Как отмыть деньги в крипте
Вчера я долго не мог уснуть и, чтобы добить свою нервную систему, представил гипотетическую ситуацию.
Если бы я украл 100 000 USDT, как бы я их отмывал в блокчейне?
Я начал фантазировать и перебирать варианты, что бы я делал. Мозг накидывал банальные идеи: миксеры, бриджи, вывод через P2P. Но каждый вариант казался дырявым.
Утром я встал и решил изучить вопрос подробнее: насколько легко скрыть украденную крипту?
! Дисклеймер
Это не инструкция и не призыв к скаму. В статье разбираю, какими способами хакеры отмывают крипту и как это отслеживают ончейн-детективы.
Сколько украдено в крипте
За все время существования крипты, хакеры украли примерно $15,7 млрд. Это только официально зафиксированные случаи взломов проектов, без учета скама обычных пользователей.
Абсолютные чемпионы в этой нише — хакеры из группировки Lazarus. Эти северокорейские трудяги работают 7/0 и бесконечно исследуют социальные и инженерные уязвимости протоколов. Об их способах взлома можно написать отдельную статью, но не сейчас.
По оценкам аналитиков, возвращается менее 10 % украденных активов, но не потому, что их невозможно найти, а потому, что они успевают уйти в фиат через сложные многослойные схемы ещё до начала расследования. Как же им это удается?
Разберем алгоритм действий хакеров.
Этап 1. Размещение
После успешного хака средства мгновенно попадают на горячие кошельки.
Типичный сценарий:
- Украденные средства (чаще всего ETH, USDT, USDC) поступают на первичный кошелёк.
- Lazarus немедленно запускает автоматизированные скрипты для дробления суммы.
- Создаётся сеть из десятков промежуточных кошельков для рассеивания внимания.
Им нужно выиграть время.
Пример (Ronin Bridge, 2022)
В течение 48 часов после кражи $625 млн средства были разделены на более чем 200 кошельков в сети Ethereum. Это классический приём — создать шум и затруднить первичный анализ.
Этап 2. Расслоение
Здесь хакеры применяют комбинацию методов. Ни один из них не используется изолированно, только в связке.
Миксеры
До августа 2022 Lazarus массово использовали Tornado Cash. Позже OFAC вводит санкции против сервиса. Доступ к фронтенду заблокирован, смарт-контракты помечены.
В 2023 году перешли на Sinbad — клон Tornado Cash. Chainalysis фиксирует через него обработку $100+ млн от Lazarus. В ноябре 2023 года и этот сервис заблокировали.
Последние года они используют децентрализованных миксеры в меньшей степени и в большей свои кастомные решения.
Прыжки между блокчейнами
Lazarus активно использует кросс-чейн мосты для усложнения трекинга.
Типичный маршрут (на примере хака Poloniex, 2024): Ethereum → Arbitrum → Base → Polygon → BSC → Ethereum (через другой мост).
Ключевые инструменты:
- Wormhole, Stargate, LayerZero — для бриджей
- Кастомные мосты, созданные специально для обхода мониторинга
Каждый переход добавляет слой сложности для аналитиков. Разные блокчейны имеют разный уровень прозрачности.
Нужно понимать, что транзакции через бриджи только замедляют, а не останавливают ончейн-аналитиков.
Приватные монеты как самый мощный инструмент
После многоэтапного расслоения Lazarus конвертирует часть средств в Monero (XMR).
Как это работает:
- Украденные средства → DEX (например, Uniswap) → ETH → XMR через атомарный своп или централизованный обменник без KYC.
- XMR гоняется внутри сети Monero (кольцевые подписи, скрытые адреса).
- При необходимости — обратная конвертация в прозрачный актив для вывода.
Высокая криптографическая анонимность (подтверждена исследованиями Европола). Отследить такие транзакции тяжело даже для продвинутых аналитических систем.
Минус в том, что ликвидность приватных монет сильно ограничена.
Создание шума через DeFi
Как и бриджи между блокчейнами, DeFi используется для создания шума из транзакций и замедления расследования.
- Свапы через DEX: USDT → DAI → ETH → WBTC → USDC (многократно)
- Добавление/изъятие средств из пулов Uniswap/Sushiswap для создания «естественного» трафика
- Краткосрочные займы для создания сложных транзакций в одном блоке
Этап 3: Интеграция
Шаг с выводом в фиат самый рискованный и сложный. Здесь схема чаще всего ломается.
Методы Lazarus:
- P2P-платформы
Обмен через подставных лиц (мулов) в странах с низким регулированием - Оффшорные биржи
Использование площадок без строгого KYC (часто в Юго-Восточной Азии) - Нелегальные обменники
Сотрудничество с криминальными сетями в даркнете - Физические активы
Покупка золота, недвижимости через посредников
Согласно отчёту Chainalysis, 71,7% всех криминальных средств, уходящих в фиат, проходят через всего пять сервисов. Это создаёт узкое горлышко для регуляторов.
Почему способы хакеров становятся менее эффективными
- Санкционная машина работает быстрее. От появления нового миксера до его внесения в чёрные списки — дни, а не месяцы.
- Инфраструктура кооперируется. Биржи, эмитенты стейблкоинов, аналитические компании и регуляторы обмениваются данными в реальном времени.
- Человеческий фактор неизбежен. Даже у государственных хакеров случаются ошибки: повторное использование адреса, утечка метаданных, неосторожная конвертация.
- Экономика отмывания разрушается. Комиссии миксеров (1–3%), потери на свапах, риски блокировки — итоговая «стоимость отмывания» достигает 15–25% от суммы.
- Блокчейн — не убежище, а ловушка. Каждая транзакция навсегда записана. Чем сложнее схема — тем больше цифровых доказательств.
Финальный инсайт
Lazarus Group — не непобедимые хакер», а показательный пример провала криминальной экономики в эпоху прозрачных данных. Их схемы становятся всё более хрупкими не из-за технологического превосходства, а из-за системной координации: аналитика + регуляторы + инфраструктура.