" По оценкам британской блокчейн-аналитической компании Elliptic, через кроссчейновые свопы было переведено по меньшей мере 21,8 миллиарда долларов незаконных или высокорискованных криптовалют. Elliptic связывает 12% этих переводов с Северной Кореей.
Кроссчейновые свопы когда-то были узкоспециализированной деятельностью, предназначенной для продвинутых трейдеров и пользователей децентрализованных финансов (DeFi), но со временем они превратились в основной компонент отмывания денег. Незаконные субъекты теперь не просто отправляют криптовалюту через микшеры или сбрасывают токены на единую децентрализованную биржу (DEX). В настоящее время средства перемещаются по нескольким блокчейнам, чтобы сбить с толку следователей и избежать обнаружения.
Это стремительное увеличение на 211%, с $7 млрд до $21,8 млрд, отражает растущее использование блокчейн-мостов, сервисов DEX и обмена токенами, а также увеличившееся число блокчейнов.
«Если оглянуться назад, скажем, на десять лет, основными криптовалютами и блокчейнами были Биткоин, Ethereum и некоторые другие, - сказал Арда Акартуна, ведущий исследователь криптовалютных угроз в APAC компании Elliptic.- Это все более мультичейновая экосистема, которая просто расширяет доступные ресурсы и каналы обфускации, которые открыты для преступников».
Рисунок 1. Появление новых блокчейнов и кроссчейновых сервисов приводит к расширению возможностей для отмывания криптовалют. Источник: Elliptic.
Мосты - это кроссчейновые каналы отмывания денег
«Одиночная транзакция по мосту может отражать обычное поведение пользователей, но структурированные действия или действия с несколькими переходами - это тревожные сигналы для скоординированных усилий по пресечению ончейнового следа», - говорится в отчете Elliptic за 2025 год, опубликованном в среду.
Структурированный переход по цепочке предполагает разделение средств и их одновременное распределение по нескольким блокчейнам. Переход по цепочке с несколькими переходами - это процесс многократного перемещения активов из одной цепочки в другую. Оба метода по своей сути неэффективны и сопряжены с высокими издержками.
Рисунок 2.
Эти методы становятся все более распространенными в операциях по отмыванию денег с высокими ставками. В одном случае в начале 2025 года хакеры, подозреваемые в связях с Северной Кореей, украли 75 миллионов долларов с неназванной биржи и последовательно перевели средства с биткоина на Ethereum, затем на Arbitrum, Base и, наконец, на Tron, используя как структурированную тактику, так и тактику с несколькими переходами.
Эти схемы больше не ограничиваются государственными структурами или крупномасштабными кражами. В Великобритании в отдельном деле о мошенничестве на сумму 200 000 долларов осужденный преступник распределил средства между 90 различными активами в нескольких сетях для финансирования азартных игр онлайн.
Акартуна объяснил:
«Это не просто деятельность высокого уровня, предназначенная для крупных хакеров. Есть преступники более мелкого масштаба, которые используют цепную реакцию для отмывания средств - люди, финансирующие азартные игры или мелкие мошенничества. Вот насколько распространенной стала эта тактика».
По оценкам Elliptic, в настоящее время около трети блокчейн-расследований связаны с отслеживанием потоков по меньшей мере в трех различных сетях.
Кроссчейновое отмывание начинается в DeFi
DEX часто считаются прозрачными и отслеживаемыми, поскольку они работают на блокчейнах. Однако они все чаще используются в качестве точек входа в цикл отмывания криптовалют, особенно когда речь идет о токенах с низкой ликвидностью.
DEX - это платформы, на которых такие активы можно обменять на более распространенные токены, такие как USDT или Ethereum, не полагаясь на централизованные платформы, которые могут обеспечивать соблюдение правил «Знай своего клиента» (KYC).
В тематическом исследовании, приведенном в отчете Elliptic, анализировался эксплойт, совершенный в мае 2025 года в Cetus - крупном поставщике ликвидности на блокчейне Sui, - который позволил злоумышленникам вывести токены на сумму более 200 миллионов долларов. Изначально злоумышленник использовал DEX для обмена USDT на USDC, что, как подозревает Elliptic, возможно, было сделано для того, чтобы воспользоваться преимуществами более низких затрат на подключение.
