Tether Limited - компания-эмитент стейблкоинов, основанная в 2014 году в Гонконге, Китай. С целью обеспечения стабильности цен в мире криптовалют, они разработали токен tether (USDT), который 1к1 привязан к фиатной валюте (1 USDT = 1 доллар США). Tether имеет широкое распространение и активно используется на биржах, цифровых кошельках и DeFi платформах.
Стейблкоин - это тип криптовалюты, цена которой привязана, другими словами «стабилизирована» к определенной или нескольким фиатным валютам, драгоценным металлам и другим стабильным валютам. Это делает стейблкоины более устойчивыми по сравнению с другими криптовалютами, чьи цены могут сильно колебаться.
Компания выступает в пользу нормативных требований поддерживая стандарты мирового уровня по борьбе с отмыванием денег (AML), противодействует финансированию терроризма и военных конфликтов (CFT), соблюдает санкции OFAC.
В процессе сотрудничества с правоохранительными органами компания Tether заморозила как минимум 32 адреса, связанных с финансированием военных конфликтов. Общая стоимость замороженных активов на кошельках составляет более $870 тысяч.
В этом материале будет рассмотрено несколько схем движения средств на кошельках организаций Hamas и Hezbollah, по пяти их адресам, в период от одного до семи дней. В связи с тем, что официальные списки замороженных кошельков компания не публикует, некоторые адреса могут быть не связаны с текущей блокировкой от Tether.
В России организации Hamas и Hezbollah не признаны террористическими, но считаются таковыми во многих странах. Их адреса выявляются и нередко блокируются на централизованных платформах, а также под блокировку могут попасть адреса, связанные с отправкой средств этим организациям и приемом средств от них.
Основное
Рассматривая движение средств организаций Hamas и Hezbollah, можно заметить, что схемы движения средств разнообразны. На разных адресах передвижение средств отличается. Активы принимались и пересылались напрямую от пользователей централизованных платформ, между адресами принадлежащими данным организациям и предположительно, с использованием миксеров криптовалют.
Hamas
По сети Ethereum, средства чаще всего поступали напрямую с адресов пользователей централизованных платформ либо их путь проходит не более чем в 2 шага.
Рис.1. Визуализация. Часть движения средств через адрес 0x11069987e8507d0669c870b578cc9f9b4017d127, принадлежащий Hamas
В визуализации показаны последние операции одного из адресов Hamas. Отмеченный адрес какое-то время, зачастую в течение дня, собирает средства с различных адресов, далее выводит полученную сумму одной транзакцией. В данном случае показан вывод средств на Binance. В течение продолжительного времени, таким образом передвигались средства по разным адресам Hamas в сети Ethereum.
В сети Tron, USDT передвигались более разнообразно:
Рис. 2. Визуализация. Движение средств через адрес THuvw2pY2GSBmDewHKzahQum2yUWHJeJKh, принадлежащий Hamas.
В первом случае, движение средств не сильно отличается от показанного в «рис. 2» . В течение какого-то времени данный адрес принимает криптовалюту, после этого выводит сумму в неизменном виде. В визуализации показан вывод пользователю биржи Binance. Также можно увидеть, что на адрес Hamas, расположенный слева, было получено 505 USDT с адреса Binance на который отправлялись полученные отмеченным адресом средства.
Помимо перевода средств в неизменном виде, сумма может быть разделена и проходить в несколько шагов:
Рис.3. Визуализация. Часть движения средств через адрес TXBMWt3T4WhFkcPnob1567cGDM3ou27GWE, принадлежащий Hamas
В визуализации можно заметить, что средства поступили на адрес Hamas после этого разделены в двух направлениях. Часть средств отправлена на другой адрес, принадлежащий Hamas, вторая - отправлена на адрес с которого в неизменном виде дошла до получателя на централизованной бирже Kraken.
В следующей схеме средства поступают напрямую с централизованных платформ и вероятнее всего с использованием адресов миксера криптовалют.
Рис. 4. Визуализация. Часть движения средств через адрес TDAegnxRRBVuRFJ1tkpmignshcu12nfoQF, принадлежащий Hamas
В визуализации, в левой части снизу, отображены прямые поступления от пользователей бирж, сверху неизвестные сущности. Поступления с неизвестных адресов похожи на движение средств внутри миксера, откуда становится сложнее показать источник происхождения средств в связи со смешиванием активов и многочисленными переводами между разными кошельками не связанными друг с другом. При рассмотрении транзакций вывода с адреса Hamas можно заметить несколько адресов централизованных платформ, которые принадлежат пользователям Binance. Часть средств направлена на адреса Hezbollah и остальные средства, вероятнее всего передвигались через последующие адреса миксера.
Hezbollah
Средства Hezbollah в основном передвигались по сети TRON, чаще всего средства поступают с адресов, которые вероятнее всего связаны с миксером криптовалют или напрямую от пользователей централизованных платформ.
Рис. 5. Визуализация. Часть движения средств через адрес TJqPocniAs5fyauqLgmRJXdKdfgFGjMTRA, принадлежащий Hezbollah
Средства были получены в основном от пользователей централизованных платформ. Выводы производятся произвольными суммами, в основном напрямую или в 2 шага на другие адреса Hezbollah и централизованные платформы, в данном случае часть активов было отправлено пользователям платформ Kucoin и Binance.
Рис. 6. Визуализация. Часть движения средств через адрес TC79XFhLcFFP5AojzJEheFySZkyT4DLpQr, принадлежащий Hezbollah
Большая часть средств, полученная отмеченным адресом была перенаправлена на адрес 1, откуда одной транзакцией перенаправлена на адрес 2. После этого сумма была разделена на несколько адресов и таким образом пересылалась в 1-3 шага, в итоге активы были получены пользователем централизованной платформы Kucoin. Небольшая сумма в 100 USDT была отправлена на адрес Hezbollah, откуда в итоге дошла до получателя на централизованной платформе MEXC. Также 80 USDT были отправлены на DeFi платформу SUN.io. В визуализации показано движение средств в течение одного дня, часть средств вероятнее всего передвигалась через миксер криптовалют.
Итоги
Tether систематически отслеживает и блокирует адреса, связанные с незаконной деятельностью и сотрудничает с правоохранительными органами разных стран, замораживая активы недобросовестных пользователей. В настоящее время компания ведет «черный список» кошельков и добавляет в него адреса пользователей, связанные с мошенничеством, отмыванием незаконно полученных средств, а также адреса внесенные в списки OFAC.
Подводя итоги по теме движения средств на кошельках Hamas и Hezbollah, можно заметить, что они редко отправляют крупные суммы на централизованные платформы напрямую, зачастую средства переводятся на другие их адреса, либо передвигаются с участием других адресов не связанных с данными организациями, характер транзакций которых похож на работу миксинг сервисов.
При «отмывании» средств, активы часто попадают в миксеры криптовалют, которые насчитывают большое количество адресов. Если криптовалюта поступает в миксер, то вся сумма подвергается многочисленному, иногда длительному смешиванию монет, и далее к моменту поступления на централизованные платформы не просто найти источник происхождения средств. В связи с этим не все адреса могут быть обнаружены своевременно, но используя AML сервисы нередко удается отследить откуда были отправлены активы. Адреса связанные с миксерами криптовалют имеют высокий risk score и нередко активы поступающие с них могут быть заморожены при поступлении на централизованные платформы.
В данном материале показано движение средств по нескольким адресам, принадлежащим Hamas и Hezbollah. Но общая картина движения средств в том числе на других адресах похожа на показанную в этой статье.
P.S. Этот материал не оценивает произошедшее событие. Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.