Крипта вне закона. Как преступники используют криптовалюты в своих преступлениях

• Как за год изменился мировой рынок криптопреступлений
• Какие криптовалюты использует преступный мир
• Топ-3 тренда на рынке криптопреступлений в 2023 году
  • Тренд №1. Уменьшились объемы мошенничества и краж крипты
  • Тренд №2. Активность программ-вымогателей и даркнета растет
  • Тренд №3. Подсанкционные организации активизировали незаконные транзакции
• Как злоумышленники заработали $1 млрд на программах-вымогателях
  • Почему выросли масштаб и объем атак программ-вымогателей
  • Кейс: как злоумышленники охотятся на большую дичь
• Как на крипторынке организовано движение средств от программ-вымогателей
• Как работала система отмывания денег в 2023 году
  • Ключевые тенденции на рынке отмывания криптоденег
  • Как сконцентрировано отмывание денег на фиатных площадках
• Почему в 2023 году хакеры смогли украсть на 50% меньше
  • Почему происходят атаки на DeFi
  • Как хакеры из Северной Кореи воровали крипту в 2023 году
  • Какие тренды в криптовзломе следует ожидать дальше

Как за год изменился мировой рынок криптопреступлений

В целом в 2023 году рынок криптопреступлений составил $24,2 млрд. Мир преступной криптоэкономики продемонстрировал падение где-то на 40% – в 2022 году рынок преступлений с использованием крипты достигал $39,6 млрд.

Показатели криптопреступности за 2023 год могут возрасти, поскольку аналитическая команда Chainalysis проводит постоянный мониторинг новых незаконных транзакций в мире. В частности, первоначальная оценка рынка криптопреступлений-2022 составляла $20,6 млрд. Через год эта цифра выросла до $39,6 млрд.

Объемы рынка криптопреступлений за 2022 год в оценках Chainalysis существенно выросли и потому, что эксперты решили включить в эти показатели требования кредиторов к FTX на $8,7 млрд. Эта сумма была включена потому, что экс-гендиректора обанкротившейся биржи признали виновным в мошенничестве.

Подписывайтесь на Youtube-канал delo.ua

Также теневая криптоэкономика включает в себя и доходы от обычных преступлений, например от обращения наркотиков, если "монеты" здесь используются как платежное средство.

Какие криптовалюты использует преступный мир

До 2021 года биткоин был самой популярной криптовалютой среди киберпреступников, вероятно, из-за его высокой ликвидности. Но за последние два года тренд изменился: теперь стейблкоины составляют большую часть всех незаконных транзакций.

"Это изменение также произошло вместе с недавним ростом доли стейблкоинов в общей криптовалютной деятельности, включая законную деятельность", – говорят аналитики Chainalysis.

Однако доминирование стейблкоинов характерно не для всех форм преступлений, связанных с криптовалютой. Некоторые расчеты происходят по-прежнему в BTC. В частности, речь идет о продажах в даркнете и использовании программ-вымогателей. А вот транзакции, связанные с мошенничеством или находящимися под санкциями лицами, наоборот перешли в стейблкоины.

"Организации, которые находятся под санкциями или привлечены к финансированию терроризма, активно используют стейблкоины, поскольку испытывают определенные трудности при доступе к доллару, но хотят извлечь выгоду от его стабильности. Однако эмитенты стейблкоинов могут заморозить средства, когда узнают об их незаконном использовании. Это недавно сделал Tether с адресами, связанными с терроризмом и военными действиями в Израиле и Украине", – говорится в отчете Chainalysis.

Топ-3 тренда на рынке криптопреступлений в 2023 году

Тренд №1. Уменьшились объемы мошенничества и краж крипты

В 2023 году доходы от криптомошенничества и хакерства упали на 29,2% и 54,3% соответственно. Почему этих преступлений становится меньше?

В общем, преступники в последние годы избрали такую тактику, как романтическое мошенничество. Оно работает по следующей схеме:

1. Идет охота на конкретного человека.

2. С жертвой строят отношения в режиме онлайн.

3. Дальше человека нацеливают на мошеннические возможности инвестирования.

"Конечно, влияние мошенничества в любовных отношениях на отдельных жертв разрушительно, и его не следует недооценивать. И эти преступления нужно тщательно исследовать", - говорят в Chainalysis.