Затем эти стейблкоины были подключены к Ethereum, где для конвертации USDC в ETH снова использовался агрегатор DEX. Такие централизованные стейблкоины, как USDT и USDC, имеют функции, которые позволяют их эмитентам замораживать средства. ETH, который является основным активом блокчейна Ethereum, по своей сути не обладает такой функциональностью.
Рисунок 3. Токен CETUS после майского взлома так и не восстановился. Источник: CoinGecko.
Преступники также используют открытый дизайн агрегаторов DEX и автоматизированных маркет-мейкеров (AMM), чтобы направлять транзакции таким образом, чтобы уменьшить проскальзывание и избежать обнаружения. Например, потоки отмывания денег часто проходят через несколько неизвестных торговых пар, прежде чем осесть в ликвидных токенах. Во многих случаях эти обмены осуществляются небольшими партиями или с помощью смарт-контрактов, чтобы избежать срабатывания систем оповещения о борьбе с отмыванием денег (AML).
По информации Elliptic, хотя DEX по своей сути не являются кроссчейновыми, в новых сервисах это различие становится менее четким, поскольку они также предлагают собственные кроссчейновые обмены активами.
Сайты по обмену монет играют ведущую роль в отмывании денег в кроссчейновых цепочках
Сервисы по обмену монет больше похожи на подпольные обменные пункты. Они позволяют пользователям анонимно обмениваться активами в разных блокчейнах с минимальными затратами, без регистрации и, зачастую, без серьезных проверок на предмет борьбы с отмыванием денег (AML). В результате эти сервисы стали популярным инструментом для широкого круга незаконных субъектов, особенно тех, кто работает на рынках даркнета, в сетях программ-вымогателей и мошеннических онлайн-картингах.
Эти платформы отличаются от мостов и DEX тем, что они функционируют как централизованные посредники, но при этом намеренно действуют в непрозрачных или разрешительных юрисдикциях. Многие из них размещают рекламу непосредственно на форумах даркнета и Telegram-каналах, часто обещая принять «грязные BTC» или подчеркивая свое нежелание сотрудничать с правоохранительными органами.
Некоторые даже предлагают такие услуги, как вооруженный сбор наличных, подсчет денег или передача наличных «сокровищ», когда физическая валюта закапывается в заранее оговоренных местах в обмен на криптовалюту.
Рисунок 4. Некоторые службы обмена, такие как eXch, объявили о прекращении работы в связи с усилением контроля. Источник: eXch.
Elliptic сообщила, что около 25% незаконных и высокорискованных потоков через сервисы обмена монетами связаны с онлайн-гемблингом, особенно с платформами, не имеющими основных лицензий. Многие из этих сайтов, особенно те, что связаны с русскоязычными операторами и операторами из Юго-Восточной Азии, также связаны с таким мошенничеством, как забой свиней и торговля наркотиками, создавая замкнутый цикл передачи средств с высоким уровнем риска между сетями незаконных азартных игр и отмывания денег.
Инструменты игры в кошки-мышки, преследующие цель отмывания денег по кроссчейновым цепочкам
Переключение с одной тактики на другую теперь стало обычным делом. Методы отмывания денег, которые когда-то основывались на микшерах или простых обменах, превратились в сложные цепочки, которые охватывают множество блокчейнов, токенов и платформ, которые часто структурированы таким образом, чтобы тратить время аналитиков впустую или нарушать автоматизированное отслеживание.
В деле Elliptic о мошенничестве на сумму 75 миллионов долларов, связанном с Северной Кореей, украденные средства были быстро перемещены по пяти различным блокчейнам. Аналогичные схемы теперь проявляются и в более мелких случаях мошенничества. Это указывает на то, что сложность сама по себе стала продуманной стратегией.
Отслеживание этих перемещений по-прежнему зависит от прозрачности и растущего набора инструментов. Такие платформы, как Elliptic Investigator, Chainalysis Storyline и TRM Forensics, созданы для автоматизации и визуализации кроссчейнового анализа цепочек, в то время как централизованные эмитенты стейблкоинов оставляют за собой возможность замораживать помеченные активы.
«Неважно, пытались ли они сделать это с помощью пяти разных блокчейнов или только один раз - мы можем автоматически отслеживать эти средства с помощью наших инструментов расследования. Теперь это можно сделать за несколько кликов и минут, ведь все это автоматизировано», - сказал Акартуна.
Это неравномерное соответствие, но инфраструктура для борьбы с криптовалютной преступностью также адаптируется.
