Что случилось

В прошлый вторник американские власти, выполняя обещание бороться с отмывателями хакерских доходов, данное после взлома оператора крупнейшего в США нефтепровода Colonial Pipeline, впервые в истории ввели санкции против криптовалютной компании. Попавший под санкции криптообменник (сюрприз) оказался российским. Речь о платформе SUEX OTC S.R.O, зарегистрированной в Чехии и имеющей офис в «Москва-Сити» и несколько физических обменников в российских городах. Почти все акционеры и руководители Suex — россияне.

По данным минфина США, Suex «содействовала операциям, связанным с незаконными доходами по меньшей мере от восьми способов вымогательства». За три года через платформу прошел $481 млн, полученный от незаконных операций. Более 40% транзакций на платформе связаны с преступной деятельностью, добавили в ведомстве. Санкции предусматривают блокировку активов компании на территории США. Кроме того, гражданам страны запрещено взаимодействовать с сервисом.

Для США атаки хакеров-вымогателей в последнее время стали проблемой национального масштаба. В начале мая хакеры атаковали трубопровод Colonial Pipeline, из-за чего в стране начался бензиновый кризис. За взломом стояла молодая на тот момент группировка DarkSide, у которой сразу же нашелся «русский след»: в DarkSide работают выходцы из России и стран Восточной Европы, а орудует группировка в странах, где не говорят по-русски. Группировка слыла профессиональной и очень эффективной — сумма полученных выкупов оценивается десятками миллионов долларов в год. О ее бизнесе и принципах мы подробно рассказывали здесь.

В начале июля президент США Джо Байден обсуждал вопрос об атаках хакеров-вымогателей на звонке с Владимиром Путиным, просил Россию пресекать такие атаки и предупреждал, что США будут принимать меры для защиты людей и критически важной инфраструктуры. Первое, за что всерьез взялись американские власти, — криптовалютные сервисы, с помощью которых хакеры получали вознаграждения от атакованных компаний. В июле Bloomberg сообщал, что власти США ужесточили контроль за криптотранзакциями, а в Белом доме появилась специальная комиссия по борьбе с хакерами, использующими вирусы-вымогатели. Первой крупной жертвой и стала Suex — снова компания с очень заметным «русским следом».

Что известно о SUEX

Криптообменник Suex, как следует из документов OFAC, зарегистрирован по двум адресам. Один из них — в Праге, а второй — в «Москва-Сити», в люксе Q на 31-м этаже башни «Федерация». В блоге компании Chainalysis, отслеживающей транзакции в блокчейне и помогавшей в расследовании минфина США, подробно рассказывается о том, как был устроен бизнес Suex с 2018 года.

Suex называют внебиржевым брокером криптовалюты — это не биржа, у которой есть централизованное управление и где пользователи держат счета, чтобы покупать и продавать криптовалюту, а площадка, куда пользователи приносят наличные и криптовалюту и обменивают их. То есть, простыми словами, криптообменник. Для такого бизнеса наличие и местоположение офлайновых офисов — принципиально важный момент: все сделки велись с крупными клиентами, а чтобы произвести обмен, требовалось их личное присутствие в одном из офисов компании, пишут исследователи.

Расследование показало, что платформа конвертировала криптовалюту в наличные деньги в отделениях в Москве и Санкт-Петербурге, а также, возможно, в других офисах в России и на Ближнем Востоке. В Праге компания была зарегистрирована только юридически — о ее физическом присутствии там ничего не известно.

Chainalysis называет Suex площадкой для отмывания денег. Другая компания — TRM labs, которая также занимается блокчейн-аналитикой, писала, что Suex либо умышленно, либо по незнанию заняла важное место на рынке обналичивания незаконно полученной криптовалюты. Стать клиентом Suex можно было только по рекомендации — случайный человек попасть туда не мог. Общение с клиентами шло через Telegram, но саму сделку заключить можно было только лично, приехав в офис. Компания работала только с крупными чеками, минимально допустимая транзакция составляла $10 тысяч, пишет TRM. Сама компания криптовалюту не хранила, а вместо этого использовала инфраструктуру крупной криптобиржи — это помогало быстрее и дешевле проводить сделки, пишут исследователи.

По словам источника The Bell на криптовалютном рынке, Suex, как и другие подобные обменники в «Москва-Сити», пользовалась довольно большим спросом. Наличные туда попадали в основном с московских рынков, вроде «Садовода» или рынка в Люблино. На каждом из них есть пункт приема наличных денег, где их пересчитывают и везут в обменник. Самим предпринимателям на рынках криптовалюта нужна, чтобы расплачиваться с продавцами за границей, например в Китае. Товары через границу часто завозятся по заниженным ценам, а чтобы провести реальную оплату, нужна криптовалюта — стейблкоины Tether (USDT).

Криптообменник практически никак не проверял источники денег своих клиентов, утверждает собеседник The Bell на рынке. Об этом же до недавнего времени косвенно говорилось в профиле на LinkedIn одного из основателей платформы: он обещал, что на сделку в Suex потребуется меньше 24 часов — без долгих разбирательств и подтверждающих документов.

За счет доступа к большому потоку наличных и связей с крупной биржей Suex смