для продажу, на основі суми депозиту в USDT, сплаченого переказником, а також зазначити банківський рахунок одержувача та іншу інформацію. Коли закордонні телекомунікаційні шахрайства та інші злочинні угруповання потребують отримання вкрадених грошей, вони спочатку розміщують замовлення у переказника на придбання USDT через «еталонну» платформу, а потім інструктують жертву переказати гроші на банківський рахунок, зарезервований переказником на платформа. Коли жертва переводить свій актив на рахунок шахрая, шахрай підтверджує транзакцію на платформі, таким чином завершуючи перший переказ вкрадених грошей. Після цього переказник використовував вкрадені гроші, щоб продовжувати купувати USDT на біржі та виводити монети на платформу порівняльного аналізу в повторюваному циклі, заробляючи при цьому різницю в ціні USDT і комісію платформи.

Такий вид діяльності називається «опосередкованим отриманням USDT» бандами, які займаються відмиванням грошей, що може допомогти злочинцям і групам, які займаються відмиванням грошей, повністю уникнути ризиків викрадених грошей і автентифікації справжнього імені на торговій платформі.

5.1.2 Еталонна команда

На додаток до вербування контрольного персоналу для відмивання вкрадених грошей, відмивачі грошей також часто використовують більш пряму модель «еталонної команди» для відмивання грошей. Форма в основному така ж, як і для нелегальної торгівлі USDT, але різниця полягає в тому, що в моделі «команди порівняння» трансакції позабіржової криптовалюти відбуваються офлайн і доставляються готівкою. По-перше, керівник групи залучить велику кількість реальних людей для реєстрації рахунків банківських карток на справжні імена. Коли злочинці (так звані «власники матеріалів») незаконно отримують вкрадені гроші (так звані «матеріали»), вони зв’яжуться з керівником групи через нелегальну сторонню платформу гарантії платежів, щоб отримати замовлення; Потім велика сума коштів буде розділена та переведена на декілька банківських карт під контролем команди. Якщо гроші є чорними грошима з перших рук, їх називають «матеріалами з перших рук». Якщо це вживані або вживані чорні гроші, їх називають «вживаними матеріалами» та «матеріалами третіх рук», з яких останні мають менші фінансові ризики та нижчі комісії; потім керівник групи поїде з водієм, щоб забрати відповідного власника картки, щоб зняти готівку в місцевому банкоматі. Після багаторазового зняття готівки керівник групи продовжуватиме використовувати свій особистий або громадський транспорт, щоб перевезти готівку до визначеного місця для здійснення транзакцій офлайн; нарешті, за допомогою сторонньої платіжної платформи гарантії, керівник групи переказує готівку об’єкту, щоб отримати комісію, а інша сторона переказує USDT на гарантійну адресу для завершення процесу відмивання грошей.

Цей тип діяльності з відмивання грошей приймає форму багаторівневих банківських переказів, зняття готівки в банкоматах і офлайн-транзакцій з криптовалютою. Він не лише багато разів перериває зв’язок відстеження коштів, але й обходить нагляд банківських фондів.

Bitrace провела перевірку коштів на деяких адресах у мережі Tron, які були позначені як такі, що містять ризики відмивання грошей, і сума коштів яких перевищує 1 мільйон доларів США. Період аудиту тривав з вересня 2021 року по березень 2023 року, а вмістом аудиту був переказ USDT.

Дані показують, що з вересня 2021 року по березень 2023 року адреси з ризиком відмивання грошей у мережі TRON надійшли на загальну суму понад 64,25 мільярда доларів США, і на масштаб коштів не вплинув ведмежий ринок на вторинному ринку криптовалюти. Неважко помітити, що учасники бізнесу не є інвесторами в повному сенсі.

5.2 Як Cryptos використовуються по-новому для відмивання грошей

Для кіберзлочинців, які є вихідцями з криптоіндустрії, анонімні обміни на основі криптографічної інфраструктури та обфускації в ланцюжку є найпоширенішими методами відмивання коштів.

5.2.1 Плутанина коштів у ланцюжку

Платформи для розподілу коштів і змішування валют у ланцюжку є найпоширенішими каналами плутанини у фондах.

Розподіл коштів означає, що злочинці використовують складні та багаторівневі транзакції, щоб крок за кроком переказувати віртуальні валюти через різні адреси гаманців і рахунки, а потім переказувати їх на адреси гаманців закордонних партнерів, тим самим розриваючи зв’язок між введенням і виведенням капіталу та розмиваючи віртуальна валюта. Цей метод настільки ж ефективний у відмиванні грошей у криптовалюті та є поширеним методом, який використовують практики для обробки коштів у підпільній індустрії.

