Большое исследование от Chainalysis об использовании криптовалют в незаконной деятельности. Продолжение.
Даркнет-рынки
Выручка даркнет-маркетов бьет рекорды, превысив $2 млрд, несмотря на сокращение их числа
Даркнет-маркеты в 2021 году установили новый рекорд общей выручки в криптовалютах: $2,1 млрд. Около $300 млн из этой суммы было получено фрод-шопами, посредничающими в продаже украденных данных кредитных карт, аутентификации в сервисах, наборов эксплойтов и прочих нелегальных товаров. Остальная часть — более $1,8 млрд — была сгенерирована маркетами, специализирующимися на продаже наркотиков.
Chainalysis выявили также дополнительные (не учтенные на диаграмме выше) $112 млн дохода от прямых сделок между покупателями и поставщиками минуя посредничество даркнет-маркетов. Мы обсудим этот аспект более подробно далее в этом разделе.
Несмотря на продолжающийся рост общей выручки этих незаконных рынков, количество активных маркетплейсов в прошедшем году сократилось. По данным Chainalysis, на конец 2021 количество действующих фрод-шопов снизилось на 5, а рынков наркотиков — на 13 в сравнении с концом 2020 года.
Интересно, что многие закрытия торговых площадок в 2021 году носили плановый характер, и администраторы давали пользователям возможность заранее вывести средства. Это довольно необычно для рынков даркнета: раньше администраторы, закрывая маркет, зачастую скрывались со средствами пользователей в так называемых экзит-скамах (мошенничество при выходе). Однако в последнее время — возможно, чтобы избежать нежелательного преследования со стороны рассерженных пользователей — этот подход изменился.
Как это обычно бывает, расследования правоохранительных органов тоже способствовали либо стали непосредственной причиной многих закрытий. Например, менее чем за месяц до того, как Joker’s Stash объявили о добровольном закрытии своего фрод-шопа, ФБР и Интерпол конфисковали четыре его блокчейн-домена: .bazar, .lib, .emc и .coin. Позже, в июне, в ходе международной операции была захвачена инфраструктура Slil_PP, одного из крупнейших фрод-шопов, специализирующегося на украденных комбинациях логин-пароль. А в октябре Минюст США объявил о результатах операции Dark HunTor, в ходе которой были арестованы 150 наркоторговцев и закрыты два маркета наркотиков. Еще несколько даркнет-маркетов, такие как DarkMarket, Monopoly и CanadianHeadquarters, оказавшись в похожих опасных ситуациях, прекратили работу сами.
Среди оставшихся маркетов конкуренция сейчас жестче, чем когда-либо, и участники не стесняются играть грязно. Утечки данных, DDoS-атаки и взломы — совершенно обычные для этой отрасли явления, по словам Иэна Грея, старшего директора по исследованиям во Flashpoint. Вскоре после перезапуска AlphaBay в августе 2021 года маркетплейс подвергся DDoS-атаке, организатором которой выступил mr_white, администратор уже закрытого к сегодняшнему дню White House Market. Еще одна DDoS-атака, на этот раз с неустановленным организатором, буквально похоронила Cannazon, даркнет-маркет, специализировавшийся на марихуане, — он так и не смог восстановиться от атаки. Третий пример — публикация персональных данных предполагаемых администраторов даркнет-маркета Hydra в феврале.
Эти конкурентные войны, наряду с другими препятствиями для входа, такими как поиск хостинг-провайдера и удержание поставщиков, сделали открытие и администрирование даркнет-маркета слишком трудным делом для многих потенциальных участников рынка — еще одно объяснение снижению их числа.
Российский маркетплейс Hydra сохраняет лидерство по общему объему выручки, но другие даркнет-маркеты за пределами Восточной Европы тоже процветают
Hydra, даркнет-маркет, работающий только на русскоговорящие страны, остается крупнейшим маркетплейсом даркнета. В 2021 году на долю Hydra приходилось 80% от всей общемировой выручки даркнет-маркетов.
Hydra выделяется своим масштабом, ориентированностью в первую очередь на Россию и разнообразием предложения: хотя большую часть продаж составляют наркотики, на сайте представлены также услуги и инструменты, связанные с мошенничеством. Доля Hydra настолько велика, что мешает рассмотреть распределение долей других, более глобальных даркнет-маркетов.
На диаграмме ниже мы исключили Hydra, и оказалось, что остальные рынки даркнета находятся в гораздо более равномерной конкуренции.
Пять крупнейших даркнет-маркетов, помимо Hydra, за прошедший год в порядке убывания дохода: UniCC, FEshop, Flugsvamp Market, Bypass Shop и DarkMarket. Из этих пяти, три — это фрод-шопы (UniCC, FEshop, Bypass shop), два — рынки наркотиков (Flugsvamp Market и DarkMarket), и два из них были закрыты правоохранительными органами (UniCC и DarkMarket). Все эти рынки обслуживают клиентов по всему миру, за исключением Flugsvamp, работающего только на территории Швеции.
