1 апреля 2020 Bloomchain
Менее чем за год через пирамиду PlusToken были отмыты сотни тысяч bitcoin. Расследовательская платформа Clain детально описала мошенническую схему, по которой работала эта компания.
Финансовая пирамида PlusToken начала свою деятельность в 2018 году. За время ее существования было привлечено более 480 тыс. BTC на депозиты, а порядка 195 тыс. BTC — похищены фаундерами.
PlusToken — одна из самых крупных финансовых пирамид за всю историю существования криптовалютной отрасли. Компания, позиционировала себя как международный децентрализованный проект. Пирамида работала по классической схеме Понци: первым участникам выплачивали деньги за счет средств новых пользователей.
При помощи собственной аналитической платформы компании Clain удалось выяснить подробности схемы, организованной создателями PlusToken.
Приведенный выше график наглядно демонстрирует масштабы деятельности пирамиды. Он показывает объемы средств, привлеченных и выведенных с PlusToken (вертикальные столбцы) и общее количество BTC на счетах компании (синяя линия).
Анализ этих данных позволяет сделать следующие выводы:
клиенты PlusToken обеспечивали стабильное поступление средств на счета компании вплоть до июля 2019 года;
объем поступающих средств рос экспоненциально, подобный процесс характерен для большинства компаний, работающих по схемам финансовых пирамид;
крах компании, вероятнее всего, был запланирован изначально — с начала 2019 года организаторы пирамиды несколько раз выводили средства в больших объемах. Они переводились в кошельки создателей PlusToken для подготовки к их отмыванию, которое началось после июля 2019 года.
Количество входящих транзакций в PlusToken
Количество новых кошельков в PlusToken
Увеличение количества активных кошельков, используемых для внесения средств в PlusToken (желтый цвет — новые адреса; зеленый — повторно использованные адреса).
Приведенные выше диаграммы также демонстрируют экспоненциальный рост активности PlusToken, который был резко прекращен в июле 2019 года.
Топ-10 контрагентов PlusToken по внесению и выводу BTC
Если исключить фактическую кражу средств со счетов PlusToken, то наибольшая доля транзакций приходится на операции с кошельками криптовалютной биржи Huobi Global Exchange. Кроме нее, большой объем средств на счета PlusToken перечислили OkCoin, Gate и Coinone.
Большая часть выведенных средств — около 60% — поступили на личные кошельки организаторов пирамиды. Оставшаяся часть средств была направлена клиентами PlusToken на счета Huobi, HaoBTC, ChBTC и других бирж.
География входящих и исходящих транзакций выглядит следующим образом:
Хищение средств PlusToken
Clain собрал и проанализировал все адреса кошельков, которые использовались для вывода средств со счетов PlusToken.
Этот график показывает, что похищенные средства накапливались на счетах PlusToken до сентября 2019 года. С августа, с целью скрыть незаконный характер действий, они начали постепенно выводиться на различные криптовалютные биржи.
CoinJoin
Мошенники использовали технологию CoinJoin для анонимизации транзакций bitcoin. Она позволяет усложнить отслеживание движения средств с одного счета на другой. Часть из них включала проведение нескольких операций с адресами bitcoin-кошельков разного типа (например, «1», «3» или «bc»). Подобные действия должны были создать видимость того, что транзакции совершали несколько независимых участников, хотя на самом деле все эти адреса принадлежали одним и тем же лицам. Вот пример одной из таких транзакций (38a8272c2ae91fd89e8 ….):
Пики на графике указывают периоды времени, в течение которых мошенники были особенно активны и совершали максимум транзакций. К примеру, в ноябре 2019 года при помощи подобных действий всего за один день состоялось более 20 тыс. транзакций. Манипуляции с последовательными переводами значительно усложняли возможность отследить происхождение средств благодаря тому, что в цепочках транзакций участвовало множество адресов: в общей сложности их количество достигло 500 тыс.