Если же говорить о криптовзломах, причина падения таких преступлений состоит в другом: эти хакерские атаки легко заметить.

"Снижение украденных средств в основном вызвано резким падением хакерства DeFi . Этот спад может означать, что протоколы DeFi улучшают свою практику безопасности. Тем не менее, если появится один новый крупный взлом, он может снова изменить тенденцию", - говорится в отчете.

Тренд №2. Активность программ-вымогателей и даркнета растет

В прошлом году рынки программ-вымогателей и темных сетей стали наиболее распространенными формами криптопреступности. Здесь доходы росли, хотя еще в 2022-м снижались.

Аналогичные тренды проходят на рынке даркнета: в 2023 году доходы преступников здесь росли, но в 2022-м - падали.

"Это падение было обусловлено в основном закрытием Hydra , которая когда-то была самым доминирующим рынком в мире, охватывая более 90% всех доходов рынка даркнета на пике. Хотя единого рынка еще не возникло, чтобы занять его место, сектор восстанавливается, а общий доход возвращается в максимумов 2021 года", – говорят авторы исследования.

Тренд №3. Подсанкционные организации активизировали незаконные транзакции

В 2023 году попавшие под санкции юридические лица и юрисдикции совершили сделки на сумму $14,9 млрд. Это составляет 61,5% от всех незаконных операций за тот период.

"Большая часть этой суммы приходится на криптовалютные сервисы, которые попали под санкции Управления контроля за иностранными активами Минфина США ( OFAC ) или расположены в юрисдикциях, подпадающих под такие санкции. Но эти сервисы продолжать работать, поскольку находятся в юрисдикциях, где не выполняются санкции ", – отмечено в отчете.

К примеру, российская биржа Garantex попала под санкции OFAC и OFSI в Великобритании за содействие отмыванию денег от киберпреступников. Именно эта площадка наиболее активно способствовала увеличению объема транзакций, связанных с санкциями в 2023 году. Но Garantex продолжает работать, поскольку Россия не выполняет санкции США.

Как злоумышленники заработали $1 млрд на программах-вымогателях

В 2023 году программы-вымогатели активизировали свои операции, нацелившись на высокопоставленные учреждения и критическую инфраструктуру, включая больницы, школы и государственные ведомства. Большие атаки повлияли на разные компании – от BBC до British Airways. В результате злоумышленники смогли получить доход более чем в $1 млрд, когда требовали платежи в криптовалюте от жертв.

"Прошлогодние события подчеркивают эволюцию этой киберугрозы и ее растущее влияние на глобальные институты и безопасность в целом", - говорится в отчете.

Доход в $1 млрд является самым высоким показателем за всю историю наблюдений этого криптопреступления. При этом эта цифра не учитывает экономические последствия для компаний, восстанавливавших инфраструктуры после хакерских атак. Например, корпорация MGM не платила выкупы, но, по оценкам, их убытки дошли до более чем $100 млн.

"Наши цифры являются консервативными оценками, вероятно, они вырастут, когда будут обнаружены новые адреса программ-вымогателей. Например, в отчете за 2022 год указано $457 млн долларов в виде выкупа, но эта цифра выросла на 24,1%", - говорят в Chainalysis.

Почему выросли масштаб и объем атак программ-вымогателей

Атаки организуют разные субъекты – от больших синдикатов до отдельных лиц. По данным компании по кибербезопасности Recorded Future, в 2023 году было обнаружено 538 новых вариантов программ-вымогателей.

"Мы наблюдаем астрономический рост количества угроз, осуществляющих атаки программ-вымогателей", - говорит аналитик анализа угроз Recorded Future Аллан Лиска.

Следует отметить, что в последние годы злоумышленники избрали доминирующую стратегию "охоты на крупную дичь". При этом львиная доля платежей с помощью программ-вымогателей составляет более $1 млн.

Кейс: как злоумышленники охотятся на большую дичь

В 2023 году хакеры активно использовали уязвимости нулевого дня в программном обеспечении (ПО). Это выгодно, поскольку преступники могут использовать такие пробелы в безопасности, о которых разработчикам еще неизвестно или нужно время для устранения проблем. Такие хакерские атаки могут быть особенно удачными, если уязвимости возникают в массовом ПО, но конечные потребители не знают о конкретных слабых местах.

