Расследование криптомошенничества: романтический scam и отмывание средств через Tornado Cash

Романтические схемы мошенничества в крипте давно перестали быть “историей про доверчивых людей из интернета”. В 2026 году это уже полноценная индустрия с фейковыми трейдерами, поддельными инвестиционными платформами, скриптами общения и инфраструктурой для отмывания средств через несколько блокчейнов.

Причем выглядят такие схемы уже не как “нигерийские письма” из начала 2000-х. Сегодня жертве показывают красивый сайт, личный кабинет с растущим балансом, “аналитиков”, поддержку и даже имитацию успешной торговли. Иногда все это выглядит убедительнее, чем интерфейсы некоторых реальных криптопроектов. И в этом главная проблема.

В данном кейсе команда AML Crypto разбирает один из реальных инцидентов, связанный с романтическим scam-сценарием и последующим многоступенчатым отмыванием средств через bridge-сервисы, Arbitrum, Ethereum и Tornado Cash.

В AML Crypto обратился пострадавший, ставший жертвой схемы с онлайн-знакомством и фиктивной инвестиционной платформой. Личность клиента скрыта по понятным причинам — люди обычно не любят публично рассказывать, как их одновременно “влюбили”, обманули и отправили платить “налог на вывод прибыли”.

Все началось вполне стандартно: знакомство в приложении для общения, приятный собеседник, длительные переписки, ощущение доверия и “идеального совпадения интересов”. В какой-то момент новая знакомая ненавязчиво рассказала, что зарабатывает на криптовалютной торговле через “закрытую платформу”. Классический момент, где у жертвы в голове должна включаться тревога. Но обычно включается совсем другое — доверие.

Платформа выглядела убедительно: графики, личный кабинет, баланс, торговые операции, интерфейс “почти как у Binance, только чуть дешевле по дизайну”. После первого небольшого перевода баланс действительно начал “расти”. Именно так работают подобные схемы: сначала жертве показывают цифры на экране, чтобы мозг начал воспринимать происходящее как настоящий инвестиционный процесс.

Разумеется, никакой торговли не происходило. Деньги отправлялись напрямую злоумышленникам. Но пользователь этого не видел — он видел красивый UI и зеленые цифры.

Проблемы начались на этапе вывода средств. Сначала “техническая ошибка”. Потом письмо от поддержки с просьбой оплатить 15% “налога”. Потом — тишина. Аккаунт девушки исчезает. Поддержка перестает отвечать. И именно в этот момент большинство жертв впервые понимают, что инвестировали не в трейдинг, а в чужой отпуск.

Один из этапов расследования — OSINT-анализ. То есть исследование открытых источников: доменов, серверов, Telegram-аккаунтов, следов в интернете, инфраструктуры сайта и связанных цифровых артефактов.

И здесь начинается интересная часть. Потому что мошенники могут неплохо прятать лица, но инфраструктуру прятать значительно сложнее. Особенно когда проект живет не первый год и успел “наследить” в сети.

В ходе анализа удалось выявить IP-адрес сервера мошеннического сайта, историю регистрационных данных и изменения владельцев домена.

Старые данные WHOIS оказались особенно полезными — до 2020 года многие регистраторы скрывали значительно меньше информации, чем сейчас.

И это типичная проблема злоумышленников: интернет помнит лучше людей.

На основании старых регистрационных данных была выявлена компания, ранее фигурировавшая в сомнительной деятельности. Дополнительно удалось определить регистратора домена и сервисы, связанные с инфраструктурой сайта. В отдельных случаях это может дать основания для получения платежных данных или технических логов через правоохранительные запросы.

Отдельно исследовались Telegram-аккаунты злоумышленников. Один из аккаунтов удалил переписку и заблокировал жертву практически сразу после получения денег — удивительно, но “любовь всей жизни” закончилась сразу после оплаты комиссии на вывод средств.

Также были обнаружены связанные соцсети и профили на крипто-форумах. Но здесь важно не переоценивать OSINT: фотографии, ники и аккаунты могут принадлежать как самим мошенникам, так и случайным людям, чьи данные были украдены. Именно поэтому хороший расследователь всегда отделяет “цифровой шум” от доказательной базы.

Самая интересная часть кейса началась после анализа on-chain данных. Именно здесь стало понятно, что мошенники использовали не просто “кошелек для приема денег”, а полноценную многоступенчатую схему отмывания средств.

Первое важное открытие: адрес, на который жертва переводила средства, вообще не имел отношения к инвестиционной платформе. Это был обычный адрес злоумышленников (физического лица по поведению). То есть весь “личный кабинет” существовал только для психологического сопровождения жертвы. Деньги уходили напрямую мошенникам с первого же перевода.

После получения средств активы были распределены по нескольким адресам, а затем отправлены через bridge-сервисы. Здесь важно объяснить простым языком: bridge — это мост между блокчейнами. Условно говоря, мошенники “переехали” из сети TRON в Arbitrum, а потом в Ethereum, чтобы усложнить отслеживание.

Скриншот инструмента Bholder от компании AML Crypto
Легенда:
🟢 - адрес потерпевшей стороны
⚫ - адрес злоумышленника или аффилированный адрес злоумышленника
🟠 - адрес (смарт-контракт) Bridge сервиса
🟣 - адрес DEX (децентрализованная биржа) или CEX (централизованная биржа)
🔴 - адрес Tornado Cash (миксер)

Это уже напоминает не бытовой scam, а небольшую прачечную для криптовалюты.

Далее часть средств была выведена на централизованную биржу через транзитный адрес. И вот это — один из самых важных моментов во всем расследовании. Потому что centralized exchange — это место, где у злоумышленника потенциально появляется KYC, IP-логи, история входов и другие данные, представляющие интерес для правоохранительных органов.

После этого злоумышленники снова сменили сеть, перевели средства в Ethereum и начали использовать Tornado Cash. Средства дробились на множество транзакций по 1 ETH, смешивались с чужими активами и выводились обратно уже в “очищенном” виде.

Но в данном кейсе злоумышленники допустили ошибку. Часть операций была проведена недостаточно аккуратно, а один из депозитных адресов централизованной биржи оказался связан с пополнениями на эквивалент недостающих 10 ETH. Это позволило связать часть входов и выходов из миксера.

Именно на таких ошибках часто строится практическая часть расследований.

Одна из главных ошибок жертв — ожидание “волшебной кнопки возврата”. На практике расследование — это не фильм про хакеров в худи, где через 15 минут появляется имя преступника и кнопка “вернуть деньги”.

Реальное расследование — это:

И чем раньше начинается работа, тем выше шансы успеть зацепиться за точки, где средства еще не успели полностью раствориться в миксерах и cross-chain маршрутах. Эта логика прямо отражена и во внутренней практике AML Crypto: время после кражи работает не на пострадавшего, а на злоумышленника.