Back to Blog

Примеры отмывания денег в криптовалюте: 3 реальных случая и что они раскрывают

Phalcon Compliance
July 17, 2026
6 min read

7 400 ETH прошли через миксер. Атака с 20 переходами через мост выполнена за два часа. 151 адрес внесён в чёрный список за финансирование терроризма. Это три реальных случая криптоотмывания, каждый из которых оставил постоянный след в блокчейне. Приведённые ниже примеры охватывают отмывание через миксер, атаку на мост DeFi и финансирование терроризма через стейблкоин. Каждый из них раскрывает что-то конкретное о том, как работает отмывание. Каждый также показывает, что должны обнаруживать системы комплаенса.

Эти примеры взяты из задокументированных правоприменительных действий, опубликованных блокчейн-исследований и анализа данных в сети. Они предназначены для специалистов по комплаенсу, которым нужно больше, чем просто определения.


Почему примеры из мира криптовалют важны для команд по комплаенсу

Примеры отмывания денег — это не просто исторические записи. Это обучающие данные для интуиции в области комплаенса. На их основе риск-команды выстраивают логику обнаружения, устанавливают пороги проверки и решают, какое поведение адресов требует эскалации.

Примеры криптоотмывания особенно показательны, потому что транзакции в сети записываются безвозвратно. В отличие от отмывания наличных, которое оставляет ограниченные документальные свидетельства, отмывание в блокчейне оставляет полный контрольный след. Вопрос не в том, существуют ли доказательства. Вопрос в том, способны ли инструменты комплаенса их прочитать.

Обзор отмывания денег от Министерства юстиции США описывает законодательную базу. Приведённые ниже случаи показывают, с чем эта база сталкивается на практике.


Пример 1: Отмывание через миксер (дело Tornado Cash)

Tornado Cash — децентрализованный миксер Ethereum: пользователи вносят ETH стандартными суммами и снимают эквивалентные суммы с нового адреса, разрывая связь в сети между отправителем и получателем. Он стал предпочтительным инструментом для наслоения у нескольких преступных группировок до того, как Министерство финансов США ввело против него санкции в августе 2022 года.

MetaSleuth отследил примерно 7 400 ETH (около 30 миллионов долларов) через Tornado Cash, составив карту потоков средств через Kraken, SimpleSwap и Binance. Этот случай показывает, почему критически важна проверка до внесения депозита. Эти 7 400 ETH никогда не должны были попасть на платформу миксера.

Пример 1: Отмывание через миксер (дело Tornado Cash)
Пример 1: Отмывание через миксер (дело Tornado Cash)

Действие Министерства финансов США по введению санкций против Tornado Cash установило, что смарт-контракт, а не только физическое лицо, может быть подвергнут санкциям. Любой адрес, взаимодействующий с санкционированным смарт-контрактом после даты его включения в санкционный список, сам может оказаться под угрозой.

Что раскрывает этот случай: контакт с миксером не всегда предполагает прямое внесение депозита. Средства могут поступить на биржу, пройдя через миксер двумя или тремя переходами ранее. Для обнаружения контакта с миксером необходима кросс-чейн трассировка, которая отслеживает средства по всей их истории, а не только по последнему переходу.

Для получения дополнительных задокументированных случаев, связанных с мошенничеством «разделка свиньи» и взломом Bybit, см. наши сопутствующие материалы «Что означает отмывание денег?» и «Смысл отмывания денег».


Пример 2: Атака на мост DeFi (дело LI.FI с 20 переходами)

Эксплойт LI.FI демонстрирует, как похищенные средства перемещаются с машинной скоростью через инфраструктуру DeFi. В ходе атаки на LI.FI похищенные средства были перемещены через 32 адреса-получателя за 2 часа. MetaSleuth отследил самый длинный путь на глубину 20 переходов, причём часть средств поступила в Tornado Cash. (BlockSec, разбор случая с атакой на LI.FI)

Пример 2: Атака на мост DeFi (дело LI.FI с 20 переходами)
Пример 2: Атака на мост DeFi (дело LI.FI с 20 переходами)

Двадцать переходов за два часа. Ни одна ручная проверка комплаенса не работает в таком темпе. К тому моменту, когда любой следователь-человек приступил бы к отслеживанию средств, слоевое наслоение было структурно завершено.

Что раскрывает этот случай: атаки на мосты DeFi порождают наслоение, которое сложно устроено, но полностью читается в сети. Средства не исчезают — они перемещаются. Инструмент трассировки, поддерживающий неограниченную глубину переходов и кросс-чейн отслеживание, может восстановить полный путь. Практический вывод для комплаенса: проверка на бирже должна помечать любой адрес, входящий в кластер, связанный с риском, а не только прямых контрагентов.


Пример 3: Отмывание через стейблкоин и финансирование терроризма (151 адрес в чёрном списке)

Финансирование терроризма через криптовалюту следует схожей технической схеме с коммерческим отмыванием денег, однако ставки здесь иные. Заморозка активов, связанная с финансированием терроризма, влечёт усиленный регуляторный контроль и может инициировать более широкие проверки на уровне платформы.

Пример 3: Отмывание через стейблкоин и финансирование терроризма (151 адрес в чёрном списке)
Пример 3: Отмывание через стейблкоин и финансирование терроризма (151 адрес в чёрном списке)

Анализ BlockSec внесения в чёрный список USDT за период с 13 по 30 июня 2025 года показал:

  • 151 адрес в чёрном списке заморожен на общую сумму примерно 86,34 миллиона долларов.