Сокращение числа пользователей и количества переводов в адрес рынков наркотиков более чем компенсируется растущим размером платежей
Любопытно, что за последние пять лет количество платежей в адрес рынков наркотиков значительно снизилось — с 11,7 млн в 2016 до всего 3,7 млн в 2021.
Число активных пользователей рынков наркотиков также сократилось с почти 1,7 млн в 2016 до 1,2 млн в 2021.
При таком снижении этих показателей можно было бы ожидать, что общая выручка рынков наркотиков упадет, но на самом деле произошло обратное. В период с 2016 по 2021 год рост общего валового дохода рынка наркотиков составил в среднем 35,7% в год. Но если за этим ростом не стоит увеличение числа пользователей и переводов, то в чем причина?
Наш вывод: укрупнение платежей. С 2016 по 2021 год средний размер криптовалютных платежей вырос со $160 до $493.
Интересно, что эта тенденция проявилась только для рынков наркотиков; средний размер платежей в адрес фрод-шопов почти не изменился. Но увеличению среднего размера платежей в адрес рынков наркотиков может быть несколько объяснений. Возможно, поставщики теперь больше продают распространителям наркотиков, вместо прямых продаж потребителям, или часть пользователей, раньше покупавших небольшие партии, теперь значительно укрупнили размер покупок. Но это может объясняться и повышением цен за единицу продукции — трудно сказать наверняка, не обладая точной информацией о том, что и в каком количестве заказывают пользователи.
Но каким бы ни было объяснение, очевидно, что природа даркнет-маркетов меняется. Прямые продажи от поставщиков покупателям, анонимные почтовые услуги и использование конфиденциальных койнов — это видимые аспекты происходящих изменений.
Сделки покупателей напрямую с поставщиками совершаются чаще, чем когда-либо
Объем прямых продаж от поставщиков покупателям — транзакций, проходящих мимо даркнет-маркетов — растет с 2019 года. Мы полагаем, что многие из этих связей покупатель-поставщик изначально были установлены в даркнет-маркетах, и после серии успешных сделок стороны договорились о проведении дальнейших сделок вне маркетов.
Объем такого рода прямых продаж в 2021 году достиг $112 млн, что эквивалентно примерно 5% от общей выручки даркнет-маркетов.
Этот рост объема прямых продаж может объясняться углублением доверия между давними покупателями и поставщиками, растущим недоверием к даркнет-маркетам, желанием избежать их комиссий, связей с известной незаконной деятельностью либо некоторой комбинацией этих факторов.
В среднем, с точки зрения долларового объема эти каналы прямых продаж имеют существенный вес: средний покупатель за 2021 год отправил предпочитаемому поставщику криптовалютных транзакций на сумму $8441. Настолько значительные суммы могут свидетельствовать о крупномасштабной незаконной деятельности, будь то оборот наркотиков или продажа финансовых данных, полученных мошенническим путем.
Впрочем, для медианного покупателя сумма криптовалютных транзакций, отправленных за 2021 год предпочитаемому поставщику, составила всего $603.
Это говорит о том, что, хотя крупные продажи составляют бóльшую часть от общего объема, прямые сделки между покупателями и поставщиками существуют в любом размере. Фактически это означает, что больше половины прямых связей между покупателями и поставщиками, скорее всего, действуют на розничном уровне, и эти покупатели за год отправляют поставщику криптовалют на сумму менее $603.
Тем не менее на статистические выбросы стоит обратить внимание. На схеме ниже мы визуализировали восемь крупнейших прямых каналов между покупателями и поставщиками по общему объему покупок за 2021 год.
Каждый из этих крупнейших покупателей, напрямую взаимодействующих с поставщиками, до того совершал сделки через Hydra — предположительно, с теми же поставщиками, хотя наверняка мы этого знать не можем. Это обстоятельство обозначено на схеме серыми линиями. А синие линии показывают прямые транзакции между сторонами без посредничества Hydra. В среднем каждый из этих покупателей за 2021 год отправил своему поставщику криптовалют на сумму более $3,1 млн. Это согласуется с нашей гипотезой о том, что самые крупные прямые взаимосвязи так или иначе связаны с крупномасштабной незаконной деятельностью.
Можно проанализировать историю транзакций поставщиков, подобных тем, что показаны выше, чтобы лучше понять их стратегию отмывания денег, основываясь на типах сервисов, на которые они отправляют средства.
Самое распространенное направление — это крупнейшие централизованные биржи, при этом биржи категории высокого риска и микшеры тоже получают значительную долю.