Clain визуализировала цепочки этих переводов для того, чтобы наглядно представить масштабы отмывания средств, устроенного организаторами PlusToken.
WasabiWallet
WasabiWallet — это сервис, позволяющий проводить транзакции типа CoinJoin. Такой тип транзакций очень популярен среди преступников, занимающихся отмыванием средств. Одним из известных случаев, связанных с WasabiWallet — это вывод через этот сервис более 25 тыс. BTC, похищенных после взлома криптовалютной биржи Dragonex.
WasabiWallet довольно эффективен при обработке транзакций в ежедневном объеме около 100-150 BTC, но эта эффективность резко снижается при переводах больших сумм. При них средства, участвующие в разных транзакциях, привязываются к одному и тому же пользователю, а не распределяются среди пула независимых участников. На приведенной ниже диаграмме показано, как мошеннические транзакции PlusToken, проводимые во время активной фазы отмывания средств, влияли на объем операций, проводимых через WasabiWallet.
Можно с уверенностью сказать, что создатели PlusToken спешили перевести средства через WasabiWallet и старались по возможности избегать проведения длинных цепочек транзакций CoinJoin. В итоге средства, отмытые через WasabiWallet, были объединены на их счетах с еще не отмытыми, что сделало полностью бессмысленными все предыдущие усилия мошенников.
Ниже приведен пример того, как транзакции по выводу средств со счетов PlusToken доминировали в общем обороте WasabiWallet.
Визуализация потока украденных средств
Clain визуализировала график движения средств в кластере PlusToken, чтобы продемонстрировать, как выглядит схема отмывания.
Первая фигура показывает движение средств за период с августа по октябрь 2019 года. Каждый цвет соотнесен со сроком проведения транзакций: красный относится к более раннему периоду, голубой — к более позднему. Узлы на схеме показывают комбинации входящих и исходящих адресов кошельков, участвовавших в этих транзакциях.
Утолщенные и удлиненные стороны фигуры соответствуют тем самым транзакциям CoinJoin, которые проводились с целью усложнить поиск реального источника средств. Несмотря на то, что их количество оказалось весьма значительным, их с легкостью можно обнаружить на приведенном графике, если увеличить его масштаб: в таком случае связь между двумя цепочками будет казаться более очевидной.
Ярко-красное пятно в центре следующего графика — кластер bitcoin-адресов WasabiWallet. Это самый центр теневой схемы, а связи, обозначенные разными цветами, показывают, что она использовалась в течение всего периода отмывания средств с августа по октябрь. Менее заметное красное пятно слева — это обменный кластер Huobi, через который мошенники распределяли значительную часть своих доходов после совершения операций через WasabiWallet.
Clain продемонстрировала, как именно средства, накопленные PlusToken, выводились мошенниками в свои кластеры bitcoin-кошельков. График показывает, что изначально они аккумулировали средства при помощи транзакций с огромным количеством входящих адресов (они объединены жирными линиями), а уже после этого проводили операции, призванные скрыть происхождение участвующих в них средств.
Вывод средств
Топ-10 получателей похищенных средств
Сортировка по группам:
Huobi и OKCoin — крупнейшие получатели средств из числа криптовалютных бирж. При этом большая часть активов была переведена на неизвестные адреса. Их основная доля, по всей видимости, также связана с организаторами PlusToken. Вот один из таких примеров:
Здесь речь может идти о внебиржевом трейдере, тесно связанным с Huobi, однако в этом не может быть полной уверенности.
Транзакции, связанные с биржами Huobi и OkCoin не совершались одновременно. Следующий график показывает, что переводы на счета OkCoin начали происходить гораздо позднее.
Если изучить адреса bitcoin-кошельков на Huobi, которые мошенники использовали для депонирования своих средств, то окажется, что их общее количество составляет около 100. Это относительно небольшое количество, учитывая объемы самих транзакций. На пяти крупнейших кошельках были собраны по несколько тысяч BTC, и тот факт, что биржа не обратила внимание на все эти операции, вызывает большие вопросы.