В этой стратегии наиболее известной стала хакерская атака группы Cl0p . В 2023 году преступники использовали уязвимость нулевого дня в популярной программе MOVEit .

"Многие пользователи MOVEit не знали, что они пострадали", - говорит Аллан Лиска из Recorded Future.

Хакеры использовали такую стратегию: воровство данных без блокировки доступа. Дальше они угрожали обнародовать их.

В результате хакеры смогли собрать более $100 млн. в виде выкупа. Это 44,8% всех средств, полученных с помощью программ-требователей в июне-2023, и 39% - в июле.

Как на крипторынке организовано движение средств от программ-вымогателей

Преступники используют разные схемы, чтобы отмыть деньги от программ-вымогателей. При этом на эти процессы хакерам может уйти несколько лет.

Аналитики Chainalysis отмечают, что мошенники проводят значительную долю транзакций через централизованные биржи и миксеры. Однако в 2023 году появились новые возможности для отмывания денег: бриджи, мгновенные обменники и услуги азартных игр .

"Биржи продемонстрировали самый низкий уровень концентрации, тогда как услуги азартных игр, кросс-цепные мосты и санкции показали самый высокий уровень концентрации. Смесители, биржи без KYC и подпольные биржи были посередине. Возможно, концентрация Mixer выросла в результате демонтажа Chipmixer , который устранил популярный вариант злоумышленников-вымогателей", - говорится в отчете.

Как работала система отмывания денег в 2023 году

Целью отмывания денег является скрыть преступное происхождение средств, чтобы получить к ним доступ и потратить их. Поэтому преступники часто используют для этих целей криптовалюту. Чтобы отмыть грязные деньги, они перемещают средства в службы, где их можно конвертировать в наличные деньги. При этом часто хакеры принимают дополнительные меры, чтобы скрыть происхождение таких "монет". В основном используют две схемы:

1. Посреднические услуги и кошельки. Эта категория включает личные кошельки, миксеры, мгновенные обменники, разные типы протоколов DeFi и т.д. Криптопреступники обычно используют услуги этой категории, чтобы хранить средства или "смыть" их криминальное происхождение, путем скрытия связи в цепочке между адресом источника и текущим адресом.

2. Услуги для перевода в фиат. Эта категория включает в себя любой сервис, где криптовалюта может быть конвертирована в фиатную валюту. Наиболее распространены централизованные обмены. Но есть также обмены P2P, услуги азартных игр, крипто-банкоматы .

Важно помнить, что все эти службы имеют разные возможности и варианты, когда дело касается борьбы с отмыванием денег. К примеру, централизованные биржи имеют высокий контроль, поскольку могут замораживать средства, поступающие из подозрительных или незаконных источников. Однако протоколы DeFi обычно не имеют такой возможности, поскольку они работают автономно и не заботятся о средствах пользователей.

"Эмитенты токенов также могут играть положительную роль. В частности, такие стейблкойны, как USDT и USDC , имеют функции замораживания активов, которые хранятся по адресам, связанным с преступностью", - говорят в Chainalysis.

Ключевые тенденции на рынке отмывания криптоденег

В 2023 году незаконные адреса направили в сервисы $22,2 млрд. В 2022 году эта сумма составила $31,5 млрд. Частично это падение можно объяснить общим уменьшением объема криптотранзакций. Однако, если объем легальных транзакций снизился на 14,9%, то падение активности отмывания денег упало на 29,5%.

В целом централизованные обмены остаются основным пунктом назначения средств, отправленных по незаконным адресам. Этот тренд остается стабильным в последние пять лет. При этом роль незаконных сервисов уменьшилась, но возросла доля поступающих на протоколы DeFi незаконных средств.

"Это можно связать с общим ростом рынка DeFi, но прозрачность этой инфраструктуры в целом делает его плохим выбором для утаивания движения средств", - считают аналитики.

Как сконцентрировано отмывание денег на фиатных площадках

Услуги фиатных сервисов важны, поскольку в них преступники могут конвертировать криптовалюту в наличные. Это кульминация процесса отмывания денег.

