مروری بر پولشویی با ارزهای دیجیتال در ۲۰۲۳
فرآیند پولشویی و فعالیتهای غیرقانونیی در حوزه رمزارزها به یکی از مسایل مهم و چالشبرانگیز در جوامع جهانی تبدیل شده است. آخرین گزارشها و تحلیلها نیز حاکی از افزایش این فعالیتهای پولشویی در حوزه اقتصاد جهانی است. این مطلب، گزارش جدیدی است که توسط سایت معتبر «چینآلیسیس» (Chainalysis) تهیه و منتشر شده؛ این گزارش به تحلیل وضعیت پولشویی، روشها، آمار و اطلاعات مربوطبه فعالیتهای پولشویی ارزهای دیجیتال در ۲۰۲۳ پرداخته و بهطور دقیق مقایسهای با آمار فعالیتهای پولشویی در سالهای گذشته ارایه کرده است.
عناوین این مقاله:
هدف از پولشویی، پنهانکردن منشا مجرمانه وجوه است تا بتوان بهراحتی به آن دسترسی داشت و خرج کرد. در زمینه جرایم مبتنیبر ارزهای دیجیتال، این مقوله، بهطورکلی به معنای انتقال وجوه به خدماتی است که میتوان آنها را به پول فیات تبدیل کرد؛ درحالیکه اغلب این اقدامات بهمنظور پنهانکردن منابع مالی انجام میشود. بهاینترتیب، این گزارش تحلیلی از پولشویی در حوزه ارزهای دیجیتال بر دو گروه مجزا از خدمات و نهادهای زنجیرهای متمرکز است:
خدمات واسطه و کیف پولها:
این گروه شامل کیف پولهای شخصی، میکسرها (Mixers)، مبدلهای فوری، انواع مختلف پروتکلهای دیفای (DeFi) و سایر خدمات قانونی و غیرقانونی است. مجرمان کریپتویی بهطور معمول از خدمات این دسته برای نگهداری وجوه یا مخفیکردن منشا مجرمانه خود، اغلب با پنهان کردن پیوند زنجیرهای بین آدرس کیف پول مبدا و آدرس فعلیشان، استفاده میکنند.
گفتنی است در حوزه ارزهای دیجیتال، منظور از میکسر، سرویسهایی هستند که برای حفظ حریم خصوصی و پنهان کردن مبادلات ارزهای دیجیتال استفاده میشوند. این سرویسها ارزهای دیجیتال را از یک تراکنش به تراکنش دیگر مخلوط یا ترکیب میکنند، بهطوریکه مبادلات توسط اشخاص، غیرقابل ردیابی میشوند. اگرچه از این میکسرها برای افزایش حریم خصوصی و جلوگیری از ردیابی ارزهای دیجیتال استفاده میشود، اما برخی از افراد از آنها برای انجام فعالیتهای غیرقانونی مانند پولشویی یا فعالیتهای جنایی دیگر استفاده میکنند.
خدمات «خارج از رمپ فیات» (Fiat off-ramping):
این دسته شامل سرویسهایی میشود که در آن ارز دیجیتال میتواند به ارز فیات تبدیل شود که رایجترین آنها صرافیهای متمرکز است. بهطور کلی خدمات خارج از رمپ فیات، به فعالیتهایی اشاره دارد که بدون استفاده از ارز فیات مثل دلار یا یورو انجام میشود. این خدمات شامل مواردی مانند تبدیل ارزهای ملی به ارزهای دیجیتال، خرید و فروش ارزهای دیجیتال، تبادل ارزهای دیجیتال با یکدیگر، ارسال و دریافت ارزهای دیجیتال، انجام تراکنشهای مالی با استفاده از ارزهای دیجیتال و ارایه خدمات مالی مبتنیبر بلاکچین (Blockchain) میشود. این خدمات توسط صرافیهای ارز دیجیتال، پلتفرمهای تبادل ارز، کیف پولهای ارز دیجیتال، شرکتهای فناوری مالی (FinTech) و سایر ارایهدهندگان خدمات مالی ارایه میشود. این گروه میتواند شامل صرافیهای همتابههمتا (P2P)، پلتفرمهای شرطبندی و دستگاههای خودپرداز ارز دیجیتال نیز باشد. همچنین این فرآیند، خدمات شبکهای (Nested) را نیز در برمیگیرد که با استفاده از زیرساخت صرافیهای متمرکز عمل میکنند و خدمات خارج از رمپ را امکانپذیر میسازند، مانند بسیاری از خدمات تجاری که خارج از صرافی انجام میشوند (OTC trade desks).
توجه به این مساله حایز اهمیت است که همه این سرویسها دارای قابلیتها و گزینههای متفاوتی برای مقابله با پولشویی هستند. برای مثال صرافیهای متمرکز، کنترل بسیار بیشتری بر این موضوع دارند، زیرا میتوانند وجوهی را که از منابع مشکوک یا غیرقانونی به دست میآیند، مسدود کنند. بااینحال، پروتکلهای دیفای معمولن این گزینه را ندارند، زیرا بهطور مستقل اجرا میشوند و معمولن مسوولیت نگهداری از اموال کاربران را به عهده نمیگیرند. البته ماهیت غیرمتمرکز پروتکلهای دیفای همچنین به این معنی است که تحلیلگران بلاکچین بهطور کلی میتوانند وجوهی را که از طریق پروتکلهای دیفای در حال جابهجایی و انتقال هستند، تا مقصد بعدی خود ردیابی کنند که این مساله در مورد سرویسهای متمرکز صدق نمیکند. همچنین خدمات غیرقانونی که بهعمد پولشویی را تسهیل میکنند، همگی تنها از طریق عملیات اجرای قانون یا سایر فرآیندهای قانونی قابلتوقف هستند. صادرکنندگان توکن نیز میتوانند در این زمینه نقش مثبتی داشته باشند. بهعنوانمثال، استیبلکوینهایی (Stablecoions) مانند تتر (USDT) و یواسدیسی کوین (USDC) دارای عملکردهایی هستند که به آنها اجازه میدهد داراییهای نگهداریشده توسط آدرسهای مرتبطبا جرم را مسدود کنند.
با درنظر گرفتن این موضوع، بیایید به روندهای کلیدی پولشویی ارزهای دیجیتال در سال ۲۰۲۳ نگاهی داشته باشیم.
پولشویی ارزهای دیجیتال در سال ۲۰۲۳: روندهای کلیدی
در سال ۲۰۲۳، آدرسهای غیرقانونی رقمی معادل ۲۲.۲ میلیارد دلار ارز دیجیتال را در ازای پرداخت خدمات ارسال کردند که این میزان نشاندهنده کاهش قابلتوجهی نسبتبه ۳۱.۵ میلیارد دلار ارسالشده در سال ۲۰۲۲ است. بخشی از این کاهش ممکن است به کاهش کلی حجم تراکنشهای ارزهای دیجیتال، هم بهصورت قانونی و هم غیرقانونی نسبت داده شود. بااینحال، کاهش میزان فعالیتهای پولشویی شدیدتر بوده و ۲۹.۵ درصد در مقایسه با ۱۴.۹ درصد کاهش در حجم کل معاملات را نشان میدهد.
بهطور کلی صرافیهای متمرکز با یک میزان ثابت در پنج سال گذشته، مقصد اصلی وجوه ارسالی از آدرسهای غیرقانونی شناسایی شدهاند. با گذشت زمان، نقش خدمات غیرقانونی کاهشیافته، درحالیکه سهم ورودی وجوه غیرقانونی به پروتکلهای دیفای افزایشیافته است. این مورد را بهطور کلی و در درجه اول میتوان به رشد کلی دیفای در طول دوره زمانی نسبت داد. اما به این موضوع نیز باید توجه کرد که شفافیت ذاتی دیفای بهطور کلی آن را به انتخاب ضعیفی برای پنهان کردن و ایجاد پیچیدگی در ردیابی انتقال وجوه تبدیل میکند.
