Пример исследования, основанного на расследовании деятельности российского Telegram-сервиса по отмыванию денег @FAST_CLEAN_BTC_BOT следственной группой Match Systems.

1. ОБЩЕЕ ОПИСАНИЕ

Деятельность российского Telegram-сервиса по отмыванию денег @FAST_CLEAN_BTC_BOT (далее — ML-бот) началась сразу после 6 апреля 2022 года — дня, когда серверы даркнет-площадки HYDRA были арестованы правоохранительными органами.

С самого начала ML-бот запустил агрессивную рекламу, делая упор на свои функции по отмыванию денег. Контрагентами (прямыми и косвенными связями) ML-бота являются различные российские даркнет-рынки: OMG!OMG!, BlackSprut, MEGA и другие.

Биткоин-кластер ML-бота (корневой адрес 18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT) включает >200 адресов и получил >4100 транзакций на общую сумму >180 BTC.

2. РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ

ML-бот использует цикл выпуска-сжигания (mint-burn) на DEX RenBTC для отмывания криминальных активов пользователей, после чего отмытые активы переводятся на CEX, а затем чистые BTC передаются пользователям.

Согласно описанию ML-бота, активы выдаются из ранее отмытых средств, и прямые связи маскируются, однако кластерный анализ дает общую картину.

 

В результате исследования были выявлены следующие депозитные адреса криптобирж, вовлеченные в процесс отмывания денег:

  • Binance: 16qT6urvhRmVARFVsV5sJKXjuW5ZiLrvG1 (25.34 BTC);
  • KuCoin: 3GgCzgj2qR8neutTkiyMeuVDVxHrfd8xe6 (9.24 BTC);
  • Huobi: 17DCLX55J3TTh58NsvdtkRmWWCBKjdcfaq (29.78 BTC);
  • FTX: 3ETFogh6AqY4t6ofjqQuNiQUifjeDypkGM (24.94 BTC);
  • Kraken: 3PHLr246vZ2GQRW2dAHE73Szm2wMShKiSG (22.37 BTC);
  • OKX: 3M27WCf8UTxpaHkuGiSvqKkJ6smeLAaLCX (2.33 BTC);
  • Gate: 1ac7ycZJt8CAfHhTpD2YHJwdVLBUHR3kT (22.52 BTC);
  • MEXC: 3NVjqGeJLn5JmmQjDaDoiZV98wY6MRsYm4 (3.41 BTC);
  • Wisenex: 34bBha2WgYQArXCdYyvprJjfBaxH8A4Xay (14.53 BTC).

Транзакции с криптобирж на эти адреса могут помочь идентифицировать управляющего ML-ботом:
• 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka (BTC);
• TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW (TRC20).

 

3. ПЕРВИЧНЫЙ СБОР ДАННЫХ

Деятельность российского Telegram-сервиса по отмыванию денег @FAST_CLEAN_BTC_BOT (далее — ML-бот) началась сразу после 6 апреля 2022 года — дня, когда серверы даркнет-площадки HYDRA были арестованы правоохранительными органами. ML-бот с самого начала запустил агрессивную рекламу, делая упор на свои функции по отмыванию денег. Контрагентами (прямые и косвенные связи) ML-бота являются различные российские даркнет-рынки: OMG!OMG!, BlackSprut, MEGA и другие.

Второй этап:

следственная группа Match Systems отправила BTC на адрес ML-бота (1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P) с нашего адреса (bc1q6efxz3q6w9983tqm7m6p3yhu59h062r6a53wc9) через транзакцию ID: 0c04c2bcf32c56511bb020468fcb2a6e46ce010de293069c63afd4509697da7d

Третий этап:

следственная группа Match Systems отследила активы на адресе ML-бота 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P после нашей транзакции. Все активы с адреса 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P были отправлены в кластер с корневым адресом 18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT (включает >200 адресов и получил >4100 транзакций на общую сумму >180 BTC).

Четвертый этап:

получение «очищенных» монет. На адреса, введенные для получения средств, поступили следующие транзакции:

  • 9960308cd7ea7ab9dc3bfc5ccefa4d35733598f86d66d1b3fff07ebe921a898a (TRC20) — с адреса TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW;
  • e971687765fc4edb2180d3e716ee73fa7af7fd5710fb7d5a0181e5c38ac9ba02 (BTC) — с адреса 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka.

 

4. АНАЛИЗ

Из-за выплат пользователям из ранее отмытых средств и размывания активов, отслеживание конкретных транзакций имеет смысл только до момента попадания средств в кластер бота. Дальнейшая аналитическая работа проводится только с обезличенными инструментами, входящими в кластер ML-бота.

