Використання стейблкоїнів у відмиванні грошей та фінансуванні тероризму: Аналіз чорного списку USDT

Вступ

В останні роки сфера використання стейблкоїнів постійно розширюється, а регулятори все більше звертають увагу на створення механізмів заморожування незаконних коштів. Основні стейблкоїни, такі як USDT і USDC, вже мають цю технічну можливість і довели свою роль у боротьбі з відмиванням грошей та незаконною фінансовою діяльністю в кількох випадках.

Дослідження показало, що стейблкоїни використовуються не лише для відмивання грошей, але й часто з'являються в процесі фінансування терористичних організацій. Ця стаття буде аналізувати з двох аспектів:

1. Система переглядає замороження адрес у чорному списку USDT;
2. Обговорення зв'язку між замороженими коштами та фінансуванням тероризму.

1. Аналіз адрес чорного списку USDT

За допомогою моніторингу подій в ланцюзі ми виявили та відстежили адреси з чорного списку Tether. Методи аналізу були перевірені через вихідний код смарт-контракту Tether. Основна логіка така:

• Ідентифікація подій: Контракт Tether підтримує статус чорного списку через дві події:

  • Додати адресу до чорного списку
  • Видалити адреси з чорного списку

• Побудова набору даних: для кожної адреси, що була заблокована, записати таку інформацію:

  • Адреса сама по собі
  • Час додавання до чорного списку
  • Якщо адреса буде видалена з чорного списку, то буде зафіксовано час зняття.

1.1 Основні висновки

На основі даних Tether на блокчейнах Ethereum та Tron, ми виявили:

З 1 січня 2016 року до чорного списку було внесено 5,188 адрес, що призвело до замороження коштів на суму понад 2,9 мільярда доларів.

Лише з 13 по 30 червня 2025 року було заблоковано 151 адресу, з яких 90,07% належали до мережі Tron, а загальна сума заморожених коштів становила 8 634 000 доларів США. Розподіл часу подій у чорному списку: піки блокування спостерігалися 15, 20 та 25 червня, зокрема 20 червня було заблоковано 63 адреси за один день.

• Розподіл заморожених коштів: адреси, що займають перші десять місць за сумою, заморозили в загальному 5,345 мільйона доларів США, що становить 61,91% від загальної замороженої суми. Середня заморожена сума становить 57,18 тисяч доларів США, але медіана лише 40 тисяч доларів США, що свідчить про те, що невелика кількість великих адрес підвищує загальну середню.

• Розподіл коштів за життєвим циклом: ці адреси отримали в загальному 808 мільйонів доларів, з яких 721 мільйон доларів був переведений до внесення в чорний список, лише 86,34 мільйона доларів фактично заморожено. Це свідчить про те, що більшість коштів була успішно переведена до втручання регулятора. Крім того, 17% адрес взагалі не мають записів про вихід, що може свідчити про використання їх як тимчасових сховищ або точок агрегування коштів.

• Нові створені адреси легше піддаються блокуванню: 41% адрес у чорному списку були створені менш ніж 30 днів тому, 27% існували 91-365 днів, і лише 3% використовувалися більше 2 років, що свідчить про те, що нові адреси частіше використовуються для незаконної діяльності.

• Більшість адрес реалізують "втечу перед замороженням": приблизно 54% адрес раніше перевели понад 90% своїх коштів, ще 10% мали залишок 0 на момент замороження, що свідчить про те, що більшість правоохоронних дій можуть лише заморозити залишкову вартість коштів.

• Нова адреса має вищу ефективність відмивання грошей: за результатами аналізу, нові адреси виділяються за кількістю, частотою внесення до чорного списку та ефективністю переказів, маючи найвищий відсоток успішного відмивання грошей.

1.2 Слідкування за рухом коштів

За допомогою інструментів для відстеження в ланцюгу ми додатково проаналізували рух коштів 151 адреси USDT, які були заблоковані з 13 по 30 червня, і виявили основні джерела та напрями коштів.

1.2.1 Аналіз джерел фінансування

• Внутрішнє забруднення (91 адреса): ці адреси отримують кошти з інших вже заблокованих адрес, що свідчить про наявність високозв'язаної мережі відмивання грошей.

• Рибальські мітки (37 адрес): багато верхніх адрес позначені як "Fake Phishing", що може бути обманливим маркуванням для приховування незаконного походження.

• Гарячий гаманець біржі (34 адреси): джерела фінансування включають гарячі гаманці кількох відомих бірж, які можуть бути пов'язані з вкраденими рахунками або "муловими рахунками".

• Один основний розподільник (35 адрес): той самий адреса в чорному списку неодноразово виступає як верхній, можливо, як агрегатор або міксер для розподілу коштів.

• Вхід для кросчейн-мосту (2 адреси): частина коштів походить з кросчейн-мосту, що вказує на наявність операцій з кросчейн-відмиванням грошей.

1.2.2 Аналіз напрямків фінансування

• Переміщення до інших адрес зі списку чорних (54): між адресами зі списку чорних існує структура "внутрішнього циклічного ланцюга".

• Напрямок до централізованих бірж (41 адреса): ці адреси переводять кошти на рахунки поповнення кількох відомих CEX, реалізуючи "вихід".

• Напрямок міжланцюгового моста (12 штук): вказує на те, що частина коштів намагається втекти з екосистеми Tron, продовжуючи міжланцюгове відмивання грошей.

Варто зазначити, що деякі біржі одночасно з'являються на обох кінцях грошових потоків (гарячий гаманець) та витоків (адреси поповнення), що ще більше підкреслює їхню центральну роль у фінансовому ланцюзі. Наявність недостатнього виконання AML/CFT з боку бірж та затримка замороження активів може дозволити злочинцям завершити переказ активів до втручання регуляторів.

Ми рекомендуємо всім великим криптовалютним біржам, як основному каналу коштів, посилити моніторинг в реальному часі та механізми перехоплення ризиків, щоб запобігти можливим проблемам.

2. Аналіз фінансування тероризму

Щоб далі зрозуміти використання USDT у фінансуванні тероризму, ми проаналізували адміністративний арешт, опублікований Національним бюро фінансування боротьби з тероризмом Ізраїлю (NBCTF). Хоча використане єдине джерело даних важко відтворити в повному обсязі, але його можна використовувати як репрезентативну вибірку для оцінки консервативного аналізу та оцінки угод USDT, пов'язаних із тероризмом.

2.1 Основні висновки

• Дата публікації: з 13 червня 2025 року, після загострення конфлікту між Ізраїлем та Іраном, було видано лише один новий ордер на арешт (26 червня). Попередній документ залишався на 8 червня, що вказує на затримку в реагуванні правоохоронних органів в умовах геополітичної напруги.

• Цільова організація: з моменту початку конфлікту 7 жовтня 2024 року NBCTF опублікувала 8 наказів про арешт, з яких 4 явно згадують "ХАМАС", а останній вперше згадує "Іран".

• Адреси та активи, що підлягають арешту:

  • 76 монета USDT (Tron) адреси
  • 16 BTC адресів
  • 2 ефірні адреси
  • 641 акаунтів певної торгової платформи
  • 8 облікових записів на певній платформі

Ми провели онлайновий моніторинг адреси 76 USDT (Tron), що виявило два моделі поведінки Tether у відповідь на ці офіційні інструкції:

1. Активне заморожування: Tether вже до видання ордера на арешт заніс 17 адрес, пов'язаних з ХАМАС, до чорного списку, в середньому за 28 днів наперед, а в деяких випадках навіть за 45 днів.

2. Швидка реакція: для решти адрес Tether в середньому лише за 2,1 дня після оприлюднення наказу про арешт завершив заморожування, що свідчить про хорошу співпрацю з правоохоронними органами.

Ці ознаки свідчать про тісну, навіть попередню, співпрацю між Tether та деякими правоохоронними органами країн.

3. Підсумки та виклики, з якими стикаються AML/CFT

Наше дослідження показує, що, хоча стейблкоїни, такі як USDT, забезпечують технічні засоби для контролю за торгівлею, на практиці AML/CFT все ще стикається з такими викликами:

3.1 Основні виклики

• Запізніле правоохоронне реагування проти активного контролю: наразі більшість правоохоронних дій все ще залежить від постфактумного реагування, залишаючи простір для злочинців для переміщення активів.

• Регуляторні сліпі зони біржі: централізовані біржі, як вузли для виведення та введення коштів, часто недостатньо контролюються, що ускладнює своєчасне виявлення аномальної поведінки.

• Крос-чейн відмивання грошей стає все більш складним: використання мульти-ланцюгової екосистеми та крос-чейн мостів робить переміщення коштів більш прихованим, а контроль за ними ускладнюється.

3.2 Рекомендації

Ми рекомендуємо емітентам стейблкоїнів, біржам та регуляторам:

• Посилення обміну інформацією в мережі;
• Інвестиційний аналіз поведінки в реальному часі;
• Створення крос-чейн регуляторної рамки.

Тільки в умовах своєчасної, скоординованої та технологічно зрілої системи AML/CFT легітимність та безпека екосистеми стейблкоїнів можуть бути дійсно гарантувані.

4. Зусилля галузі

Наразі в галузі активно працюють над підвищенням безпеки та відповідності криптоіндустрії, зосереджуючи увагу на наданні практичних та здійсненних рішень на базі блокчейну для AML та CFT. Деякі ключові продукти включають:

4.1 Комплаєнс-рішення

Спеціально розроблений для бірж, регуляторних органів, платіжних проектів та DEX, підтримує:

• Ризик-оцінка багатоканальної адреси
• Моніторинг торгівлі в реальному часі
• Виявлення та оповіщення про чорний список

Допомога користувачам у дотриманні дедалі суворіших вимог щодо відповідності.

4.2 Візуалізаційна платформа для трекінгу в ланцюгу

Ці платформи вже були прийняті багатьма глобальними регуляторними та правоохоронними органами. Вони підтримують:

• Візуалізація відстеження коштів
• Багатозначна адреса
• Відновлення та аналіз складних шляхів

Ці інструменти спільно втілюють місію захисту порядку та безпеки децентралізованої фінансової системи в галузі.