Расследование известного анонимного аналитика блокчейна ZachXBT выявило возможную причастность российского внебиржевого брокера к отмыванию средств, полученных в результате деятельности программ-вымогателей. Согласно опубликованным данным, через один обменный счет с июля 2025 года прошло более $4,7 миллионов, связанных с тремя выкупами. Ключевым элементом расследования стал 73-биткоиновый кошелек, средства на котором остаются нетронутыми и могут стать важным доказательством.
Стинг-операция в Telegram и якорный адрес
Расследование началось с виртуальной спецоперации. Аналитики, представившись потенциальными клиентами, вышли на связь с российским OTC-брокером Александром Хинкисом через мессенджер Telegram. В ходе переписки Хинкис, как утверждается, предоставил депозитный адрес на криптобирже для конвертации активов. Этот адрес, начинающийся с 0xa756, стал отправной точкой для всего последующего анализа цепочки транзакций. Исследователи отследили примерно 75 переводов, которые в совокупности направили на указанный счет более $4,7 миллионов. Движение средств, согласно данным, началось не позднее июля 2025 года.
Три следа выкупов, сходящихся к одному брокеру
Предполагаемая схема отмывания охватывала три отдельных платежа программам-вымогателям, общий объем которых составил 796 BTC. Каждый платеж оставил уникальный след, пересекающий несколько блокчейн-сетей. Самый старый случай датируется сентябрем 2023 года и связан с выкупом в 560 BTC. Эти средства в конечном итоге были переведены в сеть Avalanche в 2024 году. Второй платеж на 72 BTC, отслеженный до сентября 2025 года, показал более 15% совпадений с известными кошельками программ-вымогателей согласно данным инструментов комплаенса. Около $1,36 миллиона из этой суммы прошли через instant-обменники, прежде чем консолидироваться в кошельке в сети Tron.
Крупнейший платеж и действия по заморозке средств
Самый крупный и недавний платеж в 164 BTC был зафиксирован в октябре 2025 года. Согласно отчетам, около $3,8 миллионов в биткоинах прошли через instant-обменники, прежде чем достигли выходных адресов, связанных с сетью Tron. В ноябре того же года компания Tether заморозила средства на семи адресах Tron, связанных с этим потоком. Впоследствии замороженные средства были сожжены (burned), что подтвердило факт принятия принудительных мер. Параллельно сообщается, что дополнительные $16,6 миллионов все еще находятся на связанных адресах или платформах, причем часть этих средств уже была обналичена.
Передача данных правоохранительным органам и личность брокера
ZachXBT подтвердил, что подробные записи об отслеженных адресах и движении средств были переданы командам по комплаенсу и правоохранительным органам. На момент публикации расследования публичные заявления об арестах отсутствуют. Помимо данных блокчейна, открытые источники позволили составить более четкий портрет предполагаемого участника схемы. Сообщается, что Александр Хинкис регулярно путешествует за пределы России, включая поездки в страны Юго-Восточной Азии и Австралию, и открыто документирует эти поездки в социальных сетях.
Дремлющий кошелек как потенциальная улика
Особое внимание в расследовании уделяется отдельному криптокошельку, на котором без движения остаются 73 BTC. Этот «дремлющий» актив рассматривается как потенциально критическая улика. Если средства с этого адреса начнут движение, это, с высокой долей вероятности, будет немедленно отслежено исследователями и может предоставить дополнительные доказательства для правоохранительных органов. Подобные неактивные кошельки часто становятся ключевыми точками в длительных расследованиях, когда участники схем решают привести свои активы в движение.
Заключение
Расследование ZachXBT демонстрирует растущую сложность и многосетевой характер отмывания криптовалют, полученных преступным путем, а также важность межсетевого анализа. Использование OTC-брокеров, instant-обменников и переводов между различными блокчейнами, такими как Bitcoin, Avalanche и Tron, является стандартной практикой для усложнения отслеживания. Однако данный случай показывает, что даже единичная ошибка, такая как предоставление депозитного адреса, может стать отправной точной для раскрытия всей цепочки. Передача структурированных данных правоохранительным органам создает основу для потенциальных юридических последствий, в то время как замороженные и сожженные средства свидетельствуют о растущем взаимодействии между аналитиками и эмитентами стейблкоинов в борьбе с киберпреступностью.