По данным Clain, некоторые из этих кошельков стали активными еще в 2017 и 2018 годах — это означает, что клиенты, которые их завели, должны были быть хорошо известны бирже.
К примеру, график, на котором отмечены все входящие транзакции по одному из этих адресов, показывает, что значительные суммы поступали на него еще в 2018 году:
WoToken
WoToken — это еще одна пирамида, активно работавшая до октября 2019 года. В ходе исследования выяснилось, что она была активно вовлечена в деятельность PlusToken. Ее крупнейшим контрагентом также была криптовалютная биржа Huobi — это логично, учитывая то, что оба проекта имели преимущественно “азиатскую географию”.
В результате хищения средств WoToken была выведена гораздо меньшая сумма — около 4600 BTC. При этом операции совершались прежде всего при помощи транзакций CoinJoin, на которые у мошенников из PlusToken не нашлось времени.
Clain изучила транзакции, в результате которых похищенные средства WoToken были переведены в кластер PlusToken, вот как выглядела одна из этих цепочек:
e651c2d51db7437e9d00a1912de3c97b43fc5b093ee505656e438cc69e8cb7c3
Источник: PlusToken: The Scale Of The Launder, Сlain
Первоначально в Clain предполагали, что в результате транзакций типа CoinJoin смешивалась информация о об исходящих адресах кошельков, фактически принадлежащих мошенникам из PlusToken. Однако, как выяснилось из анализа деятельности WoToken, эти транзакции также включали доходы от другой мошеннической схемы, в результате чего удалось прийти к следующим выводам:
WasabiWallet — это сервис, который, по-видимому, используется лишь киберпреступниками;
создатели PlusToken и WoToken — это одни и те же лица, потому что изученная Clain схема не предполагает вовлечения в нее никаких других участников.
Смешивание доходов от деятельности PlusToken и WoToken не позволяет эффективно отличить одну прибыль, полученную незаконным способом, от другой, тем не менее в результате исследования Clain удалось определить общий объем похищенных средств.
https://bloomchain.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter
Финансовая пирамида PlusToken начала свою деятельность в 2018 году. За время ее существования было привлечено более 480 тыс. BTC на депозиты, а порядка 195 тыс. BTC — похищены фаундерами.
PlusToken — одна из самых крупных финансовых пирамид за всю историю существования криптовалютной отрасли. Компания, позиционировала себя как международный децентрализованный проект. Пирамида работала по классической схеме Понци: первым участникам выплачивали деньги за счет средств новых пользователей.
При помощи собственной аналитической платформы компании Clain удалось выяснить подробности схемы, организованной создателями PlusToken.
Приведенный выше график наглядно демонстрирует масштабы деятельности пирамиды. Он показывает объемы средств, привлеченных и выведенных с PlusToken (вертикальные столбцы) и общее количество BTC на счетах компании (синяя линия).
Анализ этих данных позволяет сделать следующие выводы:
клиенты PlusToken обеспечивали стабильное поступление средств на счета компании вплоть до июля 2019 года;
объем поступающих средств рос экспоненциально, подобный процесс характерен для большинства компаний, работающих по схемам финансовых пирамид;
крах компании, вероятнее всего, был запланирован изначально — с начала 2019 года организаторы пирамиды несколько раз выводили средства в больших объемах. Они переводились в кошельки создателей PlusToken для подготовки к их отмыванию, которое началось после июля 2019 года.
Количество входящих транзакций в PlusToken
Количество новых кошельков в PlusToken
Увеличение количества активных кошельков, используемых для внесения средств в PlusToken (желтый цвет — новые адреса; зеленый — повторно использованные адреса).
Приведенные выше диаграммы также демонстрируют экспоненциальный рост активности PlusToken, который был резко прекращен в июле 2019 года.
