ПАРТНЕРСТВО: яким має і яким може бути (частина 2)
В попередній публікації ми почали розглядати яким має та може бути партнерство.
Далі в матеріалі продовжуємо цю тему.
Від санкцій до відмивання: резонансні розслідування
Методи блокчейн-аналітики вже неодноразово довели свою ефективність на практиці, розплутуючи міжнародні злочинні схеми. Яскравий приклад – історія російської криптобіржі Garantex, що опинилася під санкціями, але спробувала перевтілитися під новим ім’ям. «Інфраструктура не зникає — вона еволюціонує», – жартують аналітики. В березні 2025 року, менш ніж через два тижні після того, як силовики відключили Garantex і заморозили її криптовалютні гаманці, у мережі з’явилась нова платформа Grinex.io, підозріло схожа на свого попередника. Компанії Global Ledger, Crystal Blockchain, AMLbot та Merkle Science, незалежно одна від одної, взялися за розслідування цього феномена і дійшли схожих висновків.
Останнє розслідування експертів блокчейн-аналітичної компанії AMLbot показало, що оператори криптобіржі Garantex, яка раніше потрапила під санкції США, знайшли механізм обходу обмежень шляхом запуску нової платформи під назвою Grinex.
За допомогою блокчейн-аналітики було встановлено, що Garantex фактично переніс ліквідність та активи своїх клієнтів на нову платформу Grinex, використовуючи аналогічну інфраструктуру. На блокчейні TRON зафіксовано рух мільярдів стейблкоїнів A7A5 (цифровий рубль Промсвязьбанку) між зазначеними платформами.
Згідно з дослідженням AMLbot, Grinex вже встиг обробити транзакції на суму понад 30 мільйонів доларів США. Цей факт ставить під сумнів ефективність застосованих санкційних заходів і демонструє необхідність ретельнішого моніторингу криптоекосистеми для виявлення подібних схем обходу фінансових обмежень.
Аналітики Merkle Science, відстежуючи транзакції в мережі Tron, помітили низку ключових збігів, що видали справжню сутність Grinex. По-перше, відразу кілька гаманців, раніше асоційованих із Garantex, почали переказувати USDT на депозити Grinex – ліквідність не зникла, вона мігрувала. По-друге, активність “гарячих” гаманців Grinex виявила вже знайомі адреси Tron, які активно використовуються для щоденних операцій біржі. По-третє, інтерфейс нового сайту практично повторював дизайн Garantex, а функції введення/виведення коштів були обмежені користувачами з російською верифікацією – точнісінько як раніше на Garantex. Нарешті, асортимент активів співпав: Grinex працювала лише з USDT та A7A5 (стейблкоїном на Tron в рублях) – саме такий набір валют був у Garantex на момент закриття.
Команда Crystal Blockchain дійшла подібних висновків, доповнивши картину важливими деталями. Розслідування Crystal виявило разючі докази завчасного планування. Виявилося, що домен Grinex був зареєстрований ще у 2024 році через російського реєстратора (whoisproxy.ru) і лежав “про запас” до 10 березня 2025-го – лише чотири дні після того, як Garantex закрили). Більше того, ще у грудні 2024 року на новому домені були налаштовані MX-записи для електронної пошти, тобто його власники заздалегідь готували інфраструктуру. Це свідчить про те, що керівництво Garantex прогнозувало можливе закриття і створило «план Б» у вигляді Grinex.
Аналіз блокчейн-даних від Crystal підтвердив фінансову тяглість між двома біржами. Особливої уваги заслуговує згаданий стейблкоїн A7A5 – токен, забезпечений російськими рублями і випущений киргизькою компанією, який використовувався Garantex для роботи з рублевими рахунками. Crystal з’ясувала, що блокований гаманець Garantex раптово перевів всі токени A7A5 на один новий гаманець. Потім майже $60 млн. у цьому токені були спалені (анульовані емітентом). Вже за 10 хвилин той самий обсяг A7A5 випустили наново і зарахували на гаманець біржі Grinex. Таким чином, історія транзакцій наче обнулилась – кошти формально перемістилися «поза блокчейном». Ця знахідка продемонструвала хитрий прийом: використати можливості емітента стейблкоїна для “перезавантаження” балансу і переведення активів з замороженого гаманця на новий.
Компанія Global Ledger також доклала зусиль, щоб довести зв’язок Grinex із санкційною структурою. Їхнє розслідування поєднало on-chain та off-chain дані, тобто і блокчейн-транзакції, і зовнішню інформацію (реєстри, соцмережі, свідчення користувачів). У результаті команда Global Ledger довела, що Grinex – це повноцінна спадкоємиця Garantex, створена для продовження операцій після введення санкцій. Зокрема, було показано, що вся рублева ліквідність Garantex в A7A5 вже “перекочувала” на гаманці Grinex.
CEO Global Ledger Лекс Фісун зазначив Coindesk, що окрім транзакцій про зв’язок свідчить і вибухове зростання нової біржі – обсяг торгів Grinex перевищив $40 млн. за перші два тижні, що нереалістично для стартапу без попередньої бази. А ще соціальні зв’язки: наприклад, клієнтів Garantex у Telegram спершу направляли прийти до офісу особисто по свої кошти, а невдовзі ті самі адміністратори вже рекламували перехід на Grinex.
