Когда речь заходит о безопасности сделки с цифровыми активами, в первую очередь пользователи думают о том, как бы не получить «грязные» средства. Такой считается криптовалюта, если установлена ее связь с противоправной деятельностью или поступившая от подсанкционных компаний либо адресов, связанных с российскими сервисами.
Почему торговые площадки блокируют аккаунты, как «чистая» транзакция может привести к заморозке средств и насколько глубоко AML-системы отслеживают цепочки переводов? Объясняет Федор Иванов — директор по аналитике компании «Шард».
Что влияет на доверие биржи
В последнее время в нашу компанию обращаются клиенты криптобирж, которым платформа заблокировала аккаунт без видимых причин. Как правило, такие блокировки сопровождаются требованием предоставить информацию о происхождении средств или пройти дополнительные процедуры KYC. Клиенты, убежденные в том, что причина в «грязной» криптовалюте, пытаются установить ее источник и обвинить в проблемах обменник или контрагента, от которого она была получена. Как показывает практика, дело далеко не всегда в этом.
Риск-профиль пользователя на криптобирже формируется не только на основе «чистоты» поступающей на его адрес криптовалюты, но и с учетом комплексной оценки ряда факторов, включая данные, предоставленные при регистрации. Несмотря на заявленные многими площадками высокие суточные и месячные лимиты на операции, на практике для обычных пользователей они оказываются значительно ниже. У вас может быть установлен лимит на ввод и вывод в размере $1 млн, но важно понимать, что крупные биржи обязательно запросят подтверждение источника средств. Если вы его не предоставите, аккаунт могут заблокировать вместе со всеми активами. В отличие от банков, биржи могут удерживать средства достаточно долго, и вывести их будет проблематично.
Криптобиржи являются финансовыми институтами и, несмотря на отсутствие регулирования в России, сами платформы придерживаются международных стандартов и внимательно следят за качеством своей клиентской базы. В одном из недавних случаев крупная площадка заблокировала аккаунт пользователя после поступления на него перевода свыше 100 000 USDT с адреса другой известной биржи. Несмотря на то, что средства были «чистыми», аккаунт был заморожен. В ходе проверки выяснилось, что у клиента ранее не было таких крупных операций, а уровень верификации оставался базовым, несмотря на заявленные высокие лимиты.
Источники происхождения криптовалюты также важны. Чем больше криптобиржи подпадают под контроль регуляторов, тем внимательнее они следят за своими клиентами и строже относятся к поступающим средствам. В качестве примера: многие европейские сервисы из-за опасений обхода санкций не принимают криптовалюту на аккаунты жителей ЕС, россиян и граждан других стран СНГ — если она не поступает с крупной международной биржи или европейской централизованной платформы. Это связано с тем, что клиенты этой категории считаются высокорисковыми.
В результате любой не полностью «чистый» перевод может привести к блокировке аккаунта с требованием большого объема документов и неопределенным исходом. Важно понимать, что биржа перестраховывается: их AML-сервисы постоянно обновляются, пересматривают транзакции с учетом новых данных, доразметка адресов происходит постоянно. Поэтому биржа не готова брать на себя риск возможного получения средств с адресов подсанкционных компаний, о которых AML-система не знает в момент проведения операции. Если перевод изначально прозрачный, с адреса известной крупной биржи — проблем не возникает, а при наличии «серых» зон клиенту придется подробно документировать весь путь своих средств.
Именно поэтому важно проверять адреса с помощью AML-систем, которые самостоятельно обновляют свои базы данных, а не перепродают чужие данные с неизвестной частотой обновления «разметки».
Какие техники используют злоумышленники
Преступники знают, что все транзакции в блокчейне неизменны, а AML-сервисы автоматически отслеживают все известные им криминальные операции. Поэтому они используют разные схемы, чтобы уйти из-под мониторинга. Несмотря на растущую сложность таких методов, им это все же удается.
Адрес, который однажды получил «грязные» монеты, с точки зрения AML-сервиса всегда будет считаться таким. Полностью «отмыть» его невозможно, ведь данные о транзакциях остаются неизменными, даже если после поступления «грязных» монет на адрес переводятся крупные суммы «чистой» криптовалюты. Современные AML-сервисы способны отличить случайную «пыль» от целенаправленного отмывания. При этом злоумышленники могут сменить адрес, отправив криптовалюту на миксер или децентрализованную биржу (DEX), где требования к чистоте средств менее строгие. Некоторые децентрализованные сервисы все еще не проводят AML-проверки. Тем не менее этот способ остается одним из основных у преступников, а отследить средства, прошедшие через криптомиксер, очень сложно. При этом такие средства не считаются чистыми, так как криптомиксер априори является сомнительным источником.
