Вслед за блокировкой: ончейн-анализ внесения USDT в черные списки и его связи с финансированием терроризма

Введение

За последние годы стейблкоины продемонстрировали стремительный рост. В результате регуляторы все чаще подчеркивают необходимость механизмов, позволяющих блокировать незаконные средства. Мы наблюдаем, что крупнейшие стейблкоины, такие как USDT и USDC, уже включают в себя такие возможности. На практике было немало случаев, когда средства, связанные с отмыванием денег и другой незаконной деятельностью, успешно блокировались.

Более того, наши исследования показывают, что стейблкоины используются не только для отмывания денег, но и часто применяются для финансирования террористических организаций. Поэтому данный блог призван рассмотреть этот вопрос с двух точек зрения. Во-первых, мы систематически анализируем заблокированные транзакции USDT. Во-вторых, мы исследуем связь замороженных средств с финансированием терроризма.

Отказ от ответственности: Данный анализ основан исключительно на общедоступных данных и может содержать неточности. Если у вас есть комментарии или исправления, пожалуйста, свяжитесь с нами по адресу [email protected].

Анализ заблокированных адресов USDT

Сбор данных

Наша методология идентификации и отслеживания адресов из черного списка Tether основана на прямом мониторинге событий в блокчейне. Процесс, подтвержденный исходным кодом смарт-контракта Tether, выглядит следующим образом:

• Идентификация событий: Мы определили, что смарт-контракт Tether управляет своим черным списком, генерируя два специфических события: AddedBlackList при добавлении адреса и RemovedBlackList при его удалении.
• Построение набора данных: Извлеченные данные используются для создания комплексного набора данных временных рядов. Для каждого адреса из черного списка мы записываем следующие поля: сам адрес, временную метку внесения в черный список (blacklisted_at) и, если применимо, временную метку удаления (unblacklisted_at).

function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);

Результаты

Наш анализ данных Tether (USDT) в блокчейнах Ethereum и Tron выявил поразительную тенденцию. С 1 января 2016 года в черный список было внесено в общей сложности 5 188 адресов, что привело к заморозке активов на сумму более 2,9 млрд долларов.

Только в период с 13 по 30 июня 2025 года был заблокирован 151 адрес — 90,07% из них в сети Tron (Список адресов). Общая стоимость замороженных за этот короткий период средств достигла ошеломляющих 86,34 млн долларов.

• Временное распределение событий блокировки: Пики активности по блокировкам наблюдались 15, 20 и 25 июня, причем 20 июня стало рекордным: 63 адреса за один день.
• Распределение замороженных активов по адресам: Топ-10 адресов с наибольшими балансами удерживают в совокупности 53,45 млн долларов, что составляет 61,91% от общего объема. Средняя сумма блокировки (571,76 тыс. долларов) значительно выше медианной (40,01 тыс. долларов), что указывает на неравномерное распределение: несколько адресов с крупными суммами доминируют, в то время как большинство имеет относительно небольшие замороженные балансы.
• Распределение пожизненной стоимости: Общий исторический приток на эти адреса составляет 807,76 млн долларов, из которых 721,43 млн долларов были выведены до применения мер, а 86,34 млн долларов были заморожены. Это говорит о том, что большая часть средств, скорее всего, была перемещена до момента блокировки. Примечательно, что у 17% заблокированных адресов не было исходящих транзакций, что намекает на возможное использование в качестве временного хранилища или промежуточных пунктов — это требует более тщательного изучения в будущих расследованиях.
• Новые аккаунты чаще всего попадают в черный список: Среди всех заблокированных адресов 41% были созданы недавно (с активностью менее 30 дней), 27% показали среднесрочную активность (91–365 дней) и только 3% имели длительную историю использования (≥ 730 дней). Это указывает на то, что новые учетные записи становятся приоритетной целью.
• Большинство аккаунтов успевают вывести средства до блокировки: Около 54% заблокированных адресов уже вывели большую часть своих средств (определяется как пожизненный отток ≥ 90% от общего притока) до момента внесения в черный список. Кроме того, 10% имели нулевой баланс на момент заморозки. Эти закономерности показывают, что меры принудительного характера часто фиксируют лишь остаточную стоимость незаконных потоков, в то время как большинство активов уже отмыто или перемещено.
• Высокая эффективность отмывания на новых аккаунтах: Диаграмма рассеяния "Коэффициент потока (FlowRatio) vs Дни активности" показывает, что новые аккаунты не только доминируют по количеству и частоте попадания в черный список, но и демонстрируют высочайшую эффективность отмывания, оперативно выводя средства до обнаружения и принятия мер.

Отслеживание потоков средств

MetaSleuth способствовал нашему расследованию, позволив отследить 151 адрес Tether, заблокированный в сети USDT в период с 13 по 30 июня, благодаря чему мы определили как ключевых спонсоров, так и конечные пункты назначения, связанные с этими адресами.

Откуда поступали средства

• Внутреннее загрязнение (91 адрес): Значительная часть адресов получила средства от других заблокированных адресов, что указывает на тесно связанную сеть отмывания денег.
• Фейковые фишинговые теги (37 адресов): Многие вышестоящие источники в MetaSleuth были помечены как «фейковый фишинг», что предполагает использование тактики обманчивой маркировки для маскировки незаконной деятельности и уклонения от обнаружения.

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

• Горячие кошельки бирж (34 адреса): Источники средств включали известные горячие кошельки бирж — Binance (20), OKX (7) и MEXC (7), что подразумевает, что поступления могли происходить из скомпрометированных учетных записей или «кошельков-мулов» на централизованных биржах.
• Единый доминирующий дистрибьютор (35 адресов): Один заблокированный адрес неоднократно появлялся в качестве вышестоящего источника, вероятно, работая как центральный агрегатор или миксер для распределения незаконных активов.
• Кросс-чейн точки входа (2 адреса): Некоторые средства поступали с кросс-чейн мостов, что говорит о том, что в движении средств были задействованы механизмы межсетевого отмывания.

Куда направлялись средства

• На другие заблокированные адреса (54): Эта модель подтверждает существование внутреннего цикла отмывания внутри сети.
• На централизованные биржи (41): Средства выводились через депозитные адреса на централизованных биржах, включая Binance (30), Bybit (7) и другие.
• На кросс-чейн мосты (12): Указывает на попытки отмыть активы за пределами экосистемы TRON, используя механизмы перевода между блокчейнами.

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

Примечательно, что такие биржи, как Binance и OKX, фигурируют на обоих концах транзакционного потока — как источники поступлений (через горячие кошельки) и как пункты назначения (через депозитные адреса), что подчеркивает их центральную роль в движении средств. Сочетание неэффективного обеспечения соблюдения норм ПОД/ФТ (AML/CFT) и задержек в заморозке активов, возможно, позволило незаконным переводам произойти до того, как регуляторные меры вступили в силу.

Мы рекомендуем криптовалютным биржам, как ключевым точкам ввода и вывода средств, внедрить более надежные механизмы мониторинга, обнаружения и блокировки для проактивного снижения подобных рисков.

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

Анализ финансирования терроризма

Чтобы получить более глубокое представление об активности USDT, потенциально связанной с финансированием терроризма, мы изучили официальные документы — в частности, приказы об административном аресте активов, изданные израильским Национальным бюро по борьбе с финансированием терроризма (NBCTF). Хотя мы признаем, что ни один источник данных не дает полной картины, мы используем этот набор данных в качестве репрезентативного примера для понимания консервативной нижней границы объема USDT, потенциально вовлеченного в финансирование терроризма.

Результаты

Наш обзор публикаций NBCTF выявил несколько ключевых моментов:

• Сроки выпуска приказов об аресте: С момента эскалации израильско-иранского конфликта 13 июня 2025 года был издан только один новый приказ об аресте (от 26 июня). До этого последний приказ был издан 8 июня, что указывает на заметную задержку, несмотря на рост напряженности.
• Частота и цели после 7 октября 2024 года: С начала израильско-палестинского конфликта было выпущено восемь приказов об аресте. Среди них четыре явно указывают «Хамас» в качестве цели, и только один — последний — упоминает «Иран».
• Объем целевых активов: Комбинированные приказы затронули широкий спектр активов, включая:
  • 76 адресов USDT (Tron)
  • 16 адресов BTC
  • 2 адреса Ethereum
  • 641 учетную запись Binance
  • 8 учетных записей OKX

Наше он-чейн расследование 76 адресов USDT Tron выявило важную операционную деталь касательно реакции Tether на приказы об аресте NBCTF. Сформировались две отчетливые модели поведения:

• Проактивное включение в черный список: Tether уже внес в черный список 17 адресов, связанных с Хамасом еще до публичного выпуска соответствующих приказов об аресте. Эти превентивные действия происходили в среднем за 28 дней до официальной публикации, а наиболее ранний случай был зафиксирован за 45 дней.
• Быстрая реакция: В отношении остальных адресов, не находившихся в черном списке на момент публичного раскрытия, Tether реагировал оперативно. Среднее время до внесения в черный список после приказа об аресте составило 2,1 дня, что демонстрирует быструю операционную реакцию на официальные предписания.

Эти выводы свидетельствуют о тесном, а в некоторых случаях и превентивном сотрудничестве между эмитентами стейблкоинов (Tether) и правоохранительными органами, что опровергает распространенное мнение о том, что криптовалюты функционируют полностью вне зоны регулирующего и правоохранительного контроля.

Заключение и проблемы ПОД/ФТ

Наше расследование показывает, что, хотя стейблкоины, такие как USDT, предоставляют мощные инструменты для прозрачности и контроля транзакций, они также создают новые вызовы для обеспечения соблюдения требований по борьбе с отмыванием денег (ПОД/AML) и противодействию финансированию терроризма (ФТ/CFT). Наличие взаимосвязанных петель отмывания, кросс-чейн маскировки, задержек в правоприменении и использования централизованных бирж подчеркивает системные уязвимости в текущей экосистеме комплаенса.

Выделяются несколько ключевых проблем:

• Реактивное против проактивного правоприменения: Хотя Tether демонстрирует как проактивное, так и реактивное поведение при блокировке, большинство действий по линии ПОД/ФТ по-прежнему опираются на меры постфактум, позволяя злоумышленникам перемещать значительные средства до вмешательства.
• «Слепые зоны» бирж: Централизованные биржи остаются критической частью канала отмывания, часто выступая одновременно точками входа и выхода. Недостаточный мониторинг или медленная реакция на этих шлюзах позволяют подозрительным потокам продолжаться практически беспрепятственно.
• Сложность кросс-чейн отмывания: Использование мостов и многоцепочечной инфраструктуры усложняет отслеживание, поскольку злоумышленники все чаще эксплуатируют менее регулируемые экосистемы и маскировку на основе мостов, чтобы обойти комплаенс-проверки.

Для решения этих проблем мы рекомендуем участникам экосистемы — в частности, эмитентам стейблкоинов, биржам и регуляторам — расширять совместный обмен разведывательными данными, инвестировать в поведенческую аналитику в режиме реального времени и внедрять кросс-чейн системы комплаенса. Только благодаря своевременным, скоординированным и технически совершенным усилиям по ПОД/ФТ мы сможем эффективно защитить легитимность и безопасность экосистемы стейблкоинов.

Усилия компании BlockSec

В BlockSec мы стремимся к повышению безопасности и регуляторной устойчивости криптоэкосистемы. Наши усилия в области борьбы с отмыванием денег (AML) и финансированием терроризма (CFT) направлены на предоставление оперативной аналитики, проактивное обнаружение и создание механизмов отслеживаемого правоприменения.

Во-первых, наша платформа Phalcon Compliance разработана для помощи биржам, регуляторам, финансовым институтам и криптопроектам (включая криптоплатежи и децентрализованные биржи) в обнаружении подозрительной активности в режиме реального времени. Она предоставляет он-чейн оценку рисков, мониторинг транзакций и проверку адресов в различных сетях, помогая организациям соответствовать требованиям комплаенса.

Параллельно MetaSleuth, наш онлайн-инструмент для расследований, помогает как аналитикам, так и общественности отслеживать потоки незаконных средств с помощью наглядных визуализаций и кросс-чейн отслеживания. MetaSleuth уже взят на вооружение более чем 100 правоохранительными и комплаенс-агентствами по всему миру, включая финансовых регуляторов, правоохранительные органы и международные консалтинговые фирмы.

В совокупности эти инструменты отражают нашу миссию: устранить разрыв между прозрачностью блокчейна и соблюдением нормативных требований, одновременно защищая целостность децентрализованной финансовой системы.