Один токен — сто следов

Сегодня, когда в обороте все больше цифровых активов и децентрализованных платформ, преступники используют все более изощренные схемы для отмывания денег. Одной из таких тактик стало разделение больших сумм на мелкие переводы по множеству разных кошельков. 

В 2025 году эта схема стала очень популярной, и даже опытным аналитикам и специалистам по блокчейну трудно находить настоящие источники финансирования и устанавливать итоговые площадки вывода. 

Как получается, что миллионы скрываются за сотнями переводов по $50? Какие инструменты помогают разобраться в этом криптохаосе? И можно ли вообще отследить, где заканчивается цифровой след? Рассказывает Георгий Осипов — директор по расследованиям «Шард».

Как микротранзакции используются для сокрытия происхождения средств 

Микротранзакции — это переводы на небольшие суммы, обычно в пределах нескольких долларов. Однако при массовом использовании такие операции могут суммарно составлять десятки или сотни тысяч долларов. Мошенники разбивают активы на множество транзакций, чтобы замаскировать происхождение средств и затруднить их отслеживание.

Схема осуществляется в четыре шага:

1. Дробление. Сначала большая сумма, скажем 10 BTC, делится на множество мелких переводов, например, по 0,01–0,1 BTC. 
2. Рассеивание. Средства направляются на разные кошельки, которые могут быть связаны между собой, но формально выглядят как разные. 
3. Рециркуляция. Микроплатежи переводятся между адресами, иногда через смарт-контракты или децентрализованные обмены. 
4. Консолидация. После «отбеливания» мелкие суммы собираются вновь, но уже в других валютах, на новых адресах или централизованных биржах с менее строгим контролем.

Многие криптовалютные биржи и сервисы устанавливают лимиты, при превышении которых срабатывают процедуры дополнительной проверки (например, при переводах свыше $10 000). Такие меры могут включать анализ на уровень риска, блокировку перевода до выяснения обстоятельств или запрос документов, подтверждающих происхождение средств. Дробление помогает избежать автоматических «флагов» и сохранить транзакции в пределах «безопасного» диапазона.

Большое количество мелких переводов усложняет анализ транзакционной цепочки. Особенно трудно восстановить путь средств, если каждый фрагмент транзакции проходит через разные DeFi-протоколы или кроссчейн-мосты. Это создает «шум» в данных и затрудняет построение целостной картины.

Кроме того, подобная схема создает иллюзию обычной пользовательской активности. Распределяя средства по десяткам адресов и транзакций, злоумышленники маскируются среди миллионов реальных пользователей на криптобиржах, NFT-платформах и в DeFi-сетях. Это снижает вероятность того, что система мониторинга распознает перевод как подозрительный.

Как аналитики восстанавливают связи между микротранзакциями

Микротранзакции создают эффект хаоса: сотни мелких переводов, десятки кошельков, разнообразные обменные сервисы и NFT-площадки. Однако современные аналитические инструменты становятся все более точными и позволяют находить связи между, казалось бы, разрозненными элементами.

Ключевым методом является построение графа движения средств. В такой модели каждый адрес выступает в роли узла, а каждая транзакция — как связь между ними. Даже если сумма разбита на сотню микропереводов — с помощью кластеризации, анализа временных зависимостей и оценки совместного контроля над адресами можно восстановить маршрут от исходной точки до конечного получателя.

В России расследования криптовалютных преступлений тоже становятся все более технологичными. Важную роль здесь играет использование офчейн-данных — таких как KYC-информация, IP-адреса, данные от правоохранительных органов и сведения из открытых источников. В сочетании с ончейн-аналитикой это помогает формировать целостную картину движения средств и, в некоторых случаях, деанонимизировать владельцев криптокошельков.

Как DeFi-платформы и NFT используются для запутывания следа

С начала 2020-х годов DeFi и NFT стали местом, где некоторые люди отмывают деньги. Децентрализованные платформы предлагают быструю и анонимную работу без посредников, что помогает злоумышленникам запутывать следы своих активов, которые были получены нечестным путем. 