سال ۲۰۲۳ از نظر تفکیک انواع خدمات مورد استفاده برای پولشویی بیشتر شبیه سال ۲۰۲۲ بود، اما درعینحال شاهد کاهش جزیی در سهم وجوه غیرقانونی بودیم که برای انواع خدمات غیرقانونی استفاده شده است. همچنین وجوه استفادهشده در ازای ارایه خدمات پلتفرمهای شرطبندی و پروتکلهای پلسازی بلاکچینی، برای انتقال ارزهای دیجیتال بین شبکههای بلاکچینی مختلف، با افزایش جزیی همراه بوده است.
با اینحال، اگر نگاهی دقیق و جزییتر به این نمودار و چگونگی انجام فعالیتهای پولشویی در حوزه ارزهای دیجیتال بیندازیم، علاوه بر تغییرات قابلتوجه در برخی زمینهها و مهمتر از همه، شاهد افزایش چشمگیری در حجم وجوه ارسالشده به «پلهای میانزنجیرهای» (cross-chain bridges) از آدرسهای مرتبطبا وجوه سرقتشده خواهیم بود. روندی که بعدتر با جزییات بیشتری بررسی خواهیم کرد. همچنین افزایش قابلتوجهی در وجوه ارسالشده از باجافزارها به پلتفرمهای شرطبندی و وجوه ارسالشده به پلها از کیفپولهای باجافزاری قابل مشاهده است.
تمرکز پولشویی در خدمات «خارج از رمپ فیات»
خدمات خارج از رمپ فیات (Fiat off-ramps) مقولهای مهم است؛ چراکه طی این فرآیند مجرمان میتوانند بهراحتی ارزهای دیجیتال خود را به پول نقد تبدیل کنند و این یعنی اوج فرآیند پولشویی. در حالی که هزاران سرویس خارج از رمپ در حال فعالیت هستند، بیشتر فعالیتهای پولشویی تنها روی چند سرویس منتخب متمرکز شده است. از مجموع وجوه غیرقانونی ارسالشده به خدمات غیرمجاز در سال ۲۰۲۳، ۷۱.۷ درصد فقط به پنج سرویس اختصاص یافته که نسبتبه ۶۸.۷ درصد در سال ۲۰۲۲ اندکی افزایش یافته است.
در این قسمت یک سطح پایینتر میرویم و به بررسی تمرکز فعالیتهای پولشویی در آدرسهای مقصد میپردازیم. منظور از آدرسهای مقصد، آدرسهایی در سرویسهای متمرکز مرتبطبا کاربران فردی است. این آدرسها را میتوان شبیهبه حسابهای بانکی در نظر گرفت؛ بنابراین، بررسی فعالیت پولشویی در سطح آدرس مقصد به ما امکان میدهد درک بهتری از افراد یا خدمات شبکهای (Nested services) داشته باشیم که بهطور مستقیم مسوول بیشتر فعالیتهای پولشویی ارزهای دیجیتال هستند.
با نگاهی به همه چیز از این دریچه، میببینیم که با وجود تمرکز بیشتر فرآیند پولشویی در سطح ارایه خدمات در سال ۲۰۲۳، این فعالیتهای پولشویی تمرکز کمتری در سطح آدرسهای مقصد داشته است.
نحوه خواندن این نمودار: این نمودار آدرسهای واریزی خدمات را بر اساس دریافت مقدار کل ارز دیجیتال غیرقانونی هر آدرس بهصورت جداگانه در سال ۲۰۲۳ نشان میدهد. هر نوار خاکستریرنگ، تعداد آدرسهای مقصد در یک دستهبندی را نشان میدهد، درحالیکه هر نوار آبی نشاندهنده کل ارزش ارز دیجیتال غیرقانونی دریافتی توسط تمام آدرسهای مقصد در آن دسته است. بهعنوانمثال در دسته اول، میبینیم که ۲,۲۳۵,۳۲۹ آدرس مقصد بین ۵ تا ۱۰۰ دلار ارز دیجیتال غیرقانونی دریافت کردهاند و در مجموع عددی معادل ۶۹.۴ میلیون دلار ارز دیجیتال غیرقانونی به این آدرسها واریز شده است.
در سال ۲۰۲۳، ۱۰۹ آدرس مقصد در صرافیها، هر کدام بیش از ۱۰ میلیون دلار ارز دیجیتال غیرقانونی و درمجموع ۳.۴ میلیارد دلار ارز دیجیتال غیرقانونی دریافت کردهاند که نشاندهنده افزایش قابلتوجهی است. درحالیکه در سال ۲۰۲۲، تنها به ۴۰ آدرس بیش از ۱۰ میلیون دلار ارز دیجیتال غیرقانونی واریز شده که در مجموع کمتر از ۲.۰ میلیارد دلار بوده است.
در سال ۲۰۲۲، تنها ۵۴۲ آدرس مقصد بیش از ۱ میلیون دلار ارز دیجیتال غیرقانونی دریافت کردند که در مجموع ۶.۳ میلیارد دلار بود. گفتنی است این آمار، بیش از نیمی از کل ارزش غیرقانونی دریافتشده توسط صرافیهای متمرکز در آن سال به شمار میآید. در سال ۲۰۲۳، ۱،۴۲۵ آدرس مقصد بیش از ۱ میلیون دلار ارز دیجیتال غیرقانونی دریافت کردند که در مجموع ۶.۷ میلیارد دلار بود و تنها ۴۶ درصد از کل ارزش غیرقانونی دریافتشده توسط صرافیها در این سال را تشکیل میدهد.
بااینحال، این موضوع شایان ذکر است که تمرکز پولشویی بر اساس نوع فعالیت مجرمانه، متفاوت است. بهعنوانمثال، فروشندگان محتواهای محتوای غیراخلاقی مربوطبه کودکان (CSAM) و اپراتورهای باجافزار، تمرکز بالایی در این مورد از خود نشان میدهند. در همین رابطه، تنها هفت آدرس مقصد ۵۱.۰ درصد از کل ارزش دریافتی از فروشندگان CSAM توسط صرافیها را تشکیل میدهند، درحالیکه در خصوص اپراتورهای باجافزار، تنها ۹ آدرس ۵۰.۳ درصد از این سهم را تشکیل میدهند.
از سوی دیگر، کلاهبرداریهای مرتبطبا بازارهای دارکنت «darknet markets» (وبسایتها یا پلتفرمهایی که فعالیتهای غیرقانونی انجام میدهند) تمرکز بسیار کمتری را نشان میدهند. اشکال جرایم مرتبطبا ارز دیجیتال که تمرکز بیشتری را نشان میدهند ممکن است در برابر اجرای قانون آسیبپذیرتر باشند، زیرا فعالیتهای پولشویی آنها به خدمات بهنسبت کمتری متکی است که میتواند مختل شود.
مجرمان رمزارزی به طور کلی، فعالیتهای پولشویی خود را در سرویسهای شبکهای یا آدرسهای مقصد متنوعتر انجام میدهند تا بهتر بتوانند آن را از مجریان قانون و تیمهای مسوول بررسی و اعمال مقررات قانونی و تطابق با استانداردها پنهان کنند. گسترش این فعالیتهای پولشویی در آدرسهای بیشتر نیز ممکن است راهبردی برای کاهش تاثیر مسدودشدن یک آدرس مقصد برای فعالیتهای مشکوک باشد. در نتیجه، مبارزه با جرایم ارز دیجیتال از طریق هدف قراردادن زیرساختهای پولشویی به دقت و درک بیشتری از ارتباط از طریق فعالیتهای زنجیرهای نسبتبه گذشته نیاز خواهد داشت، زیرا اینگونه فعالیتها بهصورت پراکندهتر انجام میشود.
یک بخش قابل توجه از فعالیتهای پولشویی در حوزه ارزهای دیجیتال شامل فعالیتهای غیرپیچیده افرادی است که بهسادگی اقدام به ارسال دارایی خود بهصورت مستقیم به صرافیهای ارز دیجیتال میکنند. بهعبارت دیگر، این افراد بدون استفاده از روشهای پیچیده و پنهانکاری، بهطور مستقیم پولهای خود را به صرافیهای ارز دیجیتال ارسال میکنند تا آن را به ارزهای دیگر تبدیل کرده یا از خود صرافیها برای مبادله و تبادل استفاده کنند.
این مورد را میتوانیم در نمودار Chainalysis Reactor ببینیم که به سرویس جعل شمارههای تلفن با نام آیاسپوف (iSpoof) مربوط است که البته در حال حاضر دیگر فعال نیست. این سرویس موفق به کلاهبرداری بیش از ۱۰۰ میلیون پوندی قبل از بستهشدن توسط مجریان قانون شد. در این فعالیت پولشویی، میلیونها بیتکوین (Bitcoin) بهطور مستقیم به یک گروه از آدرسهای سپرده در یک صرافی متمرکز ارسال شد.
بااینحال، مجرمان ارزهای دیجیتال مرتبطبا فعالیتهای پیچیدهتر پولشویی بلاکچینی، مانند مجرمان سایبری کره شمالی که با باندهای هکری مانند «گروه لازاروس» (Lazarus Group) در ارتباط هستند، از تنوع بیشتری از خدمات و پروتکلهای رمزارزی استفاده کنند.
در ادامه، نگاهی به دو روش مهمی که این مجرمان سایبری، استراتژیهای پولشویی خود را بر اساس آن انجام میدهند خواهیم داشت. این نمونهای از فعالیتهای مجرمانه گروه لازاروس است:
- استفاده از یک میکسر جدید پس از توقیف میکسر «سندباد» (Sinbad) و تعیین مالیات اوفک (OFAC) یا دفتر کنترل سرمایههای خارجی: این مورد به یک سرویس میکسر جدید اشاره دارد که برای پنهان کردن مبادلات ارزهای دیجیتال از طریق ترکیب و مخلوط کردن تراکنشها استفاده میکند.
- «پرش زنجیرهای از طریق پلهای میانزنجیرهای یا بلاکچینی» (Chain hopping via cross-chain bridges): این مورد به استفاده از پلهای بلاکچینی بین شبکههای بلاکچین مختلف اشاره دارد. وقتی ارزهای دیجیتال از یک شبکه بلاکچین به شبکه دیگر منتقل میشوند، این فرآیند با عنوان پرش زنجیرهای (chain hopping) شناخته میشود. استفاده از پلهای بلاکچینی این امکان را فراهم میکند تا ارزها و داراییها از یک شبکه بلاکچین به دیگری بهسرعت و با کمترین هزینه منتقل شوند.
در ادامه به بررسی هر دو روش خواهیم پرداخت.
میکسر جدید یومیکس (YoMix) مسوولیت سندباد را بر عهده میگیرد
طبق گزارش ارایهشده توسط چینآلیسیس، سال ۲۰۲۳ شاهد کاهش وجوه ارسالشده به میکسرها از آدرسهای غیرقانونی بودیم که از عدد ۱.۰ میلیارد دلار در سال ۲۰۲۲ به عددی معادل ۵۰۴.۳ میلیون دلار در سال ۲۰۲۳ رسیده است.
مواردی همچون تحریم و خاموششدن «میکسر سندباد» (Sinbad Mixer) در نوامبر ۲۰۲۳، بهدلیل اجرای قانون و تلاشهای نظارتی صورت گرفته است. اما گروههای مجرم سایبری، مانند گروه لازاروس بهدنبال این اقدام، استفاده از میکسر خود را تغییر دادهاند. همانطور که در گزارش جنایات مرتبطبا ارزهای دیجیتال سال گذشته از چینآلیسیس آمده است، سندباد در سال ۲۰۲۲، بلافاصله پس از تحریم «تورنادو کش» (Tornado Cash) که پیشتر مورداستفاده این مجرمان سایبری بود، به یک میکسر ترجیحی برای هکرهای کره شمالی تبدیل شد. با خارجشدن سندباد و از آن زمان به بعد، میکسر مبتنیبر بیتکوین یومیکس بهعنوان یک سرویس جایگزین عمل کرده است. نمودار زیر اطلاعات کیف پول مرتبطبا فعالیت هکرهای کره شمالی را نشان میدهد که از میکسر یومیکس وجه دریافت میکند، درحالیکه پیشتر از میکسر سندباد استفاده میکرد.
بهطور کلی، یومیکس در سال ۲۰۲۳ رشد زیادی را تجربه کرد و ورودیها در طول سال بیش از پنج برابر رشد کردند.
بر اساس دادههای چینآلیسیس، تقریبن یکسوم کل ورودیهای یومیکس از کیف پولهای مرتبطبا هکهای ارز دیجیتال بوده است. رشد یومیکس و استقبال ار آن توسط گروه لازاروس نمونه بارز توانایی مجرمان سایبری برای انطباق و یافتن سرویسهای مبهمسازی جایگزین در زمانی است که سرویسهای محبوب قبلی تعطیل میشوند.
استفاده از «پلهای میانزنجیرهای» (cross-chain bridges)
پلهای میانزنجیرهای یا پلهای بلاکچینی به کاربران اجازه میدهد وجوه خود را از یک بلاکچین به بلاکچین دیگر منتقل کنند. بهطور کلی، هر کسی میتواند به این قراردادهای هوشمند (Smart contract) دسترسی داشته باشد. تمام این فعالیتها روی بلاکچین انجام میشود، به این معنی که تحلیلگران بلاکچینی میتوانند وجوه را از طریق پلها ردیابی کنند، زیرا هیچ نهاد متمرکزی هرگز مسوولیت وجوهی را که به پلها منتقل میشوند، بر عهده نمیگیرد.
همانطور که پیشتر بحث شد، استفاده مجرمان سایبری از پلهای بلاکچینی برای اهداف پولشویی در سال ۲۰۲۳ بهویژه در میان سارقان رمزارزی رشد قابلتوجهی داشته است.
بهطور کلی، پلهای بلاکچینی در سال ۲۰۲۳ رقمی معادل ۷۴۳.۸ میلیون دلار رمزارز از آدرسهای غیرقانونی دریافت کردند که این رقم در مقایسه با سال ۲۰۲۲ که تنها ۳۱۲.۲ میلیون دلار بود، افزایش چشمگیری داشته است.
هکرهای وابستهبه کره شمالی از جمله هکرهایی بودند که بیشترین استفاده را از این پلها برای فعالیتهای پولشویی خود داشتهاند. نمونهای از این فعالیت را در نمودار زیر میبینیم.
بر اساس این نمودار، وجوه مرتبطبا «هک هارمونی» (Harmony hack) که در سال ۲۰۲۲ رخ داد، در ماه مه سال ۲۰۲۳ به یک پل بلاکچینی محبوب منتقل شدند، این انتقال از بلاکچین «بیتکوین» به بلاکچین «آوالانچ» (Avalanche) صورت گرفت. سپس وجوه با یک استیبلکوین مبادله شدند و بعد از آن با استفاده از یک پروتکل متفاوت، این بار از بلاکچین آوالانچ به بلاکچین «ترون» (Tron) منتقل شد.
مجرمان سایبری همواره خود را با شرایط سازگار میکنند
تغییر در استراتژی پولشویی که از مجرمان ارزهای دیجیتال مانند گروه لازاروس دیدهایم، یادآوری مهم این نکته است که پیچیدهترین عاملان فعالیتهای غیرقانونی همیشه استراتژی پولشویی خود را با شرایط موجود تطبیق داده و از انواع جدیدی از خدمات رمزارزی بهره میبرند. مجریان قانون و تیمهایی که مسوول بررسی و اعمال مقررات قانونی و تطابق با استانداردها هستند، با مطالعه این روشها و استراتژیهای جدید پولشویی و آشنایی با الگوهای زنجیرهای مرتبطبا آنها، میتوانند عملکرد موثرتری داشته باشند.