Мы отследили шесть санкционных адресов с помощью MetaSleuth, и деньги движутся почти исключительно через депозитные адреса централизованных бирж.
BlockSec Research · Июнь 2026
20 мая 2026 года Управление по контролю за иностранными активами (OFAC) Министерства финансов США ввело санкции против группы лиц и организаций, связанных с мексиканским картелем Синалоа, обвинив их в содействии отмыванию денег в интересах торговли фентанилом: сборе наркодоходов на территории Соединённых Штатов, конвертации их в криптовалюту и переводе средств обратно в Мексику через трансграничные транзакции. Это действие продолжает правоприменительный курс США, последовавший за признанием крупнейших картелей террористическими организациями, и рассматривает сети финансирования фентанилового трафика как форму нарко-террористического финансирования.
Двое из фигурантов санкционного списка оставили особенно чёткие следы в блокчейне. Первый — Армандо де Хесус Охеда Авилес, которого OFAC идентифицирует как ключевого координатора по отмыванию денег фракции «Лос Чапитос» картеля, ответственного за конвертацию наркодолларов в криптовалюту и их переправку обратно в Мексику. Второй — Родриго Аларкон Паломарес, член сети Охеды Авилеса, занимающийся сбором наличных на территории США и также участвующий в криптоотмывании. В совокупности на них приходится шесть адресов Ethereum в санкционном списке.
Примечание об источниках: сведения об этих лицах и санкционных обозначениях взяты из публичного объявления Министерства финансов. Все приведённые ниже выводы о структуре и масштабах средств основаны на собственной блокчейн-реконструкции BlockSec санкционных адресов с использованием MetaSleuth.
Пять санкционных адресов и то, как наркоденьги возвращаются на биржи
Пять санкционных адресов, связанных с Охедой Авилесом, не являются независимыми кошельками. В блокчейне они образуют сеть отмывания с чёткими связями «выше по течению» и «ниже по течению». Как только мы объединили пять адресов на одном графе MetaSleuth, структура стала очевидной: три из них являются депозитными адресами Binance, а два других находятся выше по цепочке относительно этих трёх. Биржи присутствуют на всём графе: средства поступают напрямую или косвенно с нескольких бирж, проходят через эти адреса и в итоге возвращаются отмытыми обратно на биржи.
Рисунок 1. Сеть движения средств через пять санкционных адресов Охеды Авилеса (на графе отображены пути с более высокими суммами, а не каждая транзакция): средства поступают с нескольких бирж, проходят через адреса и возвращаются отмытыми на Binance. (Источник: BlockSec MetaSleuth)
Только три депозитных адреса Binance, выступающих в качестве точки сбора, обработали более 4 миллионов долларов, и MetaSleuth присваивает этому кластеру статус «Критический». Иными словами, реальный масштаб сети больше; эти три адреса — лишь та часть, которая непосредственно видна.
Особого внимания заслуживают два адреса, находящиеся выше по цепочке. Помимо питания санкционных депозитных адресов Binance, их средства также поступают на два дополнительных депозитных адреса Binance, которые пока не попали под санкции. Судя по путям движения средств и поведению, эти два адреса, по всей видимости, являются частью той же сети отмывания; они просто ещё не появились в списке OFAC. Именно в этом и заключается преимущество блокчейн-анализа перед санкционным списком: список даёт вам известные узлы, тогда как отслеживание потоков в блокчейне нередко позволяет заполнить пробелы — обнаружить узлы, которые в список не попали.
Рисунок 2. Адреса, находящиеся выше по цепочке, не только питают санкционные депозитные адреса Binance, но и связаны с двумя ещё не санкционированными депозитными адресами, которые, вероятно, являются частью той же сети. (Источник: BlockSec MetaSleuth)
Граф MetaSleuth для сети Охеды Авилеса (показаны пути с более высокими суммами, а не каждая транзакция): https://metasleuth.io/result/eth/0x038989cbb1710c72b9920dc4fa529158f463e72c?source=0ac18a5e-1134-4ee1-b03a-ebae63a0337c
Адрес сборщика наличных — это просто аккаунт на Coinbase
Для сравнения: Аларкон Паломарес, занимающийся сбором наличных на территории США, имеет более простой блокчейн-профиль, который говорит сам за себя ещё красноречивее. Его санкционный адрес сам по себе является депозитным адресом Coinbase: средства поступают преимущественно с Coinbase и возвращаются преимущественно на Coinbase.
Рисунок 3. Потоки средств через санкционный адрес Аларкона Паломареса: по сути, депозитный адрес Coinbase, через который средства входят и выходят из Coinbase. (Источник: BlockSec MetaSleuth)
Это означает, что деятельность по отмыванию денег в рамках данной роли происходит преимущественно внутри централизованной биржи с полноценной процедурой KYC — вероятно, за аккаунтом, прошедшим верификацию личности. В отличие от многоуровневой сети Охеды Авилеса, у направления сбора наличных пути движения средств короткие, а контрагенты немногочисленны — это именно тот вид активности, который наилучшим образом поддаётся выявлению и блокированию системами комплаенс-проверки.
Вид санкционного адреса Аларкона Паломареса в MetaSleuth: https://metasleuth.io/result/eth/0xaC4cC4B68ea24BbFAAC8fD127B67Ed445ACcCE22?source=c5a43e44-8fb3-4e6f-ac52-a3e860ee4249
О чём говорит блокчейн-граф
Если рассмотреть пути движения средств обоих фигурантов в совокупности, несколько фактов оказываются важнее любой отдельной цифры.
Во-первых, эта цепочка отмывания фентанильных доходов в значительной мере опирается на централизованные биржи. Будь то три депозитных адреса Binance Охеды Авилеса или депозитный адрес Coinbase Аларкона Паломареса — средства входят и выходят через биржевые депозитные каналы, а не через миксеры или сложные кроссчейн-мосты. Шаг с депозитом на бирже по-прежнему остаётся ключевым узлом, через который наркоденьги выходят в блокчейн и обналичиваются.
Во-вторых, санкционный список — это отправная точка, а не полная картина. Два ещё не санкционированных депозитных адреса Binance, связанных с вышестоящими адресами Охеды Авилеса, напоминают нам: блокчейн-след сети отмывания зачастую шире того, что правоохранительные органы могут публично назвать в конкретный момент. Только рассматривая перечисленные адреса как отправные точки и восстанавливая полный поток средств, можно увидеть реальные границы сети.
В-третьих, разделение труда очевидно, но пути коротки. Охеда Авилес занимается агрегированием и трансграничным перемещением средств, Аларкон Паломарес — сбором наличных. Роли различаются, однако ни один из блокчейн-путей не является сложным. Для бирж и платёжных компаний это означает, что риск можно идентифицировать ещё до того, как средства попадут на платформу.
Что это означает для бирж и платёжных компаний
Наиболее непосредственное предупреждение для провайдеров услуг в сфере виртуальных активов состоит в том, что высокорисковые средства могут попасть на их платформу незаметно. Прежде чем наркодоходы достигнут биржи, они могут уже пройти через несколько слоёв адресных переводов. При отсутствии эффективного механизма выявления блокчейн-рисков платформа может легко получить активы от санкционных субъектов на этапе депозита или OTC-расчёта, а после этого средства могут быть заморожены, что способно повлечь за собой регуляторное расследование и риски для лицензий.
Именно поэтому всё большее число бирж и платёжных компаний переносит блокчейн-проверку рисков на более ранний этап — до момента зачисления средств: присваивая адресам оценки в режиме реального времени и сигнализируя о том, связаны ли они с санкционными субъектами, трафикерскими сетями или аномальными путями движения средств. Такой вид превентивной проверки перед депозитом постепенно превращается из дополнительной опции комплаенса в базовую инфраструктуру.
Все физические лица и адреса из данного санкционного решения уже внесены в разведывательную базу данных BlockSec, и мы продолжим отслеживать блокчейн-активность этих адресов и сетей. Для бирж, платёжных компаний и комплаенс-подразделений Phalcon Compliance обеспечивает проверку рисков адресов и транзакций в реальном времени, точную систему маркировки адресов и анализ потоков средств для выявления высокорисковых адресов и отслеживания источников незаконных средств; реконструкция сети в данном материале выполнена с помощью MetaSleuth — нашей платформы для расследования движения средств.
Если вы хотите самостоятельно запустить блокчейн-проверку рисков адресов, вы можете попробовать Phalcon Compliance бесплатно на blocksec.com.
