Криптовалютная пирамида PlusToken: масштаб отмывания средств

Менее чем за год через пирамиду PlusToken были отмыты сотни тысяч bitcoin. Расследовательская платформа Clain детально описала мошенническую схему, по которой работала эта компания.

Финансовая пирамида PlusToken начала свою деятельность в 2018 году. За время ее существования было привлечено более 480 тыс. BTC на депозиты, а порядка 195 тыс. BTC - похищены фаундерами.

PlusToken — одна из самых крупных финансовых пирамид за всю историю существования криптовалютной отрасли. Компания, позиционировала себя как международный децентрализованный проект. Пирамида работала по классической схеме Понци: первым участникам выплачивали деньги за счет средств новых пользователей. 

При помощи собственной аналитической платформы компании Clain удалось выяснить подробности схемы, организованной создателями PlusToken. 

Приведенный выше график наглядно демонстрирует масштабы деятельности пирамиды. Он показывает объемы средств, привлеченных и выведенных с PlusToken (вертикальные столбцы) и общее количество BTC на счетах компании (синяя линия).

Анализ этих данных позволяет сделать следующие выводы:

  • клиенты PlusToken обеспечивали стабильное поступление средств на счета компании вплоть до июля 2019 года;
  • объем поступающих средств рос экспоненциально, подобный процесс характерен для большинства компаний, работающих по схемам финансовых пирамид;
  • крах компании, вероятнее всего, был запланирован изначально - с начала 2019 года организаторы пирамиды несколько раз выводили средства в больших объемах. Они переводились в кошельки создателей PlusToken для подготовки к их отмыванию, которое началось после июля 2019 года.

Криптовалютная пирамида PlusToken: масштаб отмывания средствКоличество входящих транзакций в PlusToken. Источник: PlusToken: The Scale Of The Launder, Сlain

Криптовалютная пирамида PlusToken: масштаб отмывания средствКоличество новых кошельков в PlusToken. Источник: PlusToken: The Scale Of The Launder, Сlain

Криптовалютная пирамида PlusToken: масштаб отмывания средствУвеличение количества активных кошельков, используемых для внесения средств в PlusToken (желтый цвет - новые адреса; зеленый - повторно использованные адреса). Источник: PlusToken: The Scale Of The Launder, Сlain

Приведенные выше диаграммы также демонстрируют экспоненциальный рост активности PlusToken, который был резко прекращен в июле 2019 года.

Криптовалютная пирамида PlusToken: масштаб отмывания средствТоп-10 контрагентов PlusToken по внесению и выводу BTC. Источник: PlusToken: The Scale Of The Launder, Сlain

Если исключить фактическую кражу средств со счетов PlusToken, то наибольшая доля транзакций приходится на операции с кошельками криптовалютной биржи Huobi Global Exchange. Кроме нее, большой объем средств на счета PlusToken перечислили OkCoin, Gate и Coinone.

Большая часть выведенных средств - около 60% - поступили на личные кошельки организаторов пирамиды. Оставшаяся часть средств была направлена клиентами PlusToken на счета Huobi, HaoBTC, ChBTC и других бирж.

География входящих и исходящих транзакций выглядит следующим образом:

Хищение средств PlusToken

Clain собрал и проанализировал все адреса кошельков, которые использовались для вывода средств со счетов PlusToken.

Этот график показывает, что похищенные средства накапливались на счетах PlusToken до сентября 2019 года. С августа, с целью скрыть незаконный характер действий, они начали постепенно выводиться на различные криптовалютные биржи.

CoinJoin

Мошенники использовали технологию CoinJoin для анонимизации транзакций bitcoin. Она позволяет усложнить отслеживание движения средств с одного счета на другой. Часть из них включала проведение нескольких операций с адресами bitcoin-кошельков разного типа (например, «1», «3» или «bc»). Подобные действия должны были создать видимость того, что транзакции совершали несколько независимых участников, хотя на самом деле все эти адреса принадлежали одним и тем же лицам. Вот пример одной из таких транзакций (38a8272c2ae91fd89e8 ....):

Пики на графике указывают периоды времени, в течение которых мошенники были особенно активны и совершали максимум транзакций. К примеру, в ноябре 2019 года при помощи подобных действий всего за один день состоялось более 20 тыс. транзакций. Манипуляции с последовательными переводами значительно усложняли возможность отследить происхождение средств благодаря тому, что в цепочках транзакций участвовало множество адресов: в общей сложности их количество достигло 500 тыс. 

Clain визуализировала цепочки этих переводов для того, чтобы наглядно представить масштабы отмывания средств, устроенного организаторами PlusToken. 

WasabiWallet

WasabiWallet - это сервис, позволяющий проводить транзакции типа CoinJoin. Такой тип транзакций очень популярен среди преступников, занимающихся отмыванием средств. Одним из известных случаев, связанных с WasabiWallet - это вывод через этот сервис более 25 тыс. BTC, похищенных после взлома криптовалютной биржи Dragonex. 

WasabiWallet довольно эффективен при обработке транзакций в ежедневном объеме около 100-150 BTC, но эта эффективность резко снижается при переводах больших сумм. При них средства, участвующие в разных транзакциях, привязываются к одному и тому же пользователю, а не распределяются среди пула независимых участников. На приведенной ниже диаграмме показано, как мошеннические транзакции PlusToken, проводимые во время активной фазы отмывания средств, влияли на объем операций, проводимых через WasabiWallet.

Можно с уверенностью сказать, что создатели PlusToken спешили перевести средства через WasabiWallet и старались по возможности избегать проведения длинных цепочек транзакций CoinJoin. В итоге средства, отмытые через WasabiWallet, были объединены на их счетах с еще не отмытыми, что сделало полностью бессмысленными все предыдущие усилия мошенников.

Ниже приведен пример того, как транзакции по выводу средств со счетов PlusToken доминировали в общем обороте WasabiWallet.

Визуализация потока украденных средств

Clain визуализировала график движения средств в кластере PlusToken, чтобы продемонстрировать, как выглядит схема отмывания.

Первая фигура показывает движение средств за период с августа по октябрь 2019 года. Каждый цвет соотнесен со сроком проведения транзакций: красный относится к более раннему периоду, голубой - к более позднему. Узлы на схеме показывают комбинации входящих и исходящих адресов кошельков, участвовавших в этих транзакциях.

Утолщенные и удлиненные стороны фигуры соответствуют тем самым транзакциям CoinJoin, которые проводились с целью усложнить поиск реального источника средств. Несмотря на то, что их количество оказалось весьма значительным, их с легкостью можно обнаружить на приведенном графике, если увеличить его масштаб: в таком случае связь между двумя цепочками будет казаться более очевидной.

Ярко-красное пятно в центре следующего графика - кластер bitcoin-адресов WasabiWallet. Это самый центр теневой схемы, а связи, обозначенные разными цветами, показывают, что она использовалась в течение всего периода отмывания средств с августа по октябрь. Менее заметное красное пятно слева - это обменный кластер Huobi, через который мошенники распределяли значительную часть своих доходов после совершения операций через WasabiWallet.

Clain продемонстрировала, как именно средства, накопленные PlusToken, выводились мошенниками в свои кластеры bitcoin-кошельков. График показывает, что изначально они аккумулировали средства при помощи транзакций с огромным количеством входящих адресов (они объединены жирными линиями), а уже после этого проводили операции, призванные скрыть происхождение участвующих в них средств.

Вывод средств

Топ-10 получателей похищенных средств

#Получатель (кластер bitcoin-адресов)Сумма выведенных средств
1Huobi Global89146 BTC
2WasabiWallet25876 BTC
3Неизвестный16601 BTC
4OKCoin / OKex11715 BTC
5Неизвестный6051 BTC
6Неизвестный4794 BTC
7Неизвестный3270 BTC
8Неизвестный3264 BTC
9Неизвестный3143 BTC
10Неизвестный2187 BTC

Источник: PlusToken: The Scale Of The Launder, Сlain 

Сортировка по группам:

#Получатель (кластер bitcoin-адресов)Сумма выведенных средств
1Huobi Global89146 BTC
2Неизвестный79330 BTC
3WasabiWallet25876 BTC
4OKCoin / OKex11715 BTC
5FCoin476 BTC

Источник: PlusToken: The Scale Of The Launder, Сlain 

Huobi и OKCoin - крупнейшие получатели средств из числа криптовалютных бирж. При этом большая часть активов была переведена на неизвестные адреса. Их основная доля, по всей видимости, также связана с организаторами PlusToken. Вот один из таких примеров:

Здесь речь может идти о внебиржевом трейдере, тесно связанным с Huobi, однако в этом не может быть полной уверенности. 

Транзакции, связанные с биржами Huobi и OkCoin не совершались одновременно. Следующий график показывает, что переводы на счета OkCoin начали происходить гораздо позднее.

