1. DESCRIPCIÓN GENERAL
La actividad del servicio ruso de blanqueo de capitales de Telegram @FAST_CLEAN_BTC_BOT (en adelante, el «ML-bot») comenzó justo después del 6 de abril de 2022, el día en que los servidores del darkmarket HYDRA fueron incautados por las fuerzas del orden.
El ML-bot empezó desde el principio con una publicidad agresiva centrada en sus funciones de blanqueo de capitales. Las contrapartes (conexiones directas e indirectas) del ML-bot son distintos darkmarkets rusos: OMG!OMG!, BlackSprut, MEGA y otros.
El clúster de bitcoin del ML-bot (dirección raíz 18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT) incluye >200 direcciones y recibió >4100 transacciones por un importe total de >180 BTC.
2. RESULTADOS DE LA INVESTIGACIÓN
El ML-bot usa el ciclo mint-burn en el DEX RenBTC para el blanqueo de los activos criminales de los usuarios, tras lo cual los activos blanqueados se transfieren a un CEX y, después, el BTC limpio se transfiere a los usuarios.
Según la descripción del ML-bot, los activos se emiten a partir de dinero previamente blanqueado y las conexiones directas se ofuscan, pero el análisis de clústeres ofrece una visión de conjunto.
Como resultado de la investigación se han identificado las siguientes direcciones de depósito de exchanges de criptomonedas involucradas en el proceso de blanqueo de capitales:
- Binance: 16qT6urvhRmVARFVsV5sJKXjuW5ZiLrvG1 (25.34 BTC);
- KuCoin: 3GgCzgj2qR8neutTkiyMeuVDVxHrfd8xe6 (9.24 BTC);
- Huobi: 17DCLX55J3TTh58NsvdtkRmWWCBKjdcfaq (29.78 BTC);
- FTX: 3ETFogh6AqY4t6ofjqQuNiQUifjeDypkGM (24.94 BTC);
- Kraken: 3PHLr246vZ2GQRW2dAHE73Szm2wMShKiSG (22.37 BTC);
- OKX: 3M27WCf8UTxpaHkuGiSvqKkJ6smeLAaLCX (2.33 BTC);
- Gate: 1ac7ycZJt8CAfHhTpD2YHJwdVLBUHR3kT (22.52 BTC);
- MEXC: 3NVjqGeJLn5JmmQjDaDoiZV98wY6MRsYm4 (3.41 BTC);
- Wisenex: 34bBha2WgYQArXCdYyvprJjfBaxH8A4Xay (14.53 BTC).
Las transacciones de los exchanges a estas direcciones pueden ayudar a identificar al gestor del ML-bot:
• 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka (BTC);
• TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW (TRC20).
3. RECOPILACIÓN DE DATOS PRIMARIOS
La actividad del servicio ruso de blanqueo de capitales de Telegram @FAST_CLEAN_BTC_BOT (en adelante, el «ML-bot») comenzó justo después del 6 de abril de 2022, el día en que los servidores del darkmarket HYDRA fueron incautados por las fuerzas del orden. El ML-bot empezó desde el principio con una publicidad agresiva centrada en sus funciones de blanqueo de capitales. Las contrapartes (conexiones directas e indirectas) del ML-bot son distintos darkmarkets rusos: OMG!OMG!, BlackSprut, MEGA y otros.
La segunda fase:
el equipo de investigación de Match Systems envió BTC a la dirección
del ML-bot (1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P)
desde nuestra dirección
(bc1q6efxz3q6w9983tqm7m6p3yhu59h062r6a53wc9)
mediante la transacción ID:
0c04c2bcf32c56511bb020468fcb2a6e46ce010de293069c63afd4509697da7d

