Сегодня хочу поговорить о том, почему 2025 год стал переломным для всей индустрии крипто комплаенса.

В 2024 году хакеры украли $1,94 млрд. В 2025-м - уже $4,04 млрд. Меньше атак, вдвое больше денег, а инструменты, которые в compliance строили годами, уже не так хорошо работают.

Главный сдвиг тут в том, что мосты вытеснили миксеры. Еще в 2024 миксеры обрабатывали около половины всех украденных средств. К 2025 году их место заняли кросс-чейн мосты - через них прошло почти $2,01 млрд, около 50% всех похищенных активов. Это втрое больше, чем миксеры и протоколы конфиденциальности вместе взятые за тот же период.

Почему? Мосты рвут цепочку транзакций принципиально иначе. Они перемещают активы между несовместимыми блокчейн-архитектурами, рассеивая средства по десяткам сетей раньше, чем срабатывает хоть один алерт. Никакого KYC, никакой проверки санкционных списков, никакого центрального оператора, которому можно предъявить требование. Взлом Bybit 21 февраля 2025 подтвердил это наглядно: из $1,38 млрд украденного почти 95% прошло через мосты.

Вместе с этим изменилась и сама логика перемещения средств. Прямые переводы с кошелька эксплойта на биржу теперь уже в прошлом. Во втором полугодии 2025 года 0% атак двигали деньги напрямую на VASP или миксер в первом шаге. Многоэтапное отмывание применялось в 99% случаев (по данным Global Ledger).

Схема стандартная - разбить баланс на мелкие переводы, прогнать через некастодиальные кошельки, миксеры, мосты, DEX и сервисы мгновенного обмена. Каждый хоп увеличивает дистанцию от источника, и отдельный депозит на выходе выглядит абсолютно чистым.

Естественным продолжением этой тенденции стал взрывной рост DeFi как маршрута отмывания. Объем через децентрализованные протоколы вырос в 4 раза между первым и вторым полугодием 2025-го - с $170 млн до $732 млн, и к концу года DeFi обогнал централизованные биржи. Логика та же: никакого KYC, никакого комплаенс, счета для заморозки и оператора, которому можно вручить судебный ордер.

Среднее время от взлома до первого движения средств в 2025 году - около 17 часов. Публичное раскрытие информации следовало вдвое позже. В самом быстром задокументированном случае деньги двинулись через 2 секунды после эксплойта (по данным все того же Global Ledger).

После первого хода атакующие намеренно замедляются. До миксера или VASP средства обычно добираются через 5 дней. Логика тут такая: двигайся быстро, пока никто не знает что произошло - потом жди, пока мониторинг ослабнет. Compliance, которые реагируют на публичные уведомления, работают со встроенной структурной задержкой.

К этому добавилось возвращение Tornado Cash. После частичной отмены санкций OFAC в марте 2025 года его использование среди хакеров выросло с 42,9% случаев в первом полугодии до 74,3% к концу года -протокол применялся в более чем 41% всех отслеженных взломов. Средства, связанные с вымогателями, даркнет-рынками и эксплойтами мостов, теперь более открыто проходят через него и оседают на топовых биржах с уже оборванным следом. Статические черные списки, которые работали пока Tornado Cash был под санкциями, с этим уже не справляются.

Все 5 тенденций работают по одной причине: AML-проверки происходят после транзакции, а не до нее. Инструменты форензики восстанавливают произошедшее, блокчейн-аналитика отслеживает путь, но к тому моменту, как анализ завершен, деньги уже ушли дальше. Постфактум-AML фиксирует факт взаимодействия, но не останавливает его. Этот разрыв структурный, и он расширяется каждый раз, когда новая схема добавляет еще один хоп между грязным источником и конечным получателем. Пока отрасль не перейдёт к превентивной проверке на уровне смарт-контрактов цифры будут только расти.

#AML #криптовалюта #DeFi #блокчейн #финансовыепреступления #комплаенс #кибербезопасность #web3 #отмываниеденег #криптобезопасность