46 giełd kryptowalut z całego świata na przestrzeni dwóch lat zostało wykorzystanych w celu wyprania brudnych pieniędzy z rozmaitych oszustw, exit scamów i kradzieży. Łączna wartość wypranych kryptowalut wynosi niemal 90 mln dolarów, jak wynika z ustaleń dziennikarskiego śledztwa przeprowadzonego przez redakcję The Wall Street Journal.
Pranie „brudnych kryptowalut”
Rynek kryptowalut, a także związane z nim zbiórki funduszy, czy programy inwestycyjne, boryka się z problemem oszustw i kradzieży, które ułatwia nieregulowany i zdecentralizowany charakter tego środowiska. Niemal każdego tygodnia słychać o kradzieży środków ze źle zabezpieczonych portfeli, czy o upadku konkretnego projektu, który wyłudził fundusze od inwestorów lub o piramidzie finansowej, która przestała wypłacać obiecane środki swoim użytkownikom.
W każdym z tych przypadków oszustw związanych z walutami cyfrowymi przestępcy dochodzą do momentu, w którym muszą wyprać skradzione lub wyłudzone środki, najczęściej pozyskane w dwóch najpopularniejszych kryptowalutach - bitcoinie (BTC) oraz Ethereum (ETH). Zarówno BTC, jak i ETH są pseudoanonimowe, zaś dzięki publicznemu rejestrowi transakcji ich skuteczne ukrycie na portfelach jest mało prawdopodobne. W jaki więc sposób oszuści mogą „oczyścić” nieuczciwie pozyskane kryptowaluty?
Najpopularniejszym sposobem jest szybki podział środków na kilka portfeli i przesłanie ich na giełdy kryptowalut, które nie przeprowadzają weryfikacji użytkownika. Później wystarczy już tylko wymienić je na kryptowalutę, której śledzenie nie jest możliwe, taką jak np. najpopularniejsze do tego celu Monero (XMR). Po wymianie środków na XMR, można było ponownie zamienić je już na „czyste” BTC, ETH, bądź inną kryptowalutę, bez ryzyka powiązania z nielegalną aktywnością.
Dziennikarskie śledztwo w poszukiwaniu skradzionych kryptowalut
Dziennikarze The Wall Street Journal na potrzeby swojego śledztwa związanego z praniem brudnych kryptowalut przeanalizowali ponad 12 mln transakcji od 2016 r. przeprowadzonych z ok. 2500 adresów kryptowalutowych bitcoina i Ethereum podejrzanych o branie udziału w oszustwach, kradzieżach i wyłudzeniach. W kooperacji z firmą Elliptic, która zajmuje się m.in. wyszukiwaniem skradzionych środków w walutach cyfrowych, udało się prześledzić drogę funduszy wartych ponad 89 mln dolarów na giełdy kryptowalut, gdzie zostały one wymienione na niewykrywalne kryptowaluty.
Z 46 giełd kryptowalut, na których dochodziło do prania kryptowalut niewątpliwy prym wiedzie największa giełda (pod względem wolumenu handlowego) Binance, na której od sierpnia zeszłego roku wyprano łącznie ponad 22 mln dolarów w bitcoinie oraz Ethereum. WSJ zwraca jednak szczególna uwagę na giełdę ShapeShift, która funkcjonuje w Stanach Zjednoczonych, jednak ze względów regulacyjno-podatkowych zarejestrowana jest w Szwajcarii. ShapeShift jest amerykańskim podmiotem, w którym dochodziło do prania kryptowalut na największą skalę - od 2016 r. wartość wypranych środków wyniosła ponad 9 mln dolarów.
Powstała w 2014 r. giełda ShapeShift, finansowana m.in. przez fundusz VC Pantera Capital, od początku swojego działania nie przeprowadzała weryfikacji swoich klientów, a także nie przechowywała środków swoich użytkowników, działając podobnie jak kantor kryptowalutowy. Niemal od początku funkcjonowania ShapeShift najpopularniejszą operacją wykonywana przez jej klientów była wymiana bitcoina na Monero oraz Ethereum na Monero.
Pranie brudnych pieniędzy na ShapeShift
Wall Street Journal jako jeden z przykładów prania brudnych pieniędzy na ShapeShift podaje sytuację z maja zeszłego roku, związaną ze słynnym atakiem WannaCry, wykorzystującym lukę bezpieczeństwa w najpopularniejszym systemie operacyjnym Windows. Hakerzy, najprawdopodobniej pochodzący z Korei Północnej, przeprowadzili wówczas potężny atak ransomware (szyfrujący dane na komputerze ofiary i żądający okupu za przywrócenie dostępu do plików), zbierając środki w BTC, z których większość została zamieniona na Monero właśnie na giełdzie ShapeShift.
Czytaj także: NSA współodpowiedzialne za cryptojacking - ponad 450% wzrost nieuczciwego kopania kryptowalut w ciągu roku
Kolejnym przykładem było nieuczciwe ICO projektu Starscape Capital, który miał oferować kryptowalutowy fundusz arbitrażowy, obiecujący nierealne stałe zyski na poziomie 50% miesięcznie. Projekt zebrał środki w Ethereum warte ponad 2.2 mln dolarów. Niedługo potem strona internetowa Starscape Capital przestała działać, zaś środki wpłacone przez inwestorów na anonimowy portfel zostały z niego przeniesione 21 stycznia 2018 r.
Oszuści podzielili środki na dwie części - pierwszą z nich, zawierającą ETH o równowartości ponad 500 tys. dolarów, wysłano na ShapeShift, następnie zamieniając je na Monero, co jest równoznaczne z ich pomyślnym ukryciem i wypraniem, gdyż XMR zapewnia całkowitą anonimowość.
Druga część środków, warta ponad 1,6 mln dolarów została przesłana na giełdę KuCoin z Hong Kongu, która oferuje wyłącznie trading kryptowalutami (bez walut fiducjarnych) i nie wymaga weryfikacji od swoich użytkowników.
Oszuści, którzy przeprowadzili ICO Starscape Capital nie zostali odnalezieni, podobnie jak zebrane przez nich środki, które zostały wyprane.
Również w przypadku domniemanej piramidy finansowej BTC Global opartej o inwestycje w kryptowaluty, obiecującej 5% zysku tygodniowo, która przestała wypłacać zyski użytkownikom, znikając ze środkami wartymi ok. 80 mln dolarów, ślad prowadzi i urywa się na giełdzie ShapeShift.
Pod koniec zeszłego roku głośno było również o ataku phishingowym, podszywającym się pod witrynę ShapeShift w celu wyłudzenia kryptowalut od użytkowników, którzy myśleli że znajdują się na prawdziwej stronie giełdy.
Co ciekawe, oszuści którym udało się wyłudzić środki, podszywając się pod ShapeShift, sami wymienili skradzione środki na Monero właśnie na… giełdzie, pod którą się podszywali.
Spośród pozostałych giełd, na których dochodziło do prania brudnych pieniędzy, warto przytoczyć Bitfinex (ok. 9 mln dolarów), Bittrex (ok. 7 mln dolarów) oraz niekwestionowanego „lidera”, jakim jest najmłodsza spośród wymienionych giełda Binance (ponad 20 mln dolarów).
Koniec anonimowości na ShapeShift
Prezes zarządu i założyciel ShapeShift Eric Voorhees, znany ze swoich libertariańskich poglądów, jest przeciwnikiem wszelkich regulacji związanych z weryfikacją tożsamości klientów i pochodzenia ich środków. Niedawno okazało się jednak, że po ponad czterech latach działalności również ShapeShift zacznie weryfikować swoich klientów - 7 września giełda ogłosiła, że wprowadzi program dla użytkowników, zapewniający lepsze warunki transakcyjne, wymagający jednakże przejścia procedury KYC (ang. know your customer). Giełda zaznaczyła, że założenie konta użytkownika będzie od dziś (1 października) konieczne do korzystania z usług platformy, co spotkało się z krytyką wielu obecnych klientów. Veronica McGregor, prawniczka ShapeShift, przyznała że krok ten był konieczny do zmniejszenia ryzyka prowadzenia działalności i uniknięcia zarzutów o umożliwianie prania brudnych pieniędzy.
Eric Voorhes odniósł się do publikacji WSJ, nazywając ją „wprowadzającą w błąd”. Prezes ShapeShift zwrócił uwagę na fakt, że kwota wypranych pieniędzy, wynosząca 9 mln dolarów to jedynie 0,2% całego obrotu giełdy w ciągu dwóch lat, podczas gdy pranie brudnych pieniędzy w bankach jest szacowane na ok. 2-5% ich obrotu (nie podając jednak źródła tych danych).
Banki przodują w praniu brudnych pieniędzy
Nie da się ukryć, że bankowe skandale związane z odkryciem procederu prania brudnych pieniędzy opiewają na nieporównywalnie wyższe kwoty. Są to też najczęściej znacznie bardziej rozbudowane schematy działania, często angażujące również samych pracowników banku. O tym, że bankowe regulacje, mające przeciwdziałać praniu brudnych pieniędzy i finansowaniu terroryzmu (AML/KYC) nie zawsze są skuteczne, świadczy chociażby niedawny skandal w estońskim oddziale Danske Banku, który odkrył największy przypadek wprowadzania nielegalnych funduszy do obiegu w historii europejskiej bankowości.
Czytaj także: Danske Bank - jak bank ze 150 letnią tradycją stał się największą pralnią brudnych pieniędzy w Europie?