La tercera fase:
el equipo de investigación de MatchSystems rastreó los activos en la dirección del ML-bot 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P tras nuestra transacción.
Todos los activos de la dirección 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P se enviaron al clúster con dirección raíz 18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT (incluye >200 direcciones y recibió >4100 transacciones por un importe total de >180 BTC).
La cuarta fase:
recepción de las monedas «limpiadas». Las siguientes transacciones se recibieron en las direcciones introducidas para recibir los fondos:
- 9960308cd7ea7ab9dc3bfc5ccefa4d35733598f86d66d1b3fff07ebe921a898a (TRC20) — desde la dirección TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW;
- e971687765fc4edb2180d3e716ee73fa7af7fd5710fb7d5a0181e5c38ac9ba02 (BTC) — desde la dirección 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka.
4. ANÁLISIS
Debido a los pagos a los usuarios a partir de fondos previamente blanqueados y a la dilución de los activos, rastrear transacciones concretas solo tiene sentido antes de que los fondos entren en el clúster del bot. El trabajo analítico posterior se lleva a cabo únicamente con herramientas impersonales incluidas en el clúster del ML-bot.
Nuestro equipo de investigación rastreó el camino de los fondos fuera del clúster del ML-bot y determinó que la mayoría de los activos se transfirieron al puente RenBTC.
Para encontrar las conexiones entre las transacciones de origen a las direcciones del proyecto RenBTC y los posteriores activos convertidos en forma de tokens RenBTC, se usó la herramienta analítica Drawbridge de MatchSystems.
El principio de funcionamiento de Drawbridge se reduce a una comparación de la combinación de factores de los activos de origen y su análogo tras pasar por el puente RenBTC.
Como resultado del análisis del clúster del ML-bot, se reveló un esquema de su funcionamiento, descrito en el diagrama de abajo.
Ejemplo concreto:
- Nuestros fondos: bc1q6efxz3q6w9983tqm7m6p3yhu59h062r6a53wc9;
- Transacción 0c04c2bcf32c56511bb020468fcb2a6e46ce010de293069c63afd4509697da7d a la dirección del ML-bot;
- Dirección de un solo uso del ML-bot: 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P;
- Transacción 9eab1b7b609b7620cd7137804faad446a1ac630d4c4627d128c2b6dd3c598920 al clúster del ML-bot;
- Receptor de los activos en el clúster del ML-bot: 1H17AgGngwiUTnMjKvhzUxwzBLxphQMj88 (incluido en el clúster con dirección raíz (18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT);
- Una de las muchas transacciones del clúster del ML-bot a RenBTC: 5c9a0d3cf7e4c8a51bd6560a5139c2ceab0f46c463981e0755ab544facea6d6a;
- RenBTC: 3LVVAj5cLjYRKsAWgSjn7pNKoDxT5XMa1L;
- Emparejada por DrawBridge, transacción mint (BSC) con tokens RenBTC del puente RenBTC: 0x4c512826228960 0cf3942345e4cc55446e1dce09e76f18f13 13f8eac44c2a28d;
- Emparejado por DrawBridge, receptor de los tokens RenBTC (BSC), dirección: 0x6e5f03731bc53debe3ad673ec9436053a500e22d;
- Emparejada por DrawBridge, transacción burn (BSC) con tokens RenBTC al puente RenBTC: 0xed41e5941f0a46fac0ac032916a46abb951e24345b9e6cebb2e71b7bdbdb9400;
- RenBTC: 0x95de7b32e24b62c44a4c44521eff4493f1d1fe13;
- Emparejada por DrawBridge, transacción de retirada de BTC de RenBTC: 36f5553753c68104f6be77de52518905e35096683865f742044ee9cada393504;
- Emparejado por DrawBridge, receptor de BTC: 3PHLr246vZ2GQRW2dAHE73Szm2wMShKiSG (en este caso es la dirección de depósito del exchange Kraken).


14-17. Obviamente no es posible desde el punto de vista técnico sin información sobre la actividad de las cuentas de estos exchanges. Al no tener acceso a la información, aplicamos un análisis inverso, en el que el punto de partida era la dirección del remitente de los fondos blanqueados al cliente del ML-bot.
El remitente de los fondos en BTC a la dirección bc1qnf6ztm0x04rt6ykfe4xg9pzutunz0khcenw6ra fue la dirección 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka.
La dirección 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka recibió >70 BTC en >95 transacciones entrantes, mientras que las transacciones directas desde exchanges aportaron >50 BTC, en concreto (algunos ejemplos):

El remitente de USDT en TRC20 a la dirección TJMvcabnCp46XoUveDCfAxyUDhmC8p6KPS fue la dirección TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW.
La dirección TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW recibió >380k USDT en >85 transacciones entrantes, mientras que las transacciones directas desde exchanges aportaron >340k USDT, en concreto (algunos ejemplos):

Debe prestarse especial atención a la recepción de TRX en esta dirección, ya que es necesario para realizar transacciones en el TRC20. Estos activos provinieron de dos exchanges:
- KuCoin: ac3cc2329e4afe08dd95516d397c466ec57a465b037ff771905e6099831c58ab;
- Binance: 1c1e0cd1346596607ace16622abe5d6db0c9e3624b4d3e81bd6048583c941986.

El remitente de estas transacciones puede estar directamente relacionado con la gestión del ML-bot.
Populares
- Artículos Un usuario legítimo puede ver su USDT congelado por fondos con un historial contaminado.
- Artículos ¿Se pueden recuperar las criptomonedas robadas?
- Noticias Estafa del enlace de reunión falso: cómo se roba la cripto
- Noticias Sanciones a HTX: riesgos para los activos cripto
- Artículos Cómo los hackers roban criptomonedas
- Noticias Tether descongeló 79 M$ — y sabemos por qué
- Artículos ¿Te robaron cripto? Los primeros 60 minutos deciden qué se puede recuperar.
- Noticias Recuperación de criptoactivos a través de redes OTC
- Artículos Tether congeló tus USDT: qué está pasando y qué hacer
- Artículos Las carteras cripto se hackean a través de dispositivos, apps y error humano, no de la blockchain.