1. ОБЩЕЕ ОПИСАНИЕ
Деятельность российского Telegram-сервиса по отмыванию денег @FAST_CLEAN_BTC_BOT (далее — ML-бот) началась сразу после 6 апреля 2022 года — дня, когда серверы даркнет-площадки HYDRA были арестованы правоохранительными органами.
С самого начала ML-бот запустил агрессивную рекламу, делая упор на свои функции по отмыванию денег. Контрагентами (прямыми и косвенными связями) ML-бота являются различные российские даркнет-рынки: OMG!OMG!, BlackSprut, MEGA и другие.
Биткоин-кластер ML-бота (корневой адрес 18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT) включает >200 адресов и получил >4100 транзакций на общую сумму >180 BTC.
2. РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ
ML-бот использует цикл выпуска-сжигания (mint-burn) на DEX RenBTC для отмывания криминальных активов пользователей, после чего отмытые активы переводятся на CEX, а затем чистые BTC передаются пользователям.
Согласно описанию ML-бота, активы выдаются из ранее отмытых средств, и прямые связи маскируются, однако кластерный анализ дает общую картину.
В результате исследования были выявлены следующие депозитные адреса криптобирж, вовлеченные в процесс отмывания денег:
- Binance: 16qT6urvhRmVARFVsV5sJKXjuW5ZiLrvG1 (25.34 BTC);
- KuCoin: 3GgCzgj2qR8neutTkiyMeuVDVxHrfd8xe6 (9.24 BTC);
- Huobi: 17DCLX55J3TTh58NsvdtkRmWWCBKjdcfaq (29.78 BTC);
- FTX: 3ETFogh6AqY4t6ofjqQuNiQUifjeDypkGM (24.94 BTC);
- Kraken: 3PHLr246vZ2GQRW2dAHE73Szm2wMShKiSG (22.37 BTC);
- OKX: 3M27WCf8UTxpaHkuGiSvqKkJ6smeLAaLCX (2.33 BTC);
- Gate: 1ac7ycZJt8CAfHhTpD2YHJwdVLBUHR3kT (22.52 BTC);
- MEXC: 3NVjqGeJLn5JmmQjDaDoiZV98wY6MRsYm4 (3.41 BTC);
- Wisenex: 34bBha2WgYQArXCdYyvprJjfBaxH8A4Xay (14.53 BTC).
Транзакции с криптобирж на эти адреса могут помочь идентифицировать управляющего ML-ботом:
• 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka (BTC);
• TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW (TRC20).
3. ПЕРВИЧНЫЙ СБОР ДАННЫХ
Деятельность российского Telegram-сервиса по отмыванию денег @FAST_CLEAN_BTC_BOT (далее — ML-бот) началась сразу после 6 апреля 2022 года — дня, когда серверы даркнет-площадки HYDRA были арестованы правоохранительными органами. ML-бот с самого начала запустил агрессивную рекламу, делая упор на свои функции по отмыванию денег. Контрагентами (прямые и косвенные связи) ML-бота являются различные российские даркнет-рынки: OMG!OMG!, BlackSprut, MEGA и другие.
Второй этап:
следственная группа Match Systems отправила BTC на адрес ML-бота (1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P) с нашего адреса (bc1q6efxz3q6w9983tqm7m6p3yhu59h062r6a53wc9) через транзакцию ID: 0c04c2bcf32c56511bb020468fcb2a6e46ce010de293069c63afd4509697da7d
Второй этап:
следственная группа Match Systems отправила BTC на адрес ML-бота (1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P) с нашего адреса (bc1q6efxz3q6w9983tqm7m6p3yhu59h062r6a53wc9) через транзакцию ID: 0c04c2bcf32c56511bb020468fcb2a6e46ce010de293069c63afd4509697da7d
Третий этап:
следственная группа Match Systems отследила активы на адресе ML-бота 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P после нашей транзакции. Все активы с адреса 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P были отправлены в кластер с корневым адресом 18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT (включает >200 адресов и получил >4100 транзакций на общую сумму >180 BTC).
Четвертый этап:
получение «очищенных» монет. На адреса, введенные для получения средств, поступили следующие транзакции:
- 9960308cd7ea7ab9dc3bfc5ccefa4d35733598f86d66d1b3fff07ebe921a898a (TRC20) — с адреса TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW;
- e971687765fc4edb2180d3e716ee73fa7af7fd5710fb7d5a0181e5c38ac9ba02 (BTC) — с адреса 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka.
4. АНАЛИЗ
Из-за выплат пользователям из ранее отмытых средств и размывания активов, отслеживание конкретных транзакций имеет смысл только до момента попадания средств в кластер бота. Дальнейшая аналитическая работа проводится только с обезличенными инструментами, входящими в кластер ML-бота.