Конечно, не все исходящие транзакции поставщиков даркнет-маркетов предполагают отмывание денег. Поставщики часто используют криптовалюты для покупки продуктов и услуг, необходимых для их деятельности. Почтовые товары и услуги — марки, коробки, транспортные этикетки и т.п. — прекрасный тому пример, поскольку чаще всего продавцы наркотиков доставляют свои товары покупателям по почте. Chainalysis отслеживают активность нескольких поставщиков почтовых услуг, принимающих оплату в криптовалютах, и выявили нескольких поставщиков даркнет-маркетов, отправляющих этим сервисам значительные суммы.
Самые активные из поставщиков даркнет-маркетов за 2021 год приобрели почтовых услуг на сумму более $17 тыс. — всё криптовалютными платежами. Каждый из десяти остальных поставщиков остальных поставщиков потратил на почтовые услуги более $4 тыс. В общей сложности за 2021 год 322 поставщика даркнет-маркетов отправили на почтовые сервисы криптовалют на сумму $207 тыс., что подчеркивает важную роль, которую эти, казалось бы, нишевые сервисы играют в преступлениях, связанных с криптовалютами.
Распространение Monero в качестве средства расчетов на рынках даркнета растет
Monero получает всё большее распространение на рынках даркнета, и количество торговых площадок, принимающих платежи в XMR, выросло с 45% в 2020 году до 67% в 2021. Есть и маркеты, поддерживающие расчеты исключительно в Monero: Archetyp, обновленный AlphaBay и закрытый недавно White House Market. Однако биткойн по-прежнему доминирует в этой сфере: платежи в BTC поддерживают 93% рынков даркнета.
Консолидация, конкуренция и осторожность определяли эволюцию даркнет-рынков в 2021 году
Хотя спрос на наркотики и украденные учетные данные продолжает перемещаться в онлайн, практики «черных хакеров», применяемые конкурентами, и действия правоохранительных органов привели к закрытию многих даркнет-маркетов. Из осторожности несколько маркетов даже закрылись добровольно, а те, что пришли на их место, изначально используют улучшенные практики сохранения конфиденциальности. В то же время поставщики предприняли больше действий, чем когда-либо, для повышения анонимности доставки, и часть покупателей начала взаимодействовать с этими поставщиками напрямую. Все эти тенденции указывают на быстрое развитие индустрии даркнет-маркетов.
Для расследования дел, связанных с даркнет-маркетами, сегодня необходимо знать об этих тенденциях и уметь использовать необходимые инструменты — в том числе блокчейн-анализа — для работы в меняющихся условиях.
Финансирование терроризма
В этом разделе упоминается множество террористических организаций, запрещенных в различных странах. Не всех их мы обнаружили в перечне террористических и экстремистских организаций и материалов, запрещенных в России, хотя всем им там самое место. Организации, найденные в перечне промаркированы отдельно. Об остальных уведомляем этим сообщением.
К концу 2021 года Chainalysis выявили ряд террористических организаций, пытавшихся финансировать свою деятельность с помощью криптовалют. Однако труднее оказалось найти группировку, которая смогла бы избежать конфискации этих средств.
Для этого раздела мы выбрали три примера из 2021 года, наглядно демонстрирующие последние успехи правительств в борьбе с финансированием терроризма посредством криптовалют.
Кейс 1: конфискация Израилем криптовалют с адресов, связанных с краудфандинговыми кампаниями ХАМАС
Тридцатого июля израильское Бюро по борьбе с финансированием терроризма (NBCTF) объявило о конфискации криптовалют с нескольких кошельков, связанных с краудфандинговыми кампаниями ХАМАС. Меры были предприняты после значительного роста криптовалютных пожертвований бригадам Аль-Кассам в мае на фоне усиления боевых столкновений между группировкой и израильской армией.
Примечательно, что это первое изъятие криптовалют, связанных с финансированием терроризма, включающее в себя настолько широкое разнообразие цифровых активов. NBCTF конфисковали не только BTC, но и ETH, USDT, XRP и т.д. Это стало возможно благодаря расследованию на основе открытых источников в сочетании с использованием блокчейн-данных.
Здесь мы рассмотрим второй из этих факторов: как в этом расследовании использовался блокчейн-анализ.
Перемещение средств с адресов жертвователей на биржи
Граф транзакций ниже показывает транзакции в BTC, выполненные многими адресами, из списка, представленного NBCTF. Многие из этих адресов контролируются лицами, связанными с этими краудфандинговыми кампаниями.
Оранжевые шестиугольники представляют депозитные адреса крупных криптовалютных бирж, контролируемые лицами из списка NBCTF. Как видно по графу, средства часто проводились через ряд посреднических кошельков, высокорисковых криптовалютных бирж и финансовых сервисов, прежде чем попасть на биржи, с которых названные лица, вероятно, рассчитывали их обналичить.
