Tether Limited - компания-эмитент стейблкоинов, основанная в 2014 году в Гонконге, Китай. С целью обеспечения стабильности цен в мире криптовалют, они разработали токен tether (USDT), который 1к1 привязан к фиатной валюте (1 USDT = 1 доллар США). Tether имеет широкое распространение и активно используется на биржах, цифровых кошельках и DeFi платформах.
Компания выступает в пользу нормативных требований поддерживая стандарты мирового уровня по борьбе с отмыванием денег (AML), противодействует финансированию терроризма (CFT), соблюдает санкции OFAC.
В настоящее время Tether ведет «черный список», замораживая адреса пользователей, связанные с мошенничеством, отмыванием незаконно полученных средств, финансированием войн и терроризма, а также адреса, внесенные в списки OFAC.
20 ноября 2023 года появилась новость от Tether о сотрудничестве с централизованной биржей OKX, в результате которого были выявлены и заблокированы адреса преступного синдиката, связанного с торговлей людьми в Юго-Восточной Азии, который включает в себя романтическую аферу с «забоем свиней». Общая стоимость заблокированных активов составляет 225 млн USDT.
Позднее, управлением ООН было отмечено, что стейблкоин стал популярным токеном для отмывания средств, в том числе в романтических аферах, на черном рынке и онлайн казино в Юго-Восточной Азии:
«Организованная преступность фактически создала параллельную банковскую систему с использованием новых технологий, а распространение слабо или полностью нерегулируемых онлайн-казино вместе с криптовалютой усилило криминальную экосистему региона»
В ответ Tether опубликовала обращение, в котором выразила свое разочарование такой оценкой, сообщая, что ООН не учли сотрудничество компании с правоохранительными органами по всему миру и действия компании, применяемые для борьбы с преступным использованием криптовалют.
В этом материале будет рассмотрено движение средств по адресам преступного синдиката, связанного с торговлей людьми, ответственного за романтическую аферу с «забоем свиней».
Что из себя представляет схема «забой свиней».
«забой свиней» или «pig butchering» - это мошенническая схема, при которой злоумышленники ищут потенциальных жертв на сайтах для знакомств и впоследствии переписываются с ней в мессенджерах. Мошенник втирается в доверие к жертве общаясь на различные темы, позднее рассказывает о выгоде от вложений в криптовалюту и предлагает инвестировать. Другими словами, этот этап назван - «откармливание». Злоумышленники имеют полный доступ к аккаунту своих жертв и после неоднократных вложений мошенники выводят средства с аккаунта. Что другими словами названо - «забой». В качестве платформы для «инвестиций» могут быть использованы как сайты бирж, так и поддельные, скопированные с официальных. Иногда жертве позволяют вывести немного средств, на этапе вложений.
Собеседников для проведения этой аферы набирают среди соискателей на сайтах по поиску работы, предлагая работу в колл-центре. Вместо реальной работы соискателя доставляют в один из офисов, где отбирают документы и заставляют заниматься поиском «инвесторов».
Компания Tether не публикует официальные списки заблокированных кошельков по категориям, в связи с этим предоставленная информация может быть не полной.
Основная часть
Средства в USDT передвигались в основном по сети Ethereum. Стейблкоин пересылался между адресами злоумышленников, с использованием посреднических адресов, не связанных с адресами злоумышленников, либо был отправлен на DeFi платформы, где производился обмен в другой токен.
В данном случае пополнения и выводы производились несколькими транзакциями:
Рис.1 - Визуализация. Пополнения адреса 0xc7c8f8284c5360d0086a2f0a05bdd07afde23246
USDT поступили на отмеченный адрес несколькими транзакциями с разных криптовалютных адресов. Позднее были отправлены на адрес 1.
Рис. 2 - Визуализация. Выводы с адреса 0xc7c8f8284c5360d0086a2f0a05bdd07afde23246
С него разделены на семь транзакций и отправлены на три адреса:
- Две транзакции, общей суммой 30 000 000 USDT были отправлены на другой адрес злоумышленников. Средства не были выведены и на данный момент остаются на отмеченном адресе.
- 95 956 194.62 USDT были отправлены на другой их адрес, где далее разделились на множество транзакций и отправлялись суммами поменьше между адресами не связанными с отмеченными ранее кошельками. Возможно средства были отправлены на адреса миксера криптовалют.
- 5 623 905 USDT отправлены на адрес, владелец которого неизвестен.
Остаток на отмеченном адресе составляет – 29 413 680.26 USDT.
Общая сумма полученных средств - 155 369 875.44 USDT.
Более ранние транзакции на одном из адресов, показанных на Рис.2 передвигались через посреднические адреса, возможно связанные с миксером криптовалют.
Рис. 3 - Визуализация. Движение средств через адрес - 0x564e11ace70bfe6c943a973f1289faa6e8a0fe16
В данном случае, пополнения производятся в несколько транзакций. После пополнения отмеченный адрес отправил средства в двух направлениях, откуда стейблкоин пересылался в несколько шагов. В визуализации отображены все выводы, которые производились после пополнения адресов. Конечной точкой показаны централизованные биржи OKX и Binance, что является наиболее вероятным вариантом, куда в итоге были направлены активы. Но в связи с тем, что монеты продолжительное время пересылались произвольными суммами через адреса, владельцы которых неизвестны и возможно не связаны с кошельком злоумышленников, показанный результат - предположительный.
Остаток на отмеченном адресе - 30 000 000 USDT.