У підсумку владі різних країн знадобилося менше місяця, щоб визнати Grinex новим втіленням старої схеми. Цей випадок став показовим: “операційне відмивання” інфраструктури – ребрендинг оболонки при збереженні двигуна – кидає виклик регуляторам і потребує нестандартних підходів.
Крім ухилення від санкцій, блокчейн-аналітика допомагає викривати й інші міжнародні злочини, де задіяно криптовалюту.
4 квітня 2025 року Управління з контролю за іноземними активами США (OFAC) оголосило про запровадження санкцій щодо восьми криптогаманців, пов’язаних із біржею Garantex та єменським угрупованням хуситів. Згідно з даними аналітичних компаній Chainalysis і TRM Labs через ці гаманці було перераховано близько $1 млрд., переважно спрямованих на фінансування хуситських операцій у Ємені та в акваторії Червоного моря.
Хусити почали використовувати криптовалюту ще з 2017 року, щоб обходити міжнародні санкції та забезпечувати фінансову незалежність. Два із восьми санкційних гаманців пов'язані з фінансистом Саїдом аль-Джамалем, який співпрацює з хуситами та іранським Корпусом стражів ісламської революції. Інші адреси залучені до фінансування постачання військової техніки та компонентів для безпілотників.
СЕО AMLbot Слава Демчук пояснив Cointelegraph: “Включення гаманців, пов’язаних із хуситами, відображає ширше визнання ролі криптовалют у геополітичних конфліктах та фінансуванні тероризму. Наслідки далекосяжні — системи відповідності мають швидко адаптуватися, зусилля з ідентифікації активізуватимуться, а децентралізовані платформи можуть мати справу з підвищеним контролем”.
За даними аналітиків Elliptic, опублікованими в The Wall Street Journal, фінансування терористичного угруповання ХАМАС частково здійснювалося через криптобіржу Garantex. Незадовго до нападу на Ізраїль цифрові рахунки союзного ХАМАСу угруповання «Ісламський джихад» отримали $93 млн., частина з яких була перерахована саме через Garantex.
Ще одним злочинним напрямком з використанням в оплаті криптовалюти є дитяче насильство.
Так, у жовтні 2023 року було оголошено вирок оператору згаданого біткоїн-міксера Bitcoin Fog, багато в чому завдяки тому, що слідчі простежили навіть анонімні транзакції та встановили особу, відповідальну за відмивання криптовалютних коштів з даркнету. Інший випадок: рекордна глобальна операція під егідою Європолу закрила підпільну мережу обміну дитячої порнографії Kidflix у 2025 році. Злочинці розраховувалися криптовалютою, та це їх не врятувало – 38 країн об’єднали зусилля, щоб простежити платежі, ідентифікувати 1 393 підозрюваних та заарештувати ключових фігурантів.
А нещодавно у Великій Британії було викрито банду, що продавала автомобілі українським волонтерам за готівку, а виторг відправляла через криптобіржі, маскуючи його під законні операції. Crystal Blockchain повідомила, що слідство виявило ланцюжок відмивання на £6,6 млн., який пролягав через британські та українські криптосервіси; зрештою злочинців засуджено до ув’язнення. У всіх цих історіях аналітика блокчейну відіграла вирішальну роль: без неї ані правоохоронці, ані фінансові установи не змогли б зібрати пазл складних, розпорошених по світу транзакцій.
Спільна відповідь на глобальні загрози
Досвід блокчейн-аналітичних компаній демонструє, що протидія криптовалютним злочинам стала високотехнологічною гонкою озброєнь. З одного боку – винахідливі схеми відмивання і юрисдикційний арбітраж, коли підсанкційні платформи шукають лазівки між правовими полями різних країн. З іншого – розумні алгоритми, що в режимі 24/7 моніторять блокчейн і сигналізують про найменші відхилення.
Проте, самих технологій недостатньо. Експерти наголошують на необхідності координації між юрисдикціями та обміну даними. “Санкції не завершуються самим фактом блокування – інфраструктура часто продовжує діяти лише трохи змінившись, щоб бути на крок попереду”, – зауважують у Merkle Science. Тому потрібен стійкий післясанкційний моніторинг, спільні реєстри підозрілих гаманців, обмін інформацією між банками, біржами та правоохоронцями.
Для команд з ПВК/ФТ це означає постійне вдосконалення інструментів. Сьогодні у їхньому розпорядженні – поведінкові евристики, що оновлюються під нові хитрощі відмивачів, та навіть предиктивні алгоритми, здатні прогнозувати ризикові дії на основі великого масиву даних. Блокчейн-аналітика вже навчилася «читати» те, що колись здавалося темними грошовими потоками. І хоча злочинці продовжать шукати шпарини, кожен їхній крок лишає цифровий слід, а значить, рано чи пізно уважний аналітик складе з тих слідів картину злочину.
Ця гра в шахи триває, але завдяки зусиллям експертів в цій області та аналітиків блокчейн-аналітичних компаній, правоохоронці все частіше оголошують шах і мат криптовалютним злочинним мережам.
