Lavagem de dinheiro criptográfico: quatro endereços de depósito em bolsa receberam mais de US$ 1 bilhão em fundos ilícitos em 2022

A Chainalysis divulgou nesta quinta-feira (26) um novo levantamento sobre lavagem de dinheiro, como parte do Crypto Crime Report de 2023. Neste novo capítulo, é explorada a ascensão de serviços clandestinos de lavagem de dinheiro e uma análise sobre fundos mantidos em blockchain por criminosos.

Alguns destaques desta seção que você pode achar interessantes:

• Endereços ilícitos enviaram quase US$ 23,8 bilhões em criptomoedas em 2022, um aumento de 68,0% em relação a 2021. As exchanges centralizadas foram as maiores receptoras desses fundos.
• O ecossistema de lavagem de dinheiro por meio da criptografia é relativamente pequeno, mas altamente concentrado. Por exemplo, apenas quatro endereços receberam US$ 1,1 bilhão em fundos ilícitos em 2022. Vinte e um endereços representam 50% de todos os fundos enviados de ransomware para off-ramps fiduciários.
• O uso de mixers caiu, possivelmente devido à proibição dessas ferramentas pelo Escritório de Controle de Ativos Estrangeiros dos Estados Unidos (OFAC). Contudo, o uso clandestino de mixers atingiu nível recorde.
• Os serviços clandestinos de lavagem de dinheiro estão em ascensão: eles normalmente são acessíveis apenas por meio de aplicativos de mensagens privadas ou do navegador Tor, e geralmente anunciados apenas em fóruns da darknet.
• Esses serviços são semelhantes aos corretores OTC sobre os quais já escrevemos no passado, mas se diferem pelos nomes de marca e pela infraestrutura personalizada, que varia em termos de complexidade. Alguns funcionam como redes de carteiras privadas, enquanto outros são mais parecidos com exchanges ou mixers.

Novos capítulos do Crypto Crime Report 2023 serão divulgados periodicamente até meados de fevereiro, quando o estudo completo será lançado oficialmente.

 

A lavagem de dinheiro é crucial para todos os crimes com motivação financeira porque é o que permite que os criminosos acessem os fundos gerados por suas atividades. Caso contrário, por que cometer os crimes em primeiro lugar? O mesmo é verdade em criptomoeda. O objetivo da lavagem de dinheiro em criptomoeda é mover fundos para endereços onde sua fonte criminosa original não pode ser detectada e, eventualmente, para um serviço que permite que a criptomoeda seja trocada por dinheiro – geralmente isso significa trocas. Se isso não fosse possível, haveria muito pouco incentivo para cometer crimes envolvendo criptomoedas.

Já escrevemos no passado sobre como a atividade de lavagem de dinheiro é altamente concentrada em apenas alguns serviços e, dentro desses serviços, concentrada ainda mais em um pequeno número de endereços de depósito. Isso permaneceu verdadeiro em 2022, embora, como exploraremos, com algumas novas rugas. Além disso, examinaremos o surgimento de serviços clandestinos de lavagem de dinheiro que existem separadamente dos negócios criptográficos com os quais a maioria está familiarizada e também analisaremos os fundos ainda mantidos por criminosos criptográficos no blockchain.

Resumo da atividade de lavagem de dinheiro criptográfico de 2022

A lavagem de dinheiro em criptomoeda normalmente envolve dois tipos de entidades e serviços on-chain:

• Serviços intermediários e carteiras: podem incluir carteiras pessoais (também conhecidas como carteiras não hospedadas), misturadores, mercados darknet e outros serviços legítimos e ilícitos. Os criptocriminosos normalmente usam esses serviços para reter fundos temporariamente, ofuscar seus movimentos de fundos ou trocar entre ativos. Os protocolos DeFi também são usados ​​por atores ilícitos para converter fundos, mas, como discutiremos, não são um meio eficiente de ofuscar o fluxo de fundos.
• Fiat off-ramps: Refere-se a serviços que permitem a troca de criptomoedas por fiat. Esta é a parte mais importante do processo de lavagem de dinheiro, pois os fundos não podem mais ser rastreados por meio da análise de blockchain depois que atingem um serviço – apenas o próprio serviço teria visibilidade de para onde eles vão a seguir. Além disso, se os fundos forem convertidos em dinheiro, eles só poderão ser acompanhados por meio de métodos tradicionais de investigação financeira. A maioria das rampas de saída fiduciárias são bolsas centralizadas, mas as bolsas P2P e outros serviços também podem servir a essa função.

Com isso em mente, vamos ver algumas das tendências de lavagem de dinheiro que vimos em 2022.

No geral, os endereços ilícitos enviaram quase US$ 23,8 bilhões em criptomoedas em 2022, um aumento de 68,0% em relação a 2021. Como costuma acontecer, as principais exchanges centralizadas foram as maiores receptoras de criptomoedas ilícitas, absorvendo pouco menos da metade de todos os fundos enviados de endereços ilícitos. . Isso é notável não apenas porque essas exchanges geralmente têm medidas de conformidade para relatar essa atividade e tomar medidas contra os usuários em questão, mas também porque essas exchanges são saídas fiduciárias, onde a criptomoeda ilícita pode ser convertida em dinheiro.

Mais fundos ilícitos foram enviados para protocolos DeFi do que nunca, uma continuação de uma tendência que começou em 2020. DeFi não é usado no processo de lavagem porque é uma maneira útil de obscurecer o fluxo de fundos. Na verdade, o oposto é verdadeiro, pois ao contrário dos serviços centralizados, toda a atividade é registrada na cadeia. Lembre-se também de que os protocolos DeFi não permitem a conversão de criptomoeda em moeda fiduciária, portanto, a maioria desses fundos provavelmente foi transferida para outros serviços, incluindo rampas de saída fiduciárias. E, como vemos abaixo, quase todo o uso de protocolos DeFi para lavagem de dinheiro é realizado por hackers de um grupo criminoso que roubam criptomoedas.

Os hackers que possuem criptomoeda roubada são a única categoria criminosa que envia a maioria dos fundos para protocolos DeFi, com impressionantes 57,0%. 2022 foi um ano enorme para hackers, por isso esses cibercriminosos foram quase sozinhos capazes de impulsionar o aumento geral no uso de protocolos DeFi para lavagem de dinheiro. O fato de os próprios protocolos DeFi terem sido o maior alvo de hacks em 2022 também influencia nesses números. Nos hacks DeFi, os invasores geralmente acabam com tokens que não estão listados em outras exchanges, então eles precisam usar exchanges descentralizadas (DEXes) para trocá-los por criptoativos mais líquidos. DEXes têm sido historicamente usados ​​para converter fundos em Ether, que podem então ser enviados para misturadores baseados em Ethereum. As DEXes também foram usadas para converter em ativos com maior probabilidade de manter seu valor ou, no caso de stablecoins, para trocar para um ativo que não pode ser congelado pelo emissor da stablecoin. No entanto, como observado anteriormente, os DEXes não permitem a conversão de fundos de criptomoeda para moeda fiduciária – isso ainda deve ser feito por meio de uma troca centralizada ou outra saída fiduciária.

Além dos hackers, os criptocriminosos enviam a maior parte de seus fundos diretamente para exchanges centralizadas, mas há algumas exceções notáveis. Por exemplo, os fornecedores e administradores do mercado da darknet enviam a maior parte de seus fundos para outros serviços ilícitos – principalmente outros mercados da darknet, alguns dos quais podem oferecer serviços de lavagem de dinheiro semelhantes aos do agora fechado Hydra Market. Os endereços do mercado Darknet também enviaram uma grande parte dos fundos para bolsas de alto risco, como Bitzlato, uma bolsa sediada na Rússia fechada em uma ação internacional de aplicação da lei recentemente por sua atividade de lavagem de dinheiro. Os invasores de ransomware são outro caso interessante. Os endereços associados a eles enviam uma parcela desproporcionalmente grande dos fundos aos mixers e também fazem uso intenso de serviços ilícitos. Vendedores e administradores de lojas fraudulentas também são notáveis ​​pelo uso exagerado do mixer.

No total, vemos que mais da metade dos fundos enviados de endereços ilícitos viajam diretamente para exchanges centralizadas, tanto convencionais quanto de alto risco, onde podem ser trocados por moeda fiduciária, a menos que as equipes de compliance tomem providências. No entanto, mais de 40% dos fundos ilícitos vão primeiro para serviços intermediários – principalmente misturadores e serviços ilícitos ou protocolos DeFi –, com a maioria desses fundos provenientes de ransomware, mercado darknet e endereços de hackers.

O uso geral do mixer cai em 2022, mas o uso ilícito atinge o máximo histórico

Os mixers são um serviço popular de ofuscação usado por criminosos criptográficos, recebendo 8,0% de todos os fundos enviados de endereços ilícitos em 2022. Os mixers funcionam recebendo criptomoedas de vários usuários, misturando tudo e enviando a cada usuário uma quantia equivalente ao que eles O resultado é que a criptomoeda de cada usuário agora só pode ser rastreada até o mixer, em vez de sua fonte original, a menos que técnicas especiais de análise de blockchain sejam empregadas. Você pode aprender mais sobre como diferentes tipos de mixers funcionam aqui.

Existem muitos casos de uso legítimos para mixers, a maioria dos quais relacionados à privacidade financeira. Por exemplo, se alguém souber seu endereço de criptomoeda, poderá ver praticamente todo o seu histórico de transações no blockchain, portanto, é razoável que os usuários tentem evitar isso com misturadores. Obviamente, a privacidade financeira fornecida pelos mixers também é valiosa para os criminosos, daí sua popularidade como destino de fundos ilícitos. Em maio de 2022, a OFAC sancionou um mixer pela primeira vez quando designou o Blender.io por seu papel na lavagem de criptomoedas roubadas pelo sindicato de hackers norte-coreano Lazarus Group. A OFAC não perdeu tempo designando seu segundo misturador, Tornado Cash, em agosto pelos mesmos motivos.

A sanção de mixers proeminentes pode ter contribuído para duas tendências que observamos em 2022: a quantidade total de criptomoeda enviada aos mixers caiu significativamente e os fundos que viajaram para os mixers eram mais propensos a vir de fontes ilícitas.

Mixers processaram um total de $ 7,8 bilhões em 2022, 24% dos quais vieram de endereços ilícitos, enquanto em 2021, eles processaram $ 11,5 bilhões, apenas 10% dos quais vieram de endereços ilícitos. Os dados sugerem que usuários legítimos diminuíram o uso de mixers, possivelmente devido a ações de aplicação da lei contra os proeminentes, enquanto os criminosos continuaram a usá-los. Também é importante notar que a grande maioria do valor ilícito processado por mixers é composta por fundos roubados, a maioria dos quais foi roubada por hackers ligados à Coreia do Norte, que provavelmente não serão dissuadidos pela ameaça de sanções dos EUA, uma vez que residem em uma jurisdição não cooperativa.

Outras entidades sancionadas e mercados da darknet também representaram parcelas significativas do valor recebido pelos mixers em 2022.

Concentração de lavagem de dinheiro em fiat off-ramps

Como discutimos acima, os serviços fiat off-ramp, como as exchanges, são cruciais para a lavagem de dinheiro, pois são os serviços em que os criminosos podem transformar cripto em dinheiro, o que provavelmente é seu objetivo final. As saídas da Fiat também estão entre os serviços de criptomoeda mais fortemente regulamentados, e suas equipes de conformidade têm um papel importante a desempenhar na sinalização de entrada de fundos ilícitos e na prevenção de sua troca por dinheiro. Mas, embora existam milhares de serviços de criptomoedas oferecendo fiat off-ramping, alguns poucos recebem a maior parte dos fundos ilícitos que observamos na cadeia.

915 serviços fiat off-ramping exclusivos receberam criptomoeda ilícita em 2022, abaixo dos 1.124 em 2021. Parte dessa queda provavelmente se deve ao fechamento das bolsas durante o mercado de baixa. Dos recursos ilícitos recebidos pelas exchanges, 67,9% foram para apenas cinco serviços, todos centralizados. Isso representa uma concentração maior em relação a 2021, quando os cinco principais serviços receberam apenas 56,7% dos recursos ilícitos.

Mas e os usuários individuais da bolsa que facilitam essa atividade? Podemos supor que muitos dos criminosos que enviam fundos para fiduciárias estão usando uma conta no serviço que eles próprios controlam. Mas, em alguns casos, os criminosos trabalham com provedores de serviços especializados em lavagem de dinheiro, que controlam as contas e ajudam os criminosos a converter suas criptomoedas em dinheiro assim que chegam à bolsa. Essas empresas se enquadram na categoria de serviços aninhados, ou seja, serviços construídos sobre bolsas maiores, usando os endereços de depósito dessas bolsas para acessar seus pares de liquidez e negociação. A maioria dos serviços aninhados são negócios legítimos – muitos corretores de balcão (OTC) proeminentes, por exemplo, operam como serviços aninhados. No entanto,

Por isso, é útil analisar os endereços de depósito de serviços específicos que respondem pela maior parte da atividade de lavagem de dinheiro, pois geralmente podemos atribuir a atividade de um determinado endereço de depósito a um usuário do serviço cuja conta está vinculada a esse endereço de depósito. No gráfico abaixo, analisamos todos os endereços de depósito de serviço fora da rampa que receberam fundos ilícitos em 2022, agrupados pela faixa de valor dos fundos ilícitos recebidos.

O gráfico mostra que a maior parte da lavagem de dinheiro com criptomoedas é facilitada por um grupo muito pequeno de pessoas. Quatro endereços de depósito quebraram US$ 100 milhões em criptomoeda ilícita recebida em 2022 e, combinados, receberam pouco mais de US$ 1,0 bilhão, enquanto os 1,2 milhão de endereços de depósito que receberam menos de US$ 100 em fundos ilícitos representam US$ 38 milhões no total. Além disso, 51% dos US$ 6,3 bilhões em fundos ilícitos recebidos por serviços fiat off-ramp em 2022 foram para um grupo de apenas 542 endereços de depósito. Esses números representam um nível mais baixo de concentração de lavagem de dinheiro no nível do endereço de depósito do que vimos em 2021, embora 2022 tenha registrado um ligeiro aumento na concentração no nível de serviço. Uma possível razão para isso é que as repressões contínuas da aplicação da lei contra os lavadores de dinheiro criptográfico, como o fechamento da bolsa Bitzlato, assustaram os maiores provedores de serviços de lavagem de dinheiro ou os encorajaram a espalhar suas operações em mais endereços de depósito.

Também observamos uma grande variação no grau de concentração da lavagem de dinheiro por tipo de crime.

Apenas 21 endereços de depósito respondem por 50% de todos os fundos enviados de ransomware para fiduciários, enquanto os 21 principais endereços de depósito para fundos recebidos de mercados darknet representam apenas 18%.

Apesar da queda na concentração geral, 51% dos fundos ilícitos que se deslocam para apenas 542 endereços de depósito em 83 bolsas ainda representam um alto nível de concentração de lavagem de dinheiro. Se as equipes de aplicação da lei e conformidade fossem capazes de interromper os indivíduos e grupos por trás desses endereços, seria muito mais difícil para os criminosos lavar criptomoedas em grande escala e ajudar muito a tornar o ecossistema mais seguro.

Os serviços clandestinos de lavagem de dinheiro são uma preocupação crescente

Outra tendência de lavagem de dinheiro que observamos é o crescimento de serviços clandestinos que não são tão acessíveis ao público ou conhecidos como os mixers padrão, pois normalmente são acessíveis apenas por meio de aplicativos de mensagens privadas ou do navegador Tor e geralmente anunciados apenas na darknet. fóruns.

Escrevemos em relatórios anteriores sobre crimes criptográficos sobre corretores OTC aninhados em bolsas que lavam grandes quantidades de fundos ilícitos – muitos dos quais parecem atender explicitamente a cibercriminosos. Embora essa atividade ainda exista, também estamos vendo o surgimento de serviços com marcas e infraestrutura personalizada, que variam em termos de complexidade. Alguns funcionam simplesmente como redes de carteiras privadas, enquanto outros são mais parecidos com um trocador ou mixer instantâneo. Mas, geralmente, o que os liga é que eles normalmente movem criptomoedas para trocas em nome de cibercriminosos, trocam-nas por moeda fiduciária ou criptografia limpa e, em seguida, enviam de volta para os cibercriminosos. Como os serviços OTC aninhados, muitos desses serviços clandestinos também usam essas trocas para obter liquidez. Podemos ver um exemplo no gráfico Chainalysis Reactor abaixo.

Nesse caso, o serviço de lavagem clandestina, que funciona de forma semelhante a um misturador, ajudou um afiliado de uma cepa proeminente de ransomware a transferir fundos para um endereço de depósito em uma grande bolsa centralizada. Acredita-se que o endereço de depósito seja controlado pelo próprio serviço de lavagem.

A análise da atividade de lavagem clandestina como a mostrada acima não é tão fácil de detectar quanto a maioria das atividades em blockchains públicos é por padrão – identificar os endereços desses serviços requer um extenso trabalho investigativo e desvendar suas transações requer técnicas avançadas de análise de blockchain, como demixing. Isso significa que é difícil analisar a atividade desses serviços em escala. No entanto, podemos estimar sua atividade analisando a atividade de todas as carteiras e redes de carteiras que atendem aos seguintes critérios:

• Receba grandes quantidades de criptomoedas de serviços ilícitos
• Envie grandes quantidades de criptomoedas para exchanges e outras saídas fiduciárias

O gráfico abaixo mostra o valor anual da criptomoeda recebido pelas carteiras que se enquadram nesses critérios.

A movimentação total de criptomoedas para carteiras que atendem a esses critérios cresceu nos últimos anos e atingiu US$ 6 bilhões em 2022. Novamente, essas são estimativas – não podemos garantir que todas as carteiras incluídas nesta análise sejam necessariamente serviços de lavagem clandestina, mas sua atividade na cadeia sugere que eles poderiam ser. Também é possível que o uso de serviços clandestinos de lavagem de dinheiro aumente, já que as exchanges de alto risco, que facilitaram essa atividade no passado, enfrentam maior pressão da aplicação da lei, como vimos com a Garantex e a Bitzlato.

Saldos criminais caíram em 2022

Como mencionamos anteriormente, os criminosos costumam deixar fundos em uma carteira pessoal ou em uma carteira associada a um serviço criminoso por longos períodos de tempo. Em alguns casos, isso pode ocorrer porque seus crimes geraram atenção suficiente para que eles não sintam que é possível movimentar os fundos sem que os investigadores ou observadores do setor denunciem – vemos isso frequentemente com fundos roubados em hacks. Em outros casos, isso pode refletir a intenção de manter a criptomoeda na expectativa de que seu preço suba ou de continuar usando-a para outros empreendimentos criminosos. Graças à transparência do blockchain, podemos rastrear esses saldos criminais de forma granular para saber quanto as entidades ilícitas confirmadas estão mantendo em um determinado momento. Abaixo, veremos como os saldos criminais mudaram em 2022.

Duas coisas se destacam: a primeira é que os saldos criminais despencaram em valor em 2022, de US$ 12 bilhões no final de 2021 para apenas US$ 2,9 bilhões. Quedas de preços no mercado de baixa em curso e grandes apreensões bem-sucedidas pela aplicação da lei em 2022 são as causas mais prováveis ​​disso.

Em segundo lugar, podemos ver que os fundos roubados dominam os saldos criminais na cadeia. Provavelmente, isso se deve ao fato de que a quantidade de criptomoeda roubada em hacks disparou nos últimos dois anos e que esses hacks geralmente se tornam grandes pontos de discussão no Twitter criptográfico e em outros fóruns do setor, com muitos rastreando os fundos publicamente e compartilhando os endereços com fundos roubados. Isso pode tornar difícil para os hackers mover fundos roubados para uma rampa de saída fiduciária, o que pode ser um dos motivos pelos quais eles optam por deixar os fundos em carteiras pessoais.

Os saldos criminais são valiosos para rastrear, pois representam uma estimativa de limite inferior de criptomoeda que poderia ser apreendida pela aplicação da lei – o número real de saldos criminais é provavelmente muito maior, pois inclui fundos associados a endereços que ainda não atribuímos a entidades criminosas e fundos derivados de atividades criminosas off-line e convertidos em criptomoeda após o fato.

As agências de investigação continuaram a aumentar sua capacidade de apreender criptomoedas em 2022, com a Unidade de Investigação Criminal do IRS anunciando que apreenderam US$ 7 bilhões em ativos digitais no ano passado, mais que o dobro da quantia apreendida em 2021. 2022 viu várias outras histórias notáveis ​​de criptomoeda apreendidos de criminosos, incluindo:

• Um recorde de US$ 3,6 bilhões apreendidos de dois indivíduos acusados ​​de lavagem de fundos roubados no hack de 2016 da Bitfinex
• A apreensão de novembro de 2021 de US $ 3,36 bilhões em Bitcoin roubado do mercado darknet Silk Road, que foi posteriormente anunciado publicamente em novembro de 2022
• A apreensão de US$ 30 milhões em criptomoedas roubadas da Ronin Bridge da Axie Infinity, marcando a primeira apreensão bem-sucedida de criptomoedas roubadas pelo sindicato de hackers norte-coreano Lazarus Group

Nossos dados sobre saldos criminais sugerem que há ainda mais oportunidades para apreensões bem-sucedidas e, de maneira mais geral, ilustram uma diferença crucial entre investigações financeiras em criptomoedas versus fiduciárias: em criptomoedas, as posses criminosas não podem ser escondidas em redes opacas de bancos e empresas de fachada – quase tudo está aberto.