Если изучить адреса bitcoin-кошельков на Huobi, которые мошенники использовали для депонирования своих средств, то окажется, что их общее количество составляет около 100. Это относительно небольшое количество, учитывая объемы самих транзакций. На пяти крупнейших кошельках были собраны по несколько тысяч BTC, и тот факт, что биржа не обратила внимание на все эти операции, вызывает большие вопросы.

#Адрес bitcoin-кошелькаСумма переведенных средств
11JeyfU5ECq3wNGw1fkSaTSKna4tTvbenVH19259.838400 BTC
21BxVHak5y78VNiYzEWZRAAFiY38E8FmSwp17765.637707 BTC
313uj58xU6fbAp3HJK1DnSbGqDXMCdL6ouH10382.432524 BTC
41Fs6qzvhtvugAXccHTRb3orJqV3mJy3BSk6382.000000 BTC
51KmF5nHDF3z8jdPCQNd9mhfKycxv4iTvHL3548.978613 BTC

Источник: PlusToken: The Scale Of The Launder, Сlain

По данным Clain, некоторые из этих кошельков стали активными еще в 2017 и 2018 годах - это означает, что клиенты, которые их завели, должны были быть хорошо известны бирже.

#Адрес bitcoin-кошелькаПервая активностьПоследняя активность
11JeyfU5ECq3wNGw1fkSaTSKna4tTvbenVH2017-11-05 14:13:302020-03-18 11:24:54
21BxVHak5y78VNiYzEWZRAAFiY38E8FmSwp2018-06-07 17:34:152020-03-19 10:42:22
313uj58xU6fbAp3HJK1DnSbGqDXMCdL6ouH2019-09-09 02:53:242019-11-27 11:21:42
41Fs6qzvhtvugAXccHTRb3orJqV3mJy3BSk2019-09-03 10:18:212019-09-23 02:55:56
51KmF5nHDF3z8jdPCQNd9mhfKycxv4iTvHL2019-08-13 17:55:572020-03-11 04:19:36

Источник: PlusToken: The Scale Of The Launder, Сlain

К примеру, график, на котором отмечены все входящие транзакции по одному из этих адресов, показывает, что значительные суммы поступали на него еще в 2018 году:

WoToken

WoToken - это еще одна пирамида, активно работавшая до октября 2019 года. В ходе исследования выяснилось, что она была активно вовлечена в деятельность PlusToken. Ее крупнейшим контрагентом также была криптовалютная биржа Huobi - это логично, учитывая то, что оба проекта имели преимущественно “азиатскую географию”.

В результате хищения средств WoToken была выведена гораздо меньшая сумма - около 4600 BTC. При этом операции совершались прежде всего при помощи транзакций CoinJoin, на которые у мошенников из PlusToken не нашлось времени.

Clain изучила транзакции, в результате которых похищенные средства WoToken были переведены в кластер PlusToken, вот как выглядела одна из этих цепочек:

Криптовалютная пирамида PlusToken: масштаб отмывания средствe651c2d51db7437e9d00a1912de3c97b43fc5b093ee505656e438cc69e8cb7c3
Источник: PlusToken: The Scale Of The Launder, Сlain

Первоначально в Clain предполагали, что в результате транзакций типа CoinJoin смешивалась информация о об исходящих адресах кошельков, фактически принадлежащих мошенникам из PlusToken. Однако, как выяснилось из анализа деятельности WoToken, эти транзакции также включали доходы от другой мошеннической схемы, в результате чего удалось прийти к следующим выводам:

  • WasabiWallet - это сервис, который, по-видимому, используется лишь киберпреступниками;
  • создатели PlusToken и WoToken - это одни и те же лица, потому что изученная Clain схема не предполагает вовлечения в нее никаких других участников.

Смешивание доходов от деятельности PlusToken и WoToken не позволяет эффективно отличить одну прибыль, полученную незаконным способом, от другой, тем не менее в результате исследования Clain удалось определить общий объем похищенных средств.

Визуализация выполнена с использованием графического облачного сервиса Graphistry

← Назад Поделиться:

Рекомендации

Цифровая версия: зачем Китай вводит «криптоюань»

5 часов назадАртём Солодков8 мин
Политика в технологиях, видео-маркетплейсы и мода на подписки – обзор Bloomchain

Что нового в технологических трендах осени.

1 день назадОльга Виноградова7 мин

5 громких случаев мошенничества на ICO

2 года назадКсения Самбулова

Британские ритейлеры обвинили Visa и MasterCard в злоупотреблении доминирующим положением

Ритейлеры обратились в Управление по защите конкуренции и рынкам (CMA) Великобритании с просьбой изучить деятельность этих компаний на предмет злоупотребления их положением.

5 часов назадAртем Галунoв4 мин