В 2025 году через DeFi-протоколы и NFT-маркеты проходит немало схем, связанных с уходом от честного использования криптовалют. Согласно данным Chainalysis, в 2023 году злоумышленники похитили $1,1 млрд через атаки на DeFi-протоколы — это на 64% меньше по сравнению с 2022 годом, когда ущерб составил $3,1 млрд. Рассмотрим основные инструменты, к которым прибегают мошенники.

Использование DEX (децентрализованные биржи). Мошенники используют DEX, такие как Uniswap, PancakeSwap и SushiSwap и другие, чтобы обменивать одни активы на другие. Обычно это происходит через цепочку обменов разных монет: например, ETH меняют на DAI, потом DAI на USDT, а затем стейблкоин выводят в сеть BSC. Эти сделки разбивают поток на отдельные части, и каждую из них сложно отследить.

Пример: адрес получает $10 000 в монетах ETH, делит это на 20 транзакций по $500, обменивает каждую часть на разные токены через DEX, а затем переводит их через мосты в другие сети. Таким образом, используя DEX биржи и инструмент дробления, мошенник намного усложнил цепочку анализа транзакций.

Протоколы смешивания транзакций (миксеры). Криптомиксеры вроде Tornado Cash позволяют смешивать токены от разных пользователей. Это помогает скрыть источник поступлений средств. Даже если суммы ущерба небольшие, а транзакций мало, то после прогона криптовалюты через миксеры отследить, кто на самом деле получает средства, становится сложно, особенно если между отправкой средств на миксер и их получением большой временной промежуток.

NFT как инструмент отмывания средств. Отметим, что NFT все чаще используются как инструмент обфускации происхождения средств: злоумышленники создают токены, а затем сами у себя их выкупают с другого кошелька — это классическая схема wash trading, при которой криптовалюта легализуется как «доход от цифрового искусства». Дополнительно NFT позволяют переводить средства в другой класс активов, не всегда попадающий под финансовое регулирование. Это усложняет идентификацию операций и снижает вероятность автоматического выявления подозрительных транзакций.

В чем сложность сопоставления микроплатежей между разными блокчейнами

Сравнение микроплатежей на разных блокчейнах, это одна из самых трудоемких задач в криптовалютных расследованиях. Злоумышленники все чаще дробят украденные средства и разбрасывают их по многим сетям, таким как Ethereum, TRON, BNB Chain, Avalanche, Polygon и другим. Такой метод помогает им использовать особенности каждой сети, чтобы запутать следы.

Разберем основные причины, почему отслеживание микротранзакций между блокчейнами является сложной задачей.

Во-первых, чаще всего нет единого способа связать транзакцию в одной сети с транзакцией в другой. Уникальные идентификаторы и адреса кошельков не пересекаются между цепочками, поэтому, когда мы переходим из одной сети в другую (например, через мост или децентрализованный сервис), это нарушает непрерывность цепочки. Например, пользователь отправляет 0,001 ETH на мост и получает 0,001 wETH в сети Polygon. Визуально это два разных события с разными адресами и хешами.

Во-вторых, большинство кроссчейн-транзакций проходит через мосты. Мосты часто используют обернутые токены, например, wETH и wBTC, которые являются другими активами в принимающей сети. Это не только скрывает, откуда пришли средства, но и меняет структуру токена, добавляя дополнительные уровни запутанности.

В-третьих, блокчейн-сети бывают разные по уровню доступа.  Так, сети Ethereum и Bitcoin можно легко изучать с помощью открытых узлов и API. А сети вроде Zcash и Monero закрыты или требуют особых инструментов или прав, чтобы получить доступ к данным.

Чем меньше прозрачность блокчейна, тем сложнее отследить транзакции, особенно если какие-то микроплатежи уходят в закрытые сети или скрываются с помощью специальных протоколов.

Какие паттерны поведения чаще всего выдают отмывание через микротранзакции

Микротранзакции часто используются в схемах отмывания денег, имитируя видимость законной деятельности и скрывая связь между тем, кто отправляет средства и тем, кто их получает. Хотя такие транзакции могут выглядеть мелкими и незаметными, некоторые поведенческие шаблоны повторяются так часто, что их можно использовать как признаки подозрительной активности. Аналитики, правоохранительные органы и киберспециалисты применяют методы, которые мы описали ниже, чтобы находить подробные схемы для отмывания денежных средств. 

1. Сверхрегулярность и шаблонность переводов. Одной из главных особенностей отмывания денег через микроплатежи являются одинаковые и частые переводы на схожие суммы, которые происходят с маленькими интервалами. Такие транзакции не имеют смысла и не похожи на обычные переводы от пользователей. Пример: если один адрес отправляет 0,.0015 ETH каждые 7 секунд на 100 разных адресов в течение часа, и при этом нет никакого контекста или ответных переводов, это может указывать на автоматизированную схему распределения денег. 
2. Циклические маршруты и возврат средств. Иногда отмытые деньги частично отправляются обратно на те же адреса, откуда пришли, создавая видимость пользовательской активности. Такие схемы часто используются для легализации криптовалют на централизованных биржах. Пример: схема A B C A с промежуточными дроблениями на мелкие платежи и возвратом части средств. Это создает иллюзию дохода от DeFi-операций.
3. Частое использование мостов и DeFi-платформ. Если платежи проходят через несколько блокчейнов и DeFi-сервисов, особенно с маленькими суммами и большим объемом сделок, это может указывать на попытку скрыть что-то от правоохранительных или контролирующих органов, так как экономический смысл транзакций теряется ввиду большого числа комиссий. Например, подозрительное поведение может выглядеть так: перевод 0,001 ETH, обмен на DAI через Uniswap, затем через блокчейн-мост на BNB Chain, обмен обратно, покупка NFT и затем его быстрая перепродажа. 
4. Использование временных адресов. Так называемые burner wallets — это адреса, которые создаются для одной-двух операций и потом просто забываются. Часто их применяют в микросетях, и, если в одной цепочке скапливается много таких адресов, это повод задуматься. Пример: больше 100 адресов, каждый из которых получает примерно по $40 за 30 минут, а затем все средства собираются на одном новом кошельке и отправляются на биржу. 
5. Аномалии против обычной пользовательской модели. Ряд аналитических систем работают с поведенческим профилированием. Например, если адрес, который раньше использовался только для хранения, вдруг начинает делать много мелких переводов через DeFi, это воспринимается как аномалия в поведении. 
6. Нетипичные часы активности и географическая рассинхронизация. Непривычные часы активности и расхождение в местоположении могут вызвать подозрения. Например, если вы видите много маленьких платежей, которые происходят ночью, скажем, в 3-4 часа, или если они идут с IP-адресов, не связанных с реальным местоположением аккаунта (как в случаях с биржами, где есть проверка личности), это часто может быть связано с работой автоматических отмывочных ботов.

Заключение

В 2025 году микротранзакции являются частью сложных схем по отмыванию и перемещению цифровых активов. Преступники научились адаптироваться к новым методам анализа криптотранзакций и используют разные приемы для отмыва украденных активов.

Тем не менее криптоиндустрия не стоит на месте. Появляются новые инструменты анализа, как графовые модели, машинное обучение и работа с оффлайн-данными (KYC, IP, сетевые логи OSINT-данные и т. д.). Эти технологии помогают восстанавливать реальные отношения между участниками блокчейн цепочек.

Типичные действия мошенников, такие как частые микропереводы, цикличные (круговые) транзакции, одноразовые кошельки и вош-трейдинг, все чаще фиксируются в системах мониторинга. Однако без международного сотрудничества и доступа к критически важным данным (персональной информации, включая KYC) борьба с криптопреступлениями будет все равно сложной задачей.

Сегодня эффективность криптовалютных расследований зависит не только от технологий, но и от умения понимать поведение злоумышленников, стоящее за транзакциями. Один токен может оставить много следов — главное, чтобы кто-то их вовремя заметил и распознал.