Интересно, что два адреса жертвователей из списка NBCTF получили средства с адресов, связанных с идлибским офисом BitcoinTransfer (верхняя правая часть графа), сирийской криптовалютной биржи, уже имевшей отношение к случаям финансирования терроризма. Еще один адрес получил средства от ближневосточного финансового сервиса, до того получавшего транзакции от Медиацентра Ибн Таймия (прямо под кластером BitcoinTransfer), тоже имеющим историю финансирования терроризма.
Ценность блокчейн-анализа в сочетании с другими источниками данных
Это расследование — прекрасный пример ценности блокчейн-анализа, особенно при использовании в сочетании с другими открытыми данными. Израильские власти проанализировали данные из открытых источников, чтобы найти адреса жертвователей ХАМАС, и с помощью инструментов блокчейн-анализа смогли отследить ончейн-транзакции, определить консолидирующие их адреса и раскрыть имена людей, связанных с организацией этих краудфандинговых кампаний в пользу ХАМАС. В этом случае решающее значение имели актуальные данные о транзакциях, совершаемых в нескольких блокчейнах, поскольку агентам удалось отследить и конфисковать средства в нескольких криптовалютах.
Кейс 2: определение источника финансирования терроризма Управлением по контролю над иностранными активами (OFAC) Минфина США
Двадцать восьмого июля 2021 года OFAC ввело санкции в отношении Фарруха Фуркатовича Файзиматова за оказание материальной помощи и поддержку Хайат Тахрир аш-Шам (запрещенная в Российской Федерации террористическая организация), вооруженной группировки, участвовавшей в гражданской войне в Сирии. Файзиматов использовал социальные сети для пропаганды, вербовки новых членов и сбора средств на приобретение оборудования в пользу Хайат Тахрир аш-Шам.
Его усилия по сбору средств были связаны с адресом, отслеживаемым Chainalysis, схема взаимодействий которого представлена на этом графе:
В левой части графа видно, что Файзиматов получал средства непосредственно с централизованных и P2P-бирж, не собиравших идентификационных данных о клиентах. Это указывает на то, что лица, переводившие биткойны Файзиматову, желали сохранить анонимность. В правой части графа видно, что Файзиматов отправлял средства на российские криптовалютные биржи категории высокого риска, одну централизованную биржу без процедур KYC комплаенса и небольшую сумму предполагаемому поставщику с Hydra, российского даркнет-маркетплейса.
После введения персональных санкций со стороны OFAC ончейн-активность Файзиматова прекратилась.
Кейс 3: осуждение террориста из Уэльса, пойманного через даркнет-маркет Bypass Shop
В декабре 29-летний мужчина был приговорен к 16 месяцам тюремного заключения за биткойн-транзакции в адрес Bypass Shop, даркнет-маркета украденных данных кредитных карт.
Транзакции были совершены с кошелька мужчины на бирже, что побудило компанию опубликовать сообщение о подозрительных сделках. На основе предоставленных данных полиция опознала мужчину как Хурама Икбала из Кардиффа и организовала его арест.
Это было не первое столкновение Икбала с законом. В 2014 году он был заключен в тюрьму за хранение информации, связанной с терроризмом, и распространение экстремистских публикаций под псевдонимом Абу Ирхааб, что по-арабски означает «отец терроризма». В общей сложности у Икбала было найдено девять экземпляров издаваемого Аль-Каидой журнала Inspire, кроме того, он опубликовал более 800 ссылок на экстремистские материалы на Facebook.
До того Икбал предпринял две попытки присоединиться к джихаду, вылетая для этого в Кению и Турцию. В обоих случаях он был депортирован.
Блокчейн-анализ: лучший инструмент правительств в борьбе с финансированием терроризма посредством криптовалют
Террористические организации берут на вооружение новые блокчейн-технологии и методы сбора средств с помощью криптовалют, и правительствам крайне важно успевать реагировать на возникающие в связи с этим вызовы. Данные, собранные Chainalysis за 2021 год, показывают, что многие правительственные агентства эффективно отреагировали на эти изменения и достигли значительных результатов.
Методы блокчейн-анализа позволили правительствам конфисковать миллионы долларов в криптовалютах и пресечь деятельность множества организаторов финансирования терроризма — очередное доказательство того, что качественные инструменты блокчейн-анализа позволяют расследователям эффективно перекрывать каналы финансирования террористических организаций.
Навигация по постам серии
БитНовости отказываются от ответственности за любые инвестиционные рекомендации, которые могут содержаться в данной статье. Все высказанные суждения выражают исключительно личное мнения автора и респондентов. Любые действия, связанные с инвестициями и торговлей на крипторынках, сопряжены с риском потери инвестируемых средств. На основании предоставленных данных, вы принимаете инвестиционные решения взвешенно, ответственно и на свой страх и риск.
На основе источника