Візьмемо для прикладу адресну канву справи про шахрайство з інвестиціями та фінансуванням. Після збору зашифрованих коштів жертви незаконні доходи розподілялися через кілька каналів надходження коштів і, нарешті, збиралися на кілька адрес рахунків обміну для виведення коштів.

Змішування монет — це змішування криптовалюти користувача з валютами інших користувачів, а потім передача змішаної валюти на цільову адресу, щоб приховати початковий шлях потоку валюти, що ускладнює відстеження джерела та призначення криптовалюти. Тому багато платформ змішування криптовалют потрапили під санкції урядів різних країн, включно з найвідомішою Tornado.cash, яка була санкціонована Управлінням контролю за іноземними активами (OFAC) Міністерства фінансів США 8 серпня 2022 року. . Деякі пов’язані з ними адреси Ethereum включені до списку спеціально сформульованих громадян США. Після додавання до цього списку майно та майнові права фізичних або пов’язаних з ними організацій постане перед ризиком бути замороженим.

Але, незважаючи на це, оскільки договір змішування валют Tornado.Cash є відкритим і неліцензійним, інші користувачі все ще можуть виконувати дії змішування валют, безпосередньо викликаючи контракт. Візьмемо для прикладу атаку OnyxProtocol, яка сталася 1 листопада 2023 року. Зловмисник отримав плату за обробку адреси через платформу змішування валют і далі відмивав кошти.

5.2.2 Анонімний обмін у ланцюжку

Торгові платформи без KYC і міжланцюгові мости є двома найважливішими анонімними каналами обміну в ланцюжку.

Наразі, за винятком кількох фізичних адрес, на які були застосовані санкції, цей тип інфраструктури шифрування не запровадив більше засобів контролю ризиків для ризикованих фондів шифрування або адрес шифрування з високим ризиком. Як наслідок, незаконні кошти часто можна обміняти на ці адреси одразу після атаки.

Візьмемо як приклад атаку на Nirvana Finance, яка сталася 25 червня 2023 року. Після того, як зловмисник незаконно отримав зашифровані кошти установи-жертви, він негайно переказав частину коштів на THORWallet DEX, яка є бездозволною та високоприватною децентралізованою торговою платформою, яка дозволяє користувачам напряму здійснювати крос-ланцюговий обмін між блокчейнами, не розкриваючи інформацію про транзакції. Таким чином, THORWallet можна побачити в багатьох інцидентах безпеки шифрування, які мали місце в минулому.

6. Ризиковані засоби шифрування заражають корпоративні адреси web3

6.1 Вирішити питання забруднення на централізованих торгових платформах

Централізовані торгові платформи є одним із найважливіших місць для відмивання ризикованих коштів USDT. У цьому звіті Bitrace провела аудит 126 гарячих адрес гаманців звичайних централізованих торгових платформ і провела аудит криптофондів, пов’язаних з азартними іграми, підпільними індустріями та діяльністю з відмивання грошей. Також повністю досліджено ситуацію з їх надходженням із січня 2021 року до сьогодні.

З січня 2021 року по вересень 2023 року загалом понад 41,52 мільярда доларів США під загрозою надійшли на деякі централізовані торгові платформи в мережі Tron, у тому числі 22,579 мільярда доларів США, пов’язані з онлайн-іграми, 10,570 мільярда доларів США, пов’язані з підпільними активами, і 8,373 мільярда доларів США, пов’язані до відмивання грошей.

З січня 2021 року по вересень 2023 року на деякі централізовані торгові платформи в мережі Ethereum надійшло понад 3,315 мільярда ризикованих USDT, у тому числі 1,1 мільярда USDT, пов’язаних з азартними онлайн-іграми, 1,842 мільярда USDT, пов’язаних з підпільною індустрією, і 372 мільйони USDT, пов’язаних з відмиванням грошей. до USDT.

Із загальної суми ризикових фондів і частки ризикових фондів неважко побачити, що масштаб незаконного використання USDT у мережі Tron більший, ніж у мережі Ethereum, а частка ризикових фондів в азартних іграх онлайн категорія вища. Це узгоджується з тим, що спостерігалося на практиці. Ситуація стабільна - агенти казино та звичайні гравці воліють використовувати Tron USDT, щоб заощадити на комісії за обробку.

6.2 Забруднення адрес позабіржового ринку

Окрім позабіржового сектору централізованих торгових платформ, певні платіжні платформи, групи інвесторів у криптовалюту та спільноти акцепторів створять позабіржові ринки певного масштабу. Такі майданчики не мають повних механізмів KYC і KYT і не можуть обробляти транзакції. Важко оцінити капітальний ризик контрагента, і важко обмежити ризикові кошти згодом, і більша частка ризикованого USDT часто надходить у нього.

