За кулисами обычных платёжных систем функционирует параллельная финансовая экосистема. Её участники продают вредоносный код, воруют учётные данные, вымогают выкуп и переправляют наркотики. Всё это требует надёжных каналов оплаты, расчёта комиссий и распределения прибыли. В итоге образуется «тёмная экономика» — совокупность рынков и сервисов, где каждый доллар, биткойн или монеро должен пройти путь от преступника к конечному выгодоприобретателю, минуя комплаенс‑фильтры банков и регуляторов.
Мы уже выяснили, что такое даркнет и как туда попасть. Теперь же сосредоточимся на деньгах, которые в нём "крутятся": откуда они берутся, через какие кошельки текут, где «отмываются» и как исследователи пытаются измерить этот скрытый оборот.
Масштаб проблемы: сколько денег вращается в тени
Оценка объёма — нетривиальная задача. Традиционная статистика (ВВП, торговый баланс) опирается на отчётность компаний и банков, тогда как тёмная экономика намеренно избегает публичных регистров. Поэтому аналитики используют косвенные методы — мониторят крупные кошельки, отслеживают цепочки переводов и сопоставляют их с инцидентами.
Согласно отчёту Chainalysis за 2024 год, криминальные транзакции в открытых блокчейнах превысили 24 млрд USD, то есть около 0,34 % от всей криптовалютной активности. Однако эта цифра отражает только адреса, уже помеченные как нелегальные. Реальный оборот может быть вдвое‑трое выше, если учесть неидентифицированные кошельки миксеров и OTC‑обменников.
Для сравнения, Всемирный банк оценивает объём мировой торговли наркотиками в 400–600 млрд USD ежегодно. Значит, криптовалюта покрывает лишь часть трафика: значительные суммы всё ещё проходят наличными или через альтернативные платёжные системы (hawala, подарочные карты, сотовые переводы).
Основные источники дохода: что приносит деньги «тёмной экономике»
1. Наркорынки. После закрытия Silk Road в 2013 году эстафету подхватили десятки площадок: AlphaBay, Hansa, Hydra, позже Kraken Market. До блокировки в 2022 году Hydra обрабатывала около 80 % русскоязычных транзакций, ежегодно генерируя оборот свыше 1,3 млрд USD. Бизнес‑модель проста: маркетплейс берёт комиссию 3–5 % с каждой сделки, а логисты получают оплату за «закладки».
2. Ransomware‑аs‑а‑service (вымогательское ПО как услуга). Вымогатели Conti, LockBit и BlackCat продают доступ к своему шифровальщику партнёрам, которые затем выполняют всю "грязную" работу: взламывают сеть, запускают шифрование и требуют выкуп. 70–80 % суммы остаётся у партнёра, остальное уходит разработчикам малвари. По оценке Coveware, средний платёж в 2023 году составил 740 000 USD, а совокупный вырученный выкуп превысил 1,1 млрд USD.
3. Торговля данными. Лог‑шопы типа Genesis Market продают сессии браузеров по цене от 2 до 200 USD за «пакет» учёток. Базы карт (CC fullz) стоят дешевле: $10–$30 за валидный номер с CVV. Хотя суммы невелики, масштаб поражает: миллионы записей генерируют оборот в сотни миллионов долларов ежегодно.
4. DDoS‑и вымогательство. Сервисы «booter/stresser» предлагают минутную атаку за $5–$20. Крупные кампании против гейм‑серверов или криптобирж оцениваются в десятки тысяч. Источник дохода — подписка на ботнет и «пакеты» минут трафика.
5. Фишинговые комплекты и вредонос‑как‑услуга. Набор скриптов для клонирования банковского лендинга продаётся за $50–$150. Автор получает пассивный доход, а покупатель — готовый инструмент.
Как деньги перемещаются: каналы и инструменты отмывания
Криптовалюты — базовый слой. Биткойн остаётся самым ликвидным активом, однако его псевдонимность осложняет сокрытие следов. Поэтому злоумышленники используют обфускацию:
- Миксеры (tumbler). Смарт‑контракт или централизованный сервис перемешивает средства десятков клиентов, возвращая равные суммы на новые адреса. Популярные примеры — Wasabi Wallet (CoinJoin) и, до санкций OFAC, Tornado Cash.
- Чейн‑хоппинг. Перевод средств через децентрализованные мосты (например, THORChain) из BTC в LTC, затем в XMR. Каждый «прыжок» затрудняет трассировку.
- Privacy‑коины. Monero и Zcash скрывают входы и выходы транзакций, что практически блокирует аналитиков без ошибки на стороне пользователя.
Фиатный выход (off‑ramp). В конце цепочки средства нужно превратить в наличные или легальный актив. В этом помогают:
- OTC‑брокеры в странах с мягким KYC (Know Your Customer - процедура идентификации и верификации). Сделка проходит в мессенджере, а обмен наличными — «из рук в руки».
- Платёжные шлюзы третьего уровня — малоизвестные биржи, не подключённые к Chainalysis KYT. После первичной продажи крипты деньги переводятся на карту мелкого банка или в электронные кошельки Qiwi/PayPal.
- Товарная схема. Закупка электроники, подарочных карт, NFT или игровых предметов, которые затем продаются на P2P‑площадках.
Криптоматы и чужие карты. В Восточной Европе и Юго‑Восточной Азии популярны криптоматы без строгого KYC: $900–$1000 можно обналичить, показав только номер телефона. Альтернатива — предоплаченные банковские карты на подставных лиц, куда выводится фиат, после чего карта обналичивается в любом банкомате.
Инструменты аналитики: как пролить свет на тёмные транзакции
1. Анализ в блокчейне (on‑chain)
Компании‑агрегаторы Chainalysis, Elliptic и Crystal Blockchain ежедневно скачивают копии публичных цепочек (Bitcoin, Ethereum и др.) и строят собственные базы из миллиардов переводов. Ключевая задача — тегировать (помечать) адреса, связанные с дарк‑маркетами, миксерами и кошельками вымогателей.
Чтобы понять, какие адреса контролирует один и тот же человек или группа, используют эвристическую кластеризацию. Алгоритм объединяет кошельки по трём главным признакам:
- Co‑spend — если два адреса одновременно подписывают одну транзакцию, значит их приватные ключи хранятся у одной стороны.
- Change address — «сдача» почти всегда отправляется на новый, но всё ещё принадлежащий отправителю адрес; цепочка повторяющихся шаблонов выдаёт владельца.
- Временная корреляция — серия переводов с интервалом в несколько секунд часто указывает на автоматический сервис (склад, бот‑обменник).
2. Графовые базы данных
После кластеризации транзакции превращаются в ориентированный граф: вершина — кошелёк, ребро — перевод. Методы из теории сетей помогают найти ключевые узлы:
- Кратчайшие пути показывают, через какие сервисы (например, миксеры) проходит основной поток средств.
- Betweenness centrality — показатель «центральности посредника»: чем выше значение, тем чаще узел лежит на путях между другими узлами.
В 2022 году Управление по контролю за иностранными активами США (OFAC) ввело санкции против миксера Tornado Cash. Графовые отчёты показали, что трафик быстро перетёк к менее известным сервисам Sinbad и YoMix, поскольку они стали новыми «центрами» сети.
3. Корреляция за пределами блокчейна (off‑chain)
Блокчейн — не единственный источник данных. Исследователи анализируют форумы, Telegram‑чаты и утечки баз, где продавцы сами публикуют адреса для оплаты. Сопоставив никнеймы с найденными кошельками, строят социальные графы преступной экосистемы. Так, изучив логи площадки Hydra, аналитики выяснили, что все адреса, оканчивающиеся на «ae6», принадлежат крупному рекламодателю форума.