Хотя на крипторынке действуют тысячи служб по отмыванию денег, наиболее активно такие услуги предоставляют несколько сервисов. В частности, в 2023 году 71,7% всех незаконных средств ушло всего на пять сервисов. В 2023 году этот показатель составил 68,7%.

Также интересно посмотреть, как сконцентрировано отмывание денег на уровне депозитного адреса.

Для понимания: депозитные адреса – это адреса централизованных служб, связанных с отдельными пользователями. Их можно считать банковскими счетами.

На этом графике показаны депозитные адреса служб, получавших незаконную криптовалюту в 2023 году. Серые полосы отображают количество депозитных адресов. Синие полоски представляют, сколько в общей сложности пришло незаконных криптоденег.

Например, на графике можно увидеть, что 2235329 депозитных адресов получили незаконную криптовалюту на сумму $5-100. Итого все эти депозитные адреса получили $69,4 млн.

Почему в 2023 году хакеры смогли украсть на 50% меньше

2022 год стал самым удачным за всю историю криптокражки, ведь хакеры украли $3,7 млрд. Однако в 2023 году этот показатель упал на 54,3% до $1,7 млрд. Хотя при этом количество отдельных инцидентов взлома выросло:

• в 2022 году их было 219.
• в 2023 году – 231.

Почему хакеры меньше украли? В основном из-за падения взлома DeFi. Взломы протоколов DeFi активно происходили в 2021 и 2022 годах. В частности, в 2022 году было украдено свыше $3,1 млрд. В 2023 году сумма достигла лишь $1,1. Падение составило 63,7%.

Но в 2023 году все равно было несколько больших атак на протоколы DeFi. К примеру:

• В марте-2023 протокол заимствований и займов на Ethereum под названием Euler Finance подвергся атаке. Это привело к ущербу на $197 млн.
• В июле было зарегистрировано 33 взлома, это самый большой показатель за 2023 год. В частности, было похищено $73,5 млн у Curve Finance.
  
• В сентябре и ноябре 2023 года произошло несколько крупных эксплойтов на платформах DeFi и CeFi. Как результат, Mixin Network потеряли $200 млн, CoinEx – $43 млн, Poloniex Exchange – $130 млн, HTX – $113,3 млн, KyberNetwork – $54,7 млн.
  

Почему происходят атаки на DeFi

По мнению экспертов, многие уязвимости DeFi возникли потому, что операторы протоколов сосредотачиваются на росте, а не на внедрении надежных систем безопасности.

"Ужесточение мер безопасности в протоколах DeFi является ключевым фактором в уменьшении количества хакеров, связанных с уязвимостью смарт-контрактов. При этом операторам DeFi следует сосредоточиться не только на безопасности смарт-контрактов, но и устранить уязвимости вне сети", - считает Мар Гименес-Агиллар, ведущий архитектор по безопасности компании Halborn, специализирующийся на решениях web3 и blockchain.

В то же время эксперт не исключает, что падение потерь от взлома DeFi в 2023 году произошло из-за общего снижения активности на этом рынке.

"Возможно, уменьшилось количество протоколов DeFi, ставших мишенями для хакеров", - говорит Гименес-Агилар.

Как хакеры из Северной Кореи воровали крипту в 2023 году

В прошлом году Северная Корея сломала больше криптоплатформ, чем когда-либо. Количество взломов тогда возросло до 20-ти. Но удалось украсть меньше денег. Так, в прошлом году северокорейские хакеры похитили $1 млрд. В 2022-м эта сумма была существенно больше – $1,7 млрд.

Стоит отметить, что наиболее известными группами хакеров в Северной Корее считаются Kimsuky и Lazarus Group .

В частности, в 2023 году хакеры, связанные с Северной Кореей, украли:

• с платформ DeFi – $428,8 млн.
• с централизованных служб – $150 млн.
• у поставщиков кошельков – $127 млн.
• с бирж – $330,9 млн.
  

"В 2023 году наблюдалось заметное снижение таргетирования Северной Кореей протоколов DeFi, отражающее всеобщее падение взлома DeFi", - говорится в отчете.

Какие тренды в криптовзломе следует ожидать дальше

Хотя в 2023 году хакеры украли гораздо меньше денег с криптоплатформ, не стоит расслабляться. Очевидно, что злоумышленники учатся и актуализируют свои знания. Но и команды криптобирж усовершенствуют системы безопасности.