Bitrace провела аудит фондів на адресах із типовими характеристиками позабіржового ринку та розміром фонду понад 1 мільйон доларів США. Дані показують, що за останні два роки щонайменше 3,439 мільярда доларів США, пов’язаних із ризиковою діяльністю, надійшло на ці адреси, причому обсяг надходження з часом зростав і в основному не вплинув на спад на вторинному ринку.

6.3 Забруднення адреси зашифрованої платіжної платформи

Будучи однією з інфраструктур у сфері децентралізованих фінансів, криптовалютні платіжні інструменти надають послуги з розрахунків за коштами для блокчейн-установ, з одного боку, і певні послуги прийому криптовалюти для звичайних користувачів, з іншого. Тому вони стикаються з таким же ризикованим забрудненням криптовалютного капіталу.

Bitrace провела аудит фондів на основних адресах криптоплатіжних платформ, які в основному обслуговують клієнтів у Південно-Східній та Східній Азії. Дані показують, що з січня 2021 року по вересень 2023 року на ці адреси загалом надійшло понад 40,51 мільярда доларів США під загрозою, з яких 334,6 мільярда доларів США було в мережі Tron, а 7,04 мільярда доларів США – у мережі Ethereum. Майже завжди ризик USDT у мережі TRON забруднює криптографічну платіжну платформу серйозніше, ніж мережа Ethereum.

7. Висновки та пропозиції

Учасники онлайн-азартних ігор, підпільної індустрії, відмивання грошей та інших видів діяльності широко використовують криптовалюти, включаючи USDT, щоб підвищити анонімність коштів і уникнути відстеження з боку регуляторних і правоохоронних органів. Прямим результатом є те, що компаніям Web3, які керують бізнесом із сумісним шифруванням, і звичайним інвесторам у криптовалюту не вистачає можливості визначати фінансові ризики та пасивно збирати такі криптовалютні кошти, пов’язані з ризикованою діяльністю, що, у свою чергу, призводить до забруднення адрес фондів і навіть до участі в них. справа.

Галузеві організації повинні підвищити свою обізнаність щодо контролю ризиків капіталу, активно налагоджувати співпрацю з місцевими правоохоронними органами та отримувати доступ до служб аналізу загроз, які надають постачальники засобів безпеки, щоб сприймати, ідентифікувати, запобігати та блокувати ризиковані зашифровані кошти для захисту своїх бізнес-адрес і адрес користувачів від бути забрудненим.

7.1 Підвищення обізнаності щодо контролю ризику капіталу

На додаток до основної діяльності «знай свого користувача» (KYC) — перевірки справжньої особи клієнта, виконання транзакцій і джерела коштів відповідно до закону, інституції галузі також повинні виконувати обов’язки моніторингу та управління нестандартними транзакціями клієнтів (KYT) і звітувати порушення своєчасно. Здійснюйте ієрархічне керування користувачами з підозрілою ризикованою фінансовою діяльністю та вживайте управлінських заходів для обмеження деяких або всіх функцій платформи.

7.2 Активно розуміти місцеві закони та правила та співпрацювати з правоохоронними органами

Платформам необхідно створити або доручити професійну команду для перевірки відповідності та розгляду запитів правоохоронних органів з усього світу, допомоги у виявленні, боротьбі та запобіганні злочинній діяльності, пов’язаній з валютою, зменшенню спричинених економічних збитків і запобіганню надходженню коштів на платформу. бізнес-адреси та облікові записи користувачів від забруднення.

7.3 Створити мережу розвідки про загрози та механізм обміну інформацією

Галузеві організації повинні звернути увагу на розвідку мережі з відкритим вихідним кодом і стежити за адресами атак і коштами, пов’язаними з поточними інцидентами безпеки шифрування, щоб переконатися, що вони можуть протистояти коштам, залученим до потоку на платформу, якомога швидше; їм також потрібен доступ до зовнішніх джерел розвідки про загрози, щоб співпрацювати з компаніями, що займаються криптоданими та безпекою, щоб створити портрети DID для користувачів, а також прийняти відповідні обмеження контролю ризиків для адрес, які пов’язані з ризикованими адресами та не мають належної історії взаємодії. І на цій основі створити та підтримувати відкриту базу даних розвідки про загрози, спільну для всієї галузі, щоб забезпечити безпеку та довіру всієї галузі.

Відмова від відповідальності:

1. Ця стаття передрукована з [panews]. Усі авторські права належать оригінальному автору [Bitrace]. Якщо є заперечення щодо цього передруку, будь ласка, зв’яжіться з командою Gate Learn , і вони негайно розглянуть це.
2. Відмова від відповідальності: погляди та думки, висловлені в цій статті, належать виключно автору та не є жодною інвестиційною порадою.
3. Переклади статті на інші мови виконує команда Gate Learn. Якщо не зазначено вище, копіювання, розповсюдження або плагіат перекладених статей заборонено.