Общая сумма полученных средств - 71 464 639.85 USDT
На другом адресе средства передвигались в два шага на централизованную платформу.
Рис. 4 – Визуализация. Часть транзакций через адрес 0xcab9a8391f765f6beda0b5bad434b10985bdaad0 за 19.11.23 г.
Пополнения отмеченного адреса производились в несколько транзакций с разных криптовалютных адресов, владельцы которых неизвестны, после этого активы выводились произвольными суммами на другие кошельки. В визуализации показана часть выводов с адреса злоумышленников. С отмеченного адреса средства были отправлены на различные адреса, не связанные с ним, далее были разделены на суммы поменьше и пересылались еще на два адреса, после чего выведены на централизованные платформы полученной суммой. В данном случае выводы производились на биржу OKX.
Остаток на отмеченном адресе составляет - 8 737 741.57 USDT
Общая сумма полученных средств - 119 336 959.92 USDT
Со следующего адреса средства отправлялись напрямую на Dex платформы, большая часть отправлена на контракты 1inch и Uniswap.
Рис. 5 - Визуализация. Движение средств через адрес - 0x0b5453635e5325f5385ca1643c9e9eb173f9d5a8.
Пополнения производились в две транзакции, после чего последовало несколько выводов на сумму 300 000 USDT. В визуализации показано движение средств сразу в несколько шагов. С отмеченного адреса USDT были отправлены на адрес Dex платформы (шаг 1), далее отправлены на адрес следующей Dex платформы (шаг 2), откуда сумма вернулась на шаг назад в другом токене.
Рассмотрим транзакцию подробнее на схеме:
Рис. 6 - Схема движения средств с отмеченного адреса. Вывод с адреса 0x0b5453635e5325f5385ca1643c9e9eb173f9d5a8 на Dex платформу.
Как пример показана транзакция на 10 000 USDT. С адреса злоумышленника сумма отправлена на Dex платформу 1inch, далее средства переведены на Uniswap, откуда вернулись обратно на 1inch в токене wrapped eth.
Остаток на отмеченном адресе составляет - 2 700 000 USDT.
Общая сумма полученных средств - 3 000 000 USDT
На следующем адресе менее продолжительное движение средств:
Рис. 7 - Визуализация. Пополнение адреса 0x99ebaf3661065dc1e44feff4b80365678bdff6ce.
Отмеченный адрес был пополнен двумя транзакциями общей суммой 64 707 696.53 USDT. Активы не были выведены и в данный момент остаются на отмеченном адресе.
В следующем случае, в течение продолжительного периода адрес принимал криптовалюту различными суммами, далее был произведен вывод в несколько транзакций. Средства отправленные отмеченным адресом, проходили в несколько шагов, вероятнее всего через адреса миксинг сервиса:
Рис. 8 - Визуализация. Движение средств через адрес - 0x82e1d4ddd636857ebcf6a0e74b9b0929c158d7fb
В этой визуализации показаны выводы на централизованную биржу Binance. Средства с отмеченного адреса пересылаются на адрес 1, откуда несколькими транзакциями перенаправляются на адрес 2. Также адрес 1 перед отправкой далее собирал средства с другого адреса, расположенного над ним. Далее, с адреса 2, usdt были отправлены еще на 3 адреса, где после дополнительного сбора средств (как и в случае с адресом 1), с одного из адресов последовал вывод напрямую на биржу Binance.
Остаток на адресе рис.8 составляет - 87 464 642 USDT
Общая сумма полученных средств - 149 014 042.26 USDT
Итоги:
Мошеннические кошельки регулярно пополнялись с неизвестных адресов и нередко продолжительное время хранились на отмеченных адресах до первого вывода. Также по предоставленной информации можно заметить, что злоумышленники не отправляют средства напрямую на централизованные платформы. Средства направляются на различные адреса, откуда далее выводятся менее крупными суммами или приблизительно похожими на полученную.
При «отмывании» незаконно полученных средств криптовалюта нередко длительное время пересылается между различными адресами, попадает в миксеры криптовалют или на Dex платформы, в связи с чем становится сложнее отследить дальнейшее движение средств. Поэтому пользователям Dex-платформ стоит следить за информационным фоном вокруг таких ресурсов, где не реализованы AML и KYC и проявлять осторожность при работе с этими ресурсами, во избежание блокировки активов на централизованных платформах. А каждой бирже/обменному сервису необходимо серьезнее относиться к активам поступающим с подобных ресурсов и проверять источник происхождения средств через специализированные AML-сервисы во избежание поступления «грязных» депозитов.
В связи с прозрачностью технологии блокчейн криптовалюта особенно отслеживаема и все адреса, связанные с незаконной деятельностью, будут оперативно выявлены и размечены как высокорискованные.
Чтобы защитить свои деньги, при работе с криптовалютой, необходимо соблюдать меры предосторожности, а именно:
- всегда проверяйте подлинность сайта и не пополняйте баланс аккаунта, если не уверены, что это официальный сайт платформы;
- используйте только проверенные платформы и избегайте подозрительных схем обогащения;
- не доверяйте непрошенным предложениям/рекомендациям в мессенджерах от малознакомых людей;
- проверяйте Risk Score адресов, на которые отправляете криптовалюту через специализированные AML-сервисы;
- не передавайте личные данные и данные для входа в аккаунт третьим лицам;
- регулярно следите за состоянием вашего счета и сообщайте платформе о любых подозрительных операциях;
- следите за новостями и изучайте какие методы используют мошенники, чтобы быть в курсе актуальных угроз.