В случаях бытовых мошенничеств преступники стараются как можно быстрее перевести украденную криптовалюту на централизованную биржу, пока информация о противоправном действии не стала публичной. Если им это удается, криптовалюта считается отмытой: она обменивается на фиат и попадает к другим клиентам биржи.
С точки зрения «разметки», такие средства становятся «чистыми». Поэтому при любом инциденте важно сообщать о нем не только в полицию, но и передавать информацию известным AML-провайдерам. Биржи и обменники, которые с ними сотрудничают, уже не примут такие средства, что значительно усложнит действия злоумышленников.
Можно ли подделать ончейн-активность
Ончейн-активность подделать нельзя, но можно сымитировать. Блокчейн прозрачен, но эта открытость может быть использована и в интересах мошенников. Они используют дешевые и эффективные способы создать видимость популярности там, где ее нет. Есть множество вариантов внушить доверие жертвам мошенничества, наиболее распространенные из них:
атака Сивиллы. Создаются сотни кошельков, которые используются для имитации торговли токенами, участия в голосованиях ДАО, создания видимости активного сообщества. В результате жертвы уверены, что взаимодействуют с реальными и проверенными адресами известных проектов;
вош-трейдинг. Совершаются для тех же целей. Несмотря на то, что этот прием больше известен как способ накрутки объемов торгов на децентрализованных биржах, его также используют для создания иллюзии активности: мошенник проводит транзакции сам с собой через разные сервисы, а затем демонстрирует контрагенту якобы активный кошелек с большими оборотами. Такой подход может скрывать связи с сомнительными источниками и усыплять бдительность жертвы.
Люди склонны доверять выбору большинства. Если что-то кажется популярным, они подсознательно маркируют это как «качественное» и «безопасное». Новичкам сложно отличить настоящую активность от поддельной. Простые метрики вроде количества транзакций на кошельке или количества держателей токена легко сфальсифицировать, а глубокий анализ цепочек транзакций требует времени и опыта.
https://forklog.com/exclusive/ataki-stali-slozhnee-ataki-stali-bolee-produmannymi
Почему даже проверенные адреса могут участвовать в сомнительных транзакциях
Как уже говорилось, разметка криптовалюты — постоянно изменяющаяся сущность. Ваш проверенный контрагент получил от другого проверенного контрагента вроде бы «чистую» криптовалюту, но потом AML-провайдер установил еще ряд адресов подсанкционного сервиса, и она стала «грязной».
Также популярны схемы типа «треугольник», когда украденная криптовалюта отправляется ее добросовестному покупателю (или продавцу). В итоге биржа может забанить такой аккаунт и ваш адрес попадет в черные списки, так как жертва напишет заявление в полицию и передаст данные о кошельке в AML-сервисы для маркировки.
Что позволит выявить скрытые связи у внешне безопасных кошельков:
проверка через AML-системы. Любой кошелек контрагента, на который вы планируете отправить средства или с которого собираетесь их получить, следует в первую очередь проверить через AML-сервис. Если речь идет о крупных суммах и источник не до конца прозрачен — лучше использовать несколько систем одновременно для большей надежности;
подозрительная цепочка транзитных адресов. Если адрес создан недавно и получил средства с другого, также нового транзитного адреса, а тот — с еще одного и так далее, это может указывать на попытку скрыть реальный источник криптовалюты;
следы миксеров и активность на DEX. Наличие на адресе монет, ранее прошедших через криптомиксеры, а также высокая активность на децентрализованных биржах: это не всегда означает что-то сомнительное, но владелец адреса должен уметь четко объяснить характер таких операций;
криминальные метки в истории адреса. Если на адрес уже поступали монеты, помеченные как связанные с преступной деятельностью — это всегда красный флаг;
накрученная ончейн-активность. Повторяющиеся шаблонные транзакции: одинаковые суммы, круглые числа (например, ровно 1000 токенов), быстрые переводы между одними и теми же адресами. В любом случае, хорошо бы не только проверить кошелек AML-сервисом, но и изучить его ончейн-активность.
