$154 млрд грязных денег — криптопреступность стала индустрией с сервисами, франшизами и техподдержкой. И это только разминка

К 2025 году подпольная криптосреда окончательно вышла из состояния хаотичного рынка серых схем и превратилась в выстроенную систему с устойчивыми ролями и отлаженными сервисами. По данным нового отчета Chainalysis, государства все чаще используют уже существующую криминальную инфраструктуру блокчейна, чтобы обходить международные ограничения и санкции, не создавая собственные механизмы с нуля.

За год на адреса, связанные с незаконной деятельностью, поступило криптовалюты на 154 миллиарда долларов. Это в полтора раза больше предыдущей оценки за 2024 год. В Chainalysis связывают резкий рост прежде всего с активностью структур, находящихся под санкциями. В эту категорию входят как государственные схемы обхода ограничений, так и связанные с ними посредники.

Аналитики сразу оговариваются, что итоговая сумма наверняка занижена. По мере выявления новых адресов и пересмотра старых операций картина неизбежно меняется. Показательный пример уже есть. В прошлом отчете объем незаконных операций за 2024 год оценивался в 40,9 миллиарда долларов. Год спустя, после доработки методики и учета дополнительных данных, цифра выросла до 57,2 миллиарда. Основной вклад внесли устойчивые криминальные структуры, которые не участвуют в атаках напрямую, а продают инфраструктуру и услуги по отмыванию средств другим участникам рынка.

При всей внушительности сумм доля незаконных операций в общем криптовалютном обороте по-прежнему остается ниже одного процента. Аналитики отдельно подчеркивают, что их расчеты не включают доходы от традиционных преступлений, где цифровые активы используются лишь как способ оплаты. В ончейн-данных такие переводы практически неотличимы от легальных.

Если говорить о главных источниках незаконного оборота, то в 2025 году они сосредоточились вокруг нескольких направлений. В отчете чаще всего упоминаются Северная Корея, Россия, сети, связанные с Ираном, и китайские структуры, специализирующиеся на отмывании средств. Именно они формируют новый ландшафт угроз.

Северокорейские хакерские группы провели самый результативный год за всю историю своих операций. По оценкам, они похитили около 2 миллиардов долларов, причем основная часть пришлась на взлом Bybit. Потери почти в 1,5 миллиарда долларов сделали этот инцидент крупнейшим цифровым ограблением за все время существования крипторынка.

Российская часть ончейн-активности во многом связана со стейблкоином A7A5, привязанным к рублю. За первый год после запуска через него прошло более 93,3 миллиарда долларов. Это произошло несмотря на усиливающееся давление со стороны регуляторов. В августе сеть, стоящая за A7A5, попала под санкции Управления по контролю за иностранными активами США. Ведомство прямо указало, что токен использовался для трансграничных расчетов в обход ограничений. В октябре к этим мерам присоединился Евросоюз, назвав A7A5 заметным инструментом финансирования деятельности, связанной с войной.

Отдельный пласт в отчете занимают китайские сети по отмыванию средств. Они работают по сервисной модели и предлагают полный набор услуг. В их арсенале инфраструктура для мошенников, обработка доходов от взломов и поддержка схем обхода санкций. По сути, это универсальные поставщики для любого вида ончейн-преступлений.

Иранские прокси-группы тоже заметно нарастили активность. По оценке Chainalysis, через связанные с ними адреса прошло более 2 миллиардов долларов. Эти средства использовались для отмывания денег, нелегальной торговли нефтью и закупок оружия. В отчете упоминаются такие организации, как «Хезболла», ХАМАС и хуситы, которые в 2025 году задействовали криптовалюты в масштабах, ранее для них нехарактерных.

Главным инструментом незаконных операций стали стейблкоины. На них пришлось 84 процента всего теневого оборота за год. Причины довольно прозаичны. Такие активы удобны для международных переводов и не подвержены резким колебаниям курса, что снижает риски при крупных объемах.

Еще одна важная тенденция заключается в росте роли провайдеров полного цикла. Все больше схем опираются на одни и те же сервисы, которые предоставляют хостинг, домены, доступ к биржам и инструменты для отмывания денег, рассчитанные на работу в условиях постоянного давления со стороны правоохранительных органов. Этими же платформами пользуются вымогатели, мошенники и структуры, связанные с государствами.

В конце отчета Chainalysis обращает внимание на тревожное сближение цифровых преступлений с физическим насилием. Речь идет о случаях торговли людьми и прямого давления на жертв, которых вынуждают переводить криптоактивы. Подобные атаки часто совпадают с периодами повышенной рыночной активности, когда движение средств сложнее отследить и остановить.