  • 90% адресов из чёрного списка находились в сети Tron.

  • В качестве источников депозитов выше по цепочке фигурировали Binance (20 адресов), OKX (7) и MEXC (7).

  • Среди замороженных оказались кошельки, связанные с ХАМАС.

(BlockSec, анализ финансирования терроризма через USDT)

Обновление FATF по виртуальным активам за 2025 год специально отмечает значительный рост мошенничества с виртуальными активами и его связь с финансированием терроризма. Обновлённые руководящие принципы FATF обязывают поставщиков услуг виртуальных активов (VASP) проводить проверку как на предмет санкционного воздействия, так и на признаки финансирования терроризма, а не только на коммерческие схемы мошенничества.

Для платформ, работающих с USDT в масштабе, руководство OFAC по адресам цифровой валюты уточняет, что проведение транзакций с адресом из чёрного списка, даже косвенно, может представлять собой нарушение санкций по законодательству США.

Что раскрывает этот случай: данные о биржах выше по цепочке особенно важны. Двадцать из 151 адреса из чёрного списка ранее взаимодействовали с Binance. По семь адресов ранее взаимодействовали с OKX и MEXC. Это не означает, что указанные биржи были соучастниками. Это означает, что адреса из чёрного списка имели историю депозитов на крупных платформах. Это подчёркивает важность непрерывного мониторинга, а не только проверки при первичном подключении.


Для связанной операционной проверки USDT Freeze Checker от BlockSec позволяет специалистам по комплаенсу проверить, был ли адрес USDT в сети Tron или Ethereum заморожен компанией Tether, что непосредственно касается типа внесения в чёрный список, показанного в примере 3.


Что эти примеры означают для вашей платформы

Три случая. Три различных механизма отмывания. Одна общая черта: в каждом случае остались доказательства в сети, которые могли бы обнаружить специализированные инструменты.

Случай Сумма Основной метод Стадия отмывания Метод обнаружения Вывод для комплаенса
Сеть Tornado Cash ~$30 млн отслежено (анализ MetaSleuth) Депозиты в миксере, наслоение через несколько бирж Наслоение Проверка контакта с миксером до внесения депозита Без проверки до депозита средства, связанные с миксером, попадают на платформу и создают риск ареста активов
Атака на мост LI.FI Не раскрывается 32 адреса, цепочка из 20 переходов, кросс-чейн Наслоение Кросс-чейн трассировка с большой глубиной переходов Пакетная проверка упускает полный путь наслоения; для его восстановления необходима кросс-чейн трассировка в режиме реального времени
Финансирование терроризма через USDT 151 адрес в чёрном списке (июнь 2025) USDT в сети Tron, депозиты на биржах Размещение Мониторинг чёрного списка + анализ бирж выше по цепочке Обработка средств с адресов из чёрного списка выше по цепочке создаёт санкционный риск вне зависимости от числа переходов

О том, как комплаенс AML работает на практике для бирж и VASP, см. Комплаенс AML для криптовалют.

Часто задаваемые вопросы

В: Если криптоплатформа неосознанно обработала отмытые средства, которые были впоследствии идентифицированы, какова юридическая ответственность платформы?

Ответственность платформы зависит от того, имелась ли у неё функционирующая программа AML на момент проведения транзакции. Согласно руководству FinCEN, платформы, поддерживавшие разумные процедуры проверки и при необходимости подававшие отчёты о подозрительной деятельности (SAR), могут претендовать на защитную оговорку. Платформам, не имевшим средств контроля AML, грозят гражданско-правовые денежные санкции, которые FinCEN применял в размерах от 1 миллиона до более чем 100 миллионов долларов в последних правоприменительных действиях. Ретроактивное устранение нарушений не снимает прошлой ответственности.

В: Уведомляет ли подача отчёта о подозрительной деятельности (SAR) лицо или организацию, о которых сообщается?

Нет. В соответствии с 31 U.S.C. § 5318(g)(2) финансовым учреждениям прямо запрещено раскрывать субъекту SAR факт подачи отчёта. Нарушение этого требования конфиденциальности само по себе является федеральным преступлением. Субъект не имеет законного права знать, что о нём сообщили, а учреждение не может подтверждать или опровергать существование SAR по запросу.

В: Позволяет ли использование чередующихся одноразовых адресов кошельков надёжно уклониться от проверки комплаенса в сети?

Нет — от анализа на основе кластеров. Системы аналитики блокчейна группируют адреса по общим паттернам транзакций: общие входящие транзакции, временны́е корреляции и повторное использование адресов для депозитов. Даже если злоумышленник чередует сотни вновь созданных адресов, поведенческая кластеризация может связать эти адреса с известным субъектом или кластером риска. Именно таким образом 32 адреса-получателя из атаки на LI.FI были нанесены на карту в течение нескольких часов после эксплойта, несмотря на то что каждый адрес был вновь создан и использован только один раз.

→ Закажите демонстрацию Phalcon Compliance и наблюдайте, как эти три схемы отмывания помечаются до расчёта — Заказать демонстрацию

Часто задаваемые вопросы
Часто задаваемые вопросы
Sign up for the latest updates

Start Real-Time AML with Phalcon Compliance

Turn Phalcon Network alerts into actions with Phalcon Compliance. Use verified blockchain intelligence to screen wallets, monitor transactions and investigate risks. This helps you respond quickly and stay compliant in the digital assets ecosystem.

Phalcon Compliance