Наша следственная группа проследила путь средств из кластера ML-бота и определила, что большая часть активов была переведена на мост RenBTC.
Для поиска связей между исходными транзакциями на адреса проекта RenBTC и последующими конвертированными активами в виде токенов RenBTC использовался аналитический инструмент Drawbridge от Match Systems.
Принцип работы Drawbridge сводится к сравнению совокупности факторов исходных активов и их аналогов после прохождения через мост RenBTC.
В результате анализа кластера ML-бота была выявлена схема его работы, описанная на диаграмме ниже.
Конкретный пример:
- Наши средства: bc1q6efxz3q6w9983tqm7m6p3yhu59h062r6a53wc9;
- Транзакция 0c04c2bcf32c56511bb020468fcb2a6e46ce010de293069c63afd4509697da7d на адрес ML-бота;
- Разовый адрес ML-бота: 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P;
- Транзакция 9eab1b7b609b7620cd7137804faad446a1ac630d4c4627d128c2b6dd3c598920 в кластер ML-бота;
- Получатель активов в кластере ML-бота: 1H17AgGngwiUTnMjKvhzUxwzBLxphQMj88 (входит в кластер с корневым адресом 18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT);
- Одна из многих транзакций кластера ML-бота на RenBTC: 5c9a0d3cf7e4c8a51bd6560a5139c2ceab0f46c463981e0755ab544facea6d6a;
- RenBTC: 3LVVAj5cLjYRKsAWgSjn7pNKoDxT5XMa1L;
- Сопоставленная DrawBridge mint-транзакция (BSC) с токенами RenBTC из моста RenBTC: 0x4c512826228960 0cf3942345e4cc55446e1dce09e76f18f13 13f8eac44c2a28d;
- Сопоставленный DrawBridge получатель токенов RenBTC (BSC), адрес: 0x6e5f03731bc53debe3ad673ec9436053a500e22d;
- Сопоставленная DrawBridge burn-транзакция (BSC) с токенами RenBTC на мост RenBTC: 0xed41e5941f0a46fac0ac032916a46abb951e24345b9e6cebb2e71b7bdbdb9400;
- RenBTC: 0x95de7b32e24b62c44a4c44521eff4493f1d1fe13;
- Сопоставленная DrawBridge транзакция вывода BTC из RenBTC: 36f5553753c68104f6be77de52518905e35096683865f742044ee9cada393504;
- Сопоставленный DrawBridge получатель BTC: 3PHLr246vZ2GQRW2dAHE73Szm2wMShKiSG (в данном случае это депозитный адрес биржи Kraken).
14-17. С технической точки зрения это не представляется возможным без информации о деятельности аккаунтов на этих биржах. Ввиду отсутствия доступа к информации мы применили метод обратного анализа, где отправной точкой стал адрес отправителя отмытых средств клиенту ML-бота.
Отправителем средств в BTC на адрес bc1qnf6ztm0x04rt6ykfe4xg9pzutunz0khcenw6ra был адрес 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka.
Адрес 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka получил >70 BTC в >95 входящих транзакциях, при этом прямые транзакции с бирж составили >50 BTC, а именно (несколько примеров):
Отправителем USDT в TRC20 на адрес TJMvcabnCp46XoUveDCfAxyUDhmC8p6KPS был адрес TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW.
Адрес TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW получил >380k USDT в >85 входящих транзакциях, при этом прямые транзакции с бирж составили >340k USDT, а именно (несколько примеров):
Особое внимание следует уделить получению TRX на этот адрес, так как это необходимо для проведения транзакций в сети TRC20. Эти активы поступили с двух бирж:
- KuCoin: ac3cc2329e4afe08dd95516d397c466ec57a465b037ff771905e6099831c58ab;
- Binance: 1c1e0cd1346596607ace16622abe5d6db0c9e3624b4d3e81bd6048583c941986.
Отправитель этих транзакций может быть напрямую связан с руководством ML-бота.
Популярное
- Новости Фейковая ссылка на звонок: как крадут крипту
- Новости HTX под санкциями: риски для криптоактивов
- Статьи Как мошенники крадут криптовалюту (разбор распространённых методов)
- Новости Tether разморозил $79 млн - и мы знаем почему
- Новости Возврат криптоактивов через OTC-обменники
- Статьи Tether заморозил USDT: что происходит и что делать
- Статьи Можно ли узнать, кому принадлежит криптокошелёк?
- Статьи Схемы кражи криптовалюты 2026: методы и защита
- Статьи Украли криптовалюту: пошаговый план действий
- Статьи Я перешёл по ссылке и потерял крипту — что случилось?