Наша следственная группа проследила путь средств из кластера ML-бота и определила, что большая часть активов была переведена на мост RenBTC.

Для поиска связей между исходными транзакциями на адреса проекта RenBTC и последующими конвертированными активами в виде токенов RenBTC использовался аналитический инструмент Drawbridge от Match Systems.

Принцип работы Drawbridge сводится к сравнению совокупности факторов исходных активов и их аналогов после прохождения через мост RenBTC.

В результате анализа кластера ML-бота была выявлена схема его работы, описанная на диаграмме ниже.

Конкретный пример:

  1. Наши средства: bc1q6efxz3q6w9983tqm7m6p3yhu59h062r6a53wc9;
  2. Транзакция 0c04c2bcf32c56511bb020468fcb2a6e46ce010de293069c63afd4509697da7d на адрес ML-бота;
  3. Разовый адрес ML-бота: 1B1XnbaDUehX2B1hH77kBj9JFzW1g4Jn2P;
  4. Транзакция 9eab1b7b609b7620cd7137804faad446a1ac630d4c4627d128c2b6dd3c598920 в кластер ML-бота;
  5. Получатель активов в кластере ML-бота: 1H17AgGngwiUTnMjKvhzUxwzBLxphQMj88 (входит в кластер с корневым адресом 18oxDVbE9BDNn1LLdy5CGAP7HUr4fGVFBT);
  6. Одна из многих транзакций кластера ML-бота на RenBTC: 5c9a0d3cf7e4c8a51bd6560a5139c2ceab0f46c463981e0755ab544facea6d6a;
  7. RenBTC: 3LVVAj5cLjYRKsAWgSjn7pNKoDxT5XMa1L;
  8. Сопоставленная DrawBridge mint-транзакция (BSC) с токенами RenBTC из моста RenBTC: 0x4c512826228960 0cf3942345e4cc55446e1dce09e76f18f13 13f8eac44c2a28d;
  9. Сопоставленный DrawBridge получатель токенов RenBTC (BSC), адрес: 0x6e5f03731bc53debe3ad673ec9436053a500e22d;
  10. Сопоставленная DrawBridge burn-транзакция (BSC) с токенами RenBTC на мост RenBTC: 0xed41e5941f0a46fac0ac032916a46abb951e24345b9e6cebb2e71b7bdbdb9400;
  11. RenBTC: 0x95de7b32e24b62c44a4c44521eff4493f1d1fe13;
  12. Сопоставленная DrawBridge транзакция вывода BTC из RenBTC: 36f5553753c68104f6be77de52518905e35096683865f742044ee9cada393504;
  13. Сопоставленный DrawBridge получатель BTC: 3PHLr246vZ2GQRW2dAHE73Szm2wMShKiSG (в данном случае это депозитный адрес биржи Kraken).

14-17. С технической точки зрения это не представляется возможным без информации о деятельности аккаунтов на этих биржах. Ввиду отсутствия доступа к информации мы применили метод обратного анализа, где отправной точкой стал адрес отправителя отмытых средств клиенту ML-бота.

Отправителем средств в BTC на адрес bc1qnf6ztm0x04rt6ykfe4xg9pzutunz0khcenw6ra был адрес 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka.

Адрес 1N3NbYPSEhgy7A27P6d5wS5bXeCfWEXxka получил >70 BTC в >95 входящих транзакциях, при этом прямые транзакции с бирж составили >50 BTC, а именно (несколько примеров):

Отправителем USDT в TRC20 на адрес TJMvcabnCp46XoUveDCfAxyUDhmC8p6KPS был адрес TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW.

Адрес TJQh8iEvZMj48p9atwmzB7F7aCySwpQSKW получил >380k USDT в >85 входящих транзакциях, при этом прямые транзакции с бирж составили >340k USDT, а именно (несколько примеров):

Особое внимание следует уделить получению TRX на этот адрес, так как это необходимо для проведения транзакций в сети TRC20. Эти активы поступили с двух бирж:

  • KuCoin: ac3cc2329e4afe08dd95516d397c466ec57a465b037ff771905e6099831c58ab;
  • Binance: 1c1e0cd1346596607ace16622abe5d6db0c9e3624b4d3e81bd6048583c941986.

Отправитель этих транзакций может быть напрямую связан с руководством ML-бота.

Vladislav Krasnov

Lead analyst

Блог

Поиск криптоактивов

OSINT-расследования

Споры и долги контрагентов

Разблокировка активов

Запросить аудит

Запросить интеграцию

Оставить заявку