4. Машинное обучение и «риск‑скор»
На финальном этапе каждый адрес оценивается моделью машинного обучения по десяткам признаков: частота переводов, средний размер суммы, время суток, доля средств, прошедших через миксеры и т. д. Алгоритм выдаёт risk score — число от 0 (чистый) до 100 (высокий риск). Крупные биржи блокируют или проверяют транзакцию вручную, если средний балл превышает порог, обычно 70.
Так криминальные средства постепенно вытесняются из ликвидных бирж и вынуждены уходить в менее контролируемые активы — например, в приватные монеты или P2P‑обмен «из рук в руки».
География «тёмной экономики»: где рождаются и где оседают деньги
Исследования Flashpoint показывают, что происхождение средств распределено следующим образом: 45 % — Северная Америка и Европа (вымогатели и мошенничество), 30 % — Россия и СНГ (наркорынки, carding), 15 % — Восточная Азия (фишинг и игры), 10 % — прочие регионы.
Пункты обналичивания концентрируются там, где регуляция криптовалюты слаба: Дубай, Гонконг, Нигерия, Панама, частично Турция. Именно туда сходятся переводы из миксеров, а дальше распределяются по местным банкам и обменникам.
Любопытно, что в 2023 году наблюдался рост «обратного» потока: капиталы, выведенные через даркнет, возвращались на легальные биржи, чтобы участвовать в DeFi‑ферминге. Это свидетельствует о том, что преступники ищут не только анонимность, но и доходность, балансируя между риском блокировки и желанием заработать.
Методы оценки объёмов: как считать то, что прячется
1. Прямой учёт «помеченных» адресов
Аналитические компании ведут каталоги кошельков, уже доказанно связанных с преступной активностью — такие адреса называют illicit. Самый простой способ прикинуть оборот — сложить все входящие и исходящие суммы по этой выборке за год. Преимущество — скорость; недостаток — неполнота: если адрес не попал в базу тегов, его оборот останется невидимым.
2. Стохастическое моделирование потока
Чтобы учесть «серые» адреса, строят вероятностную модель. Алгоритм смотрит, откуда приходит и куда уходит криптовалюта. Если кошелёк получает 90 % средств от уже помеченных «тёмных» адресов, ему присваивается, скажем, 0,9 вероятности быть криминальным. Суммируя такие вероятности по всей сети, получают диапазон «минимум–максимум», а не единственное число — это честно отражает неопределённость.
3. Полевой сэмплинг и опросы участников
Не все операции проходят через блокчейн‑аналитику: часть сделок оплачивается наличными, подарочными картами или stablecoin‑кодами. Поэтому исследователи проводят анонимные интервью с продавцами, считают активные объявления и умножают среднюю цену на объём продаж. По такой методике Europol оценил оборот русского наркорынка Hydra в 1,37 млрд € за 2021 год — цифра, недоступная чисто ончейн‑методам.
4. «Избыточные» монеты в миксерах
У миксеров есть базовый уровень легитимного трафика — люди, которые просто хотят приватности. Когда происходит крупный взлом биржи или вымогательская атака, злоумышленники спешно загоняют добычу в тот же миксер, и депозит за сутки может вырасти в 3–5 раз. Сравнив всплеск с нормальным фоном, можно оценить объём свежих криминальных средств, даже не зная конкретных адресов вора.
Заключение: двусторонняя эволюция
Деньги даркнета — это динамичная система, где преступники и аналитики играют в бесконечные шахматы. Одни придумывают новые способы скрыть следы, другие — новые алгоритмы, чтобы эти следы обнаружить. Общий объём тёмной экономики сложно измерить точно, но он сопоставим с бюджетом небольшой страны и влияет на легальный финансовый рынок через курсы криптовалют, спрос на миксеры и нагрузку на регуляторов.
Понимание структуры потоков помогает не только правоохранителям. Банки, финтех‑стартапы и даже крупные корпорации могут оценить собственные риски, улучшить KYC‑процедуры и принять участие в развитии прозрачной крипто‑экосистемы. Чем точнее мы видим карту теневых маршрутов, тем меньше шансов, что следующий миллиард долларов исчезнет в темноте без следа.