Топ-10 контрагентов PlusToken по внесению и выводу BTC
Если исключить фактическую кражу средств со счетов PlusToken, то наибольшая доля транзакций приходится на операции с кошельками криптовалютной биржи Huobi Global Exchange. Кроме нее, большой объем средств на счета PlusToken перечислили OkCoin, Gate и Coinone.
Большая часть выведенных средств — около 60% — поступили на личные кошельки организаторов пирамиды. Оставшаяся часть средств была направлена клиентами PlusToken на счета Huobi, HaoBTC, ChBTC и других бирж.
География входящих и исходящих транзакций выглядит следующим образом:
Хищение средств PlusToken
Clain собрал и проанализировал все адреса кошельков, которые использовались для вывода средств со счетов PlusToken.
Этот график показывает, что похищенные средства накапливались на счетах PlusToken до сентября 2019 года. С августа, с целью скрыть незаконный характер действий, они начали постепенно выводиться на различные криптовалютные биржи.
CoinJoin
Мошенники использовали технологию CoinJoin для анонимизации транзакций bitcoin. Она позволяет усложнить отслеживание движения средств с одного счета на другой. Часть из них включала проведение нескольких операций с адресами bitcoin-кошельков разного типа (например, «1», «3» или «bc»). Подобные действия должны были создать видимость того, что транзакции совершали несколько независимых участников, хотя на самом деле все эти адреса принадлежали одним и тем же лицам. Вот пример одной из таких транзакций (38a8272c2ae91fd89e8 ….):
Пики на графике указывают периоды времени, в течение которых мошенники были особенно активны и совершали максимум транзакций. К примеру, в ноябре 2019 года при помощи подобных действий всего за один день состоялось более 20 тыс. транзакций. Манипуляции с последовательными переводами значительно усложняли возможность отследить происхождение средств благодаря тому, что в цепочках транзакций участвовало множество адресов: в общей сложности их количество достигло 500 тыс.
Clain визуализировала цепочки этих переводов для того, чтобы наглядно представить масштабы отмывания средств, устроенного организаторами PlusToken.
WasabiWallet
WasabiWallet — это сервис, позволяющий проводить транзакции типа CoinJoin. Такой тип транзакций очень популярен среди преступников, занимающихся отмыванием средств. Одним из известных случаев, связанных с WasabiWallet — это вывод через этот сервис более 25 тыс. BTC, похищенных после взлома криптовалютной биржи Dragonex.
WasabiWallet довольно эффективен при обработке транзакций в ежедневном объеме около 100-150 BTC, но эта эффективность резко снижается при переводах больших сумм. При них средства, участвующие в разных транзакциях, привязываются к одному и тому же пользователю, а не распределяются среди пула независимых участников. На приведенной ниже диаграмме показано, как мошеннические транзакции PlusToken, проводимые во время активной фазы отмывания средств, влияли на объем операций, проводимых через WasabiWallet.
Можно с уверенностью сказать, что создатели PlusToken спешили перевести средства через WasabiWallet и старались по возможности избегать проведения длинных цепочек транзакций CoinJoin. В итоге средства, отмытые через WasabiWallet, были объединены на их счетах с еще не отмытыми, что сделало полностью бессмысленными все предыдущие усилия мошенников.
Ниже приведен пример того, как транзакции по выводу средств со счетов PlusToken доминировали в общем обороте WasabiWallet.
Визуализация потока украденных средств
Clain визуализировала график движения средств в кластере PlusToken, чтобы продемонстрировать, как выглядит схема отмывания.
Первая фигура показывает движение средств за период с августа по октябрь 2019 года. Каждый цвет соотнесен со сроком проведения транзакций: красный относится к более раннему периоду, голубой — к более позднему. Узлы на схеме показывают комбинации входящих и исходящих адресов кошельков, участвовавших в этих транзакциях.
Утолщенные и удлиненные стороны фигуры соответствуют тем самым транзакциям CoinJoin, которые проводились с целью усложнить поиск реального источника средств. Несмотря на то, что их количество оказалось весьма значительным, их с легкостью можно обнаружить на приведенном графике, если увеличить его масштаб: в таком случае связь между двумя цепочками будет казаться более очевидной.
Ярко-красное пятно в центре следующего графика — кластер bitcoin-адресов WasabiWallet. Это самый центр теневой схемы, а связи, обозначенные разными цветами, показывают, что она использовалась в течение всего периода отмывания средств с августа по октябрь. Менее заметное красное пятно слева — это обменный кластер Huobi, через который мошенники распределяли значительную часть своих доходов после совершения операций через WasabiWallet.
Clain продемонстрировала, как именно средства, накопленные PlusToken, выводились мошенниками в свои кластеры bitcoin-кошельков. График показывает, что изначально они аккумулировали средства при помощи транзакций с огромным количеством входящих адресов (они объединены жирными линиями), а уже после этого проводили операции, призванные скрыть происхождение участвующих в них средств.
Вывод средств
Топ-10 получателей похищенных средств
Сортировка по группам:
Huobi и OKCoin — крупнейшие получатели средств из числа криптовалютных бирж. При этом большая часть активов была переведена на неизвестные адреса. Их основная доля, по всей видимости, также связана с организаторами PlusToken. Вот один из таких примеров:
Здесь речь может идти о внебиржевом трейдере, тесно связанным с Huobi, однако в этом не может быть полной уверенности.
Транзакции, связанные с биржами Huobi и OkCoin не совершались одновременно. Следующий график показывает, что переводы на счета OkCoin начали происходить гораздо позднее.
Если изучить адреса bitcoin-кошельков на Huobi, которые мошенники использовали для депонирования своих средств, то окажется, что их общее количество составляет около 100. Это относительно небольшое количество, учитывая объемы самих транзакций. На пяти крупнейших кошельках были собраны по несколько тысяч BTC, и тот факт, что биржа не обратила внимание на все эти операции, вызывает большие вопросы.
По данным Clain, некоторые из этих кошельков стали активными еще в 2017 и 2018 годах — это означает, что клиенты, которые их завели, должны были быть хорошо известны бирже.
К примеру, график, на котором отмечены все входящие транзакции по одному из этих адресов, показывает, что значительные суммы поступали на него еще в 2018 году:
WoToken
WoToken — это еще одна пирамида, активно работавшая до октября 2019 года. В ходе исследования выяснилось, что она была активно вовлечена в деятельность PlusToken. Ее крупнейшим контрагентом также была криптовалютная биржа Huobi — это логично, учитывая то, что оба проекта имели преимущественно “азиатскую географию”.
В результате хищения средств WoToken была выведена гораздо меньшая сумма — около 4600 BTC. При этом операции совершались прежде всего при помощи транзакций CoinJoin, на которые у мошенников из PlusToken не нашлось времени.
Clain изучила транзакции, в результате которых похищенные средства WoToken были переведены в кластер PlusToken, вот как выглядела одна из этих цепочек:
e651c2d51db7437e9d00a1912de3c97b43fc5b093ee505656e438cc69e8cb7c3
Источник: PlusToken: The Scale Of The Launder, Сlain
Первоначально в Clain предполагали, что в результате транзакций типа CoinJoin смешивалась информация о об исходящих адресах кошельков, фактически принадлежащих мошенникам из PlusToken. Однако, как выяснилось из анализа деятельности WoToken, эти транзакции также включали доходы от другой мошеннической схемы, в результате чего удалось прийти к следующим выводам:
WasabiWallet — это сервис, который, по-видимому, используется лишь киберпреступниками;
создатели PlusToken и WoToken — это одни и те же лица, потому что изученная Clain схема не предполагает вовлечения в нее никаких других участников.
Смешивание доходов от деятельности PlusToken и WoToken не позволяет эффективно отличить одну прибыль, полученную незаконным способом, от другой, тем не менее в результате исследования Clain удалось определить общий объем похищенных средств.
https://bloomchain.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter