Онлайн-расследование. Как распознать подозрительный криптокошелек

Остановка биржевых торгов долларами и евро в результате июньских санкций США стала очередным шагом в сторону отказа от конвертируемости рубля и ударом по импортерам и экспортерам. На этом фоне криптовалюты и электронные платежи выглядят все более легкодоступной альтернативой для хранения и перемещения денег. Но если одни пользуются ими для ведения бизнеса, то другие — для отмывания денег. В этом выпуске рубрики «Онлайн-расследование» аналитик «Трансперенси Интернешнл — Россия» Кристине Багдасарян, специализирующаяся на расследовании грязных денег, электронных платежах и криптокошельках, рассказывает о примерах отслеживания «грязных» денег в криптопереводах.

В предыдущей колонке Кристине делилась советами о поиске информации о юрлицах и недвижимости в зарубежных реестрах данных.

Инструменты — сервисы блокчейн-анализа Chainalysis, Elliptic, Arkham, Nansen и другие

Многие страны начинают внедрять дополнительное регулирование для криптокошельков и криптоплатежей. Например, регулятор в США принял закон о подчинении криптотранзакций, связанных с американскими гражданами или компаниями, национальным финансовым законам. Тем не менее криптоплатежи остаются непрозрачными, а мониторинг подозрительных кошельков может занимать месяцы.

Но отслеживать подозрительные транзакции все же возможно. Мониторинг проводится с помощью специализированных платформ, которые анализируют риск-факторы криптокошельков. Один риск-фактор не дает точного анализа, но, если вокруг кошелька набирается целая группа «красных флагов», это повод начать наблюдение за ним.

• Первым риск-фактором можно считать большое количество похожих друг на друга адресов криптокошельков. Адрес криптокошелька — это уникальный идентификатор из латинских букв и цифр, который генерируется случайным образом. Это конкретная информация, которую пользователь может свободно предоставлять другим людям. Часто она используется для получения криптовалют от других участников крипторынка.
• Если между тем, куда кошельки с похожими адресами пересылают деньги, есть общий паттерн, то сервисы их кластеризуют, то есть разделяют на подгруппы. Например, выделяют подгруппу кошельков с большим количеством других риск-факторов или подгруппу кошельков, которые находятся или ранее попадали в санкционные списки.
• Еще один риск-фактор — внезапное появление очень большой суммы на криптокошельке, который давно не проводил транзакций, и затем быстрый вывод этой суммы в одну точку или распределение по другим разным криптокошелькам. Такие кошельки часто оказываются транзитными.

• Помимо оценки риска самого кошелька, перечисленные выше сервисы помогают проанализировать транзакции — их частоту, суммы, подозрительные переводы, а затем визуализировать карту рисковых кошельков.
• В таких сервисах, как Сhainalysis, уже содержатся большие объемы данных о кошельках, которые позволяют изучить, в каких транзакциях кошелек участвовал, с кем он связан, какая у него оценка риска.
• Программа Elliptic обнаруживает аномалии в транзакциях на основании таких паттернов, как внезапно большие переводы.
• После обнаружения подозрительных криптокошельков, наблюдатели подписываются на их обновления и начинают отслеживать активность по ним. Наблюдение может касаться криптобиржи, даты регистрации кошелька и ее истечения, регистраций новых кошельков в течение этого времени и других деталей. Дальнейшая работа зачастую выглядит как обычное расследование, в котором изучаются паттерны, юрлица, физлица и используются многочисленные OSINT-инструменты.

Все вместе это называется «блокчейн-анализ», или совокупность методов получения и обработки данных из записей в распределенном реестре, блокчейне. Этот тип анализа используется в основном для принятия решений в сфере блокчейна и криптовалют, а также для оценки рисков.

Сервисы блокчейн-анализа — платные. Для пользователя, не имеющего возможности купить подписку, существует два способа проверки криптокошелька.

• Журналисты-расследователи часто обращаются за помощью в OCCRP (международная ассоциация журналистов-расследователей), у которой есть собственный desk для проверки кошельков.
• Рядовые пользователи используют пробную подписку на сервисы блокчейн-анализа. Каждый из них позволяет назначить бесплатную встречу с менеджером, который дает доступ на неделю для тестирования сервиса. У некоторых сервисов есть свои бесплатные обучающие курсы по криптоанализу. А, например, Сhainalysis предоставляет бесплатный доступ к сервису проверки, находится ли кошелек в санкционных списках.

Примеры использования

• Одна из последних громких историй — арест российской криптобиржи Garantex. Журналисты The Wall Street Journal c помощью сервисов блокчейн-анализа выявили связь между находившейся под санкциями США биржей Garantex и российскими олигархами и Кремлем. Для этого они кластеризировали адреса криптокошельков, проследили цепочки от известных им адресов кошельков, ранее замеченных в больших хранилищах данных и уже проанализированных, и в результате выявили подозрительные и крупные транзакции и связи этих кошельков с уже известными криминальными кошельками. Так, на основании имевшихся открытых данных журналисты обнаружили, что Garantex делает очень крупные переводы, в том числе на очень маленькие криптокошельки.
• Похожее расследование недавно провели ICIJ и The Guardian, которые с помощью площадки Arkham Intelligence установили, что криптовалютная фирма Copper Technologies российского торговца оружием Джонатана Зименкова перевела более $4,2 млн на криптокошелек Зименкова в мае 2021 года, за 19 месяцев до того, как против него были введены санкции США за помощь российским войскам. Расследование также было проведено с помощью кластеризации адресов и цепочек транзакций. Журналисты увидели более 1000 переводов Ethereum и смогли проследить их до кошелька, который был связан с Зименковым.

Важная деталь

В практике дата-ресерчеров часто стала встречаться следующая проблема:

• С одной стороны, открыть личный или бизнес-аккаунт для сомнительных операций с криптой для россиян из-за санкций стало сложнее (многие цифровые сервисы больше не принимают российские ID).
• С другой — в любимом россиянами даркнете можно легко купить готовый верифицированный аккаунт на имя гражданина Европы. Одни из самых популярных стран, через которые россияне обходят санкции в e-payment, — Латвия, Литва и Чехия, а также Великобритания. Последний вариант — дороже, но стал очень удобен после Brexit из-за прекращения обмена информацией между Великобританией и Евросоюзом.

В результате отследить и заморозить пересылку «грязных» денег, например, со счета китайской компании на свой бизнес-аккаунт в Великобритании сложно. Также платежка или криптофирма может потерять лицензию в Европе, но продолжать спокойно существовать в Великобритании.

Что мне с этого?

Сегодня регуляторы могут заморозить подозрительный кошелек и попросить объяснить проведенную через него транзакцию. Блокчейн-анализ помогает пользователям отслеживать свои криптовалютные транзакции, проверять подлинность контрагентов и избегать мошенничества.

Платформы для блокчейн-анализа предоставляют визуализацию транзакций и оценку рисков, помогая пользователям защитить свои средства и принимать обоснованные решения.

Не стоить думать, что блокчейн-анализ — это недоступно сложный процесс. Он основан на таких же цифрах и буквах, как и анализ любых других данных, и позволяет обезопасить себя от рисков по сделкам с криптовалютами.