1. DESCRIPTION GÉNÉRALE
L'activité du service russe de blanchiment d'argent sur Telegram @FAST_CLEAN_BTC_BOT (ci-après le « ML-bot ») a commencé juste après le 6 avril 2022, jour où les serveurs du darkmarket HYDRA ont été saisis par les forces de l'ordre.
Le ML-bot a débuté d'emblée par une publicité agressive axée sur ses fonctions de blanchiment d'argent. Les contreparties (connexions directes et indirectes) du ML-bot sont divers darkmarkets russes : OMG!OMG!, BlackSprut, MEGA et d'autres.
Le cluster bitcoin du ML-bot (adresse racine 18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT) comprend >200 adresses et a reçu >4100 transactions pour un montant total de >180 BTC.
2. RÉSULTATS DE LA RECHERCHE
Le ML-bot utilise le cycle mint-burn sur le DEX RenBTC pour le blanchiment des actifs criminels des utilisateurs, après quoi les actifs blanchis sont transférés vers un CEX, puis le BTC propre est transféré aux utilisateurs.
Selon la description du ML-bot, les actifs sont émis à partir d'argent précédemment blanchi et les connexions directes sont brouillées, mais l'analyse de clusters offre une vue d'ensemble.
À la suite de la recherche, les adresses de dépôt de plateformes d'échange de cryptomonnaies suivantes, impliquées dans le processus de blanchiment d'argent, ont été identifiées :
- Binance : 16qT6urvhRmVARFVsV5sJKXjuW5ZiLrvG1 (25.34 BTC);
- KuCoin : 3GgCzgj2qR8neutTkiyMeuVDVxHrfd8xe6 (9.24 BTC);
- Huobi : 17DCLX55J3TTh58NsvdtkRmWWCBKjdcfaq (29.78 BTC);
- FTX : 3ETFogh6AqY4t6ofjqQuNiQUifjeDypkGM (24.94 BTC);
- Kraken : 3PHLr246vZ2GQRW2dAHE73Szm2wMShKiSG (22.37 BTC);
- OKX : 3M27WCf8UTxpaHkuGiSvqKkJ6smeLAaLCX (2.33 BTC);
- Gate : 1ac7ycZJt8CAfHhTpD2YHJwdVLBUHR3kT (22.52 BTC);
- MEXC : 3NVjqGeJLn5JmmQjDaDoiZV98wY6MRsYm4 (3.41 BTC);
- Wisenex : 34bBha2WgYQArXCdYyvprJjfBaxH8A4Xay (14.53 BTC).
Les transactions des plateformes d'échange vers ces adresses peuvent aider à identifier le gestionnaire du ML-bot :
• 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka (BTC);
• TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW (TRC20).
3. COLLECTE DE DONNÉES PRIMAIRES
L'activité du service russe de blanchiment d'argent sur Telegram @FAST_CLEAN_BTC_BOT (ci-après le « ML-bot ») a commencé juste après le 6 avril 2022, jour où les serveurs du darkmarket HYDRA ont été saisis par les forces de l'ordre. Le ML-bot a débuté d'emblée par une publicité agressive axée sur ses fonctions de blanchiment d'argent. Les contreparties (connexions directes et indirectes) du ML-bot sont divers darkmarkets russes : OMG!OMG!, BlackSprut, MEGA et d'autres.
La deuxième phase :
l'équipe d'enquête de Match Systems a envoyé des BTC à l'adresse
du ML-bot (1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P)
depuis notre adresse
(bc1q6efxz3q6w9983tqm7m6p3yhu59h062r6a53wc9)
via la transaction ID :
0c04c2bcf32c56511bb020468fcb2a6e46ce010de293069c63afd4509697da7d

La troisième phase :
l'équipe d'enquête de MatchSystems a retracé les actifs à l'adresse du ML-bot 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P après notre transaction.
Tous les actifs de l'adresse 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P ont été envoyés au cluster d'adresse racine 18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT (comprend >200 adresses et a reçu >4100 transactions pour un montant total de >180 BTC).
La quatrième phase :
réception des pièces « nettoyées ». Les transactions suivantes ont été reçues sur les adresses saisies pour recevoir les fonds :
- 9960308cd7ea7ab9dc3bfc5ccefa4d35733598f86d66d1b3fff07ebe921a898a (TRC20) — depuis l'adresse TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW;
- e971687765fc4edb2180d3e716ee73fa7af7fd5710fb7d5a0181e5c38ac9ba02 (BTC) — depuis l'adresse 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka.
4. ANALYSE
En raison des paiements aux utilisateurs à partir de fonds précédemment blanchis et de la dilution des actifs, retracer des transactions précises n'a de sens qu'avant l'entrée des fonds dans le cluster du bot. Le travail analytique ultérieur n'est mené qu'avec des outils impersonnels inclus dans le cluster du ML-bot.
Notre équipe d'enquête a retracé le parcours des fonds hors du cluster du ML-bot et a déterminé que la plupart des actifs avaient été transférés vers le pont RenBTC.
Pour trouver les liens entre les transactions sources vers les adresses du projet RenBTC et les actifs convertis ultérieurs sous forme de jetons RenBTC, l'outil analytique Drawbridge de MatchSystems a été utilisé.
Le principe de fonctionnement de Drawbridge se réduit à une comparaison de la combinaison de facteurs des actifs sources et de leur analogue après passage par le pont RenBTC.
À la suite de l'analyse du cluster du ML-bot, un schéma de son fonctionnement a été révélé, décrit dans le diagramme ci-dessous.
Exemple concret :
- Nos fonds : bc1q6efxz3q6w9983tqm7m6p3yhu59h062r6a53wc9;
- Transaction 0c04c2bcf32c56511bb020468fcb2a6e46ce010de293069c63afd4509697da7d vers l'adresse du ML-bot;
- Adresse à usage unique du ML-bot : 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P;
- Transaction 9eab1b7b609b7620cd7137804faad446a1ac630d4c4627d128c2b6dd3c598920 vers le cluster du ML-bot;
- Destinataire des actifs dans le cluster du ML-bot : 1H17AgGngwiUTnMjKvhzUxwzBLxphQMj88 (inclus dans le cluster d'adresse racine (18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT);
- Une des nombreuses transactions du cluster du ML-bot vers RenBTC : 5c9a0d3cf7e4c8a51bd6560a5139c2ceab0f46c463981e0755ab544facea6d6a;
- RenBTC : 3LVVAj5cLjYRKsAWgSjn7pNKoDxT5XMa1L;
- Appariée par DrawBridge, transaction mint (BSC) avec des jetons RenBTC du pont RenBTC : 0x4c512826228960 0cf3942345e4cc55446e1dce09e76f18f13 13f8eac44c2a28d;
- Apparié par DrawBridge, destinataire des jetons RenBTC (BSC), adresse : 0x6e5f03731bc53debe3ad673ec9436053a500e22d;
- Appariée par DrawBridge, transaction burn (BSC) avec des jetons RenBTC vers le pont RenBTC : 0xed41e5941f0a46fac0ac032916a46abb951e24345b9e6cebb2e71b7bdbdb9400;
- RenBTC : 0x95de7b32e24b62c44a4c44521eff4493f1d1fe13;
- Appariée par DrawBridge, transaction de retrait de BTC depuis RenBTC : 36f5553753c68104f6be77de52518905e35096683865f742044ee9cada393504;
- Apparié par DrawBridge, destinataire des BTC : 3PHLr246vZ2GQRW2dAHE73Szm2wMShKiSG (dans ce cas, il s'agit de l'adresse de dépôt de la plateforme Kraken).


14-17. Ce n'est évidemment pas possible du point de vue technique sans informations sur l'activité des comptes de ces plateformes. Faute d'accès à l'information, nous avons appliqué une analyse inverse, dont le point de départ était l'adresse de l'expéditeur des fonds blanchis vers le client du ML-bot.
L'expéditeur des fonds en BTC vers l'adresse bc1qnf6ztm0x04rt6ykfe4xg9pzutunz0khcenw6ra était l'adresse 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka.
L'adresse 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka a reçu >70 BTC en >95 transactions entrantes, tandis que les transactions directes depuis les plateformes ont apporté >50 BTC, à savoir (quelques exemples) :

L'expéditeur d'USDT en TRC20 vers l'adresse TJMvcabnCp46XoUveDCfAxyUDhmC8p6KPS était l'adresse TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW.
L'adresse TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW a reçu >380k USDT en >85 transactions entrantes, tandis que les transactions directes depuis les plateformes ont apporté >340k USDT, à savoir (quelques exemples) :

Une attention particulière doit être portée à la réception de TRX à cette adresse, car il est nécessaire pour effectuer des transactions en TRC20. Ces actifs provenaient de deux plateformes :
- KuCoin : ac3cc2329e4afe08dd95516d397c466ec57a465b037ff771905e6099831c58ab;
- Binance : 1c1e0cd1346596607ace16622abe5d6db0c9e3624b4d3e81bd6048583c941986.

L'expéditeur de ces transactions peut être directement lié à la gestion du ML-bot.
Populaires
- Articles Un utilisateur légitime peut voir son USDT gelé à cause de fonds au passé contaminé.
- Articles Peut-on récupérer les cryptomonnaies volées ?
- Actualités Arnaque au faux lien de réunion : comment la crypto est volée
- Actualités Sanctions contre HTX : risques pour les actifs crypto
- Articles Comment les hackers volent des cryptomonnaies
- Actualités Tether a dégelé 79 M$ — et nous savons pourquoi
- Articles Crypto volée ? Les 60 premières minutes décident de ce qui est récupérable.
- Actualités Récupération de cryptoactifs via les réseaux OTC
- Articles Tether a gelé vos USDT : que se passe-t-il et que faire
- Articles Les portefeuilles crypto sont piratés via les appareils, les applis et l’erreur humaine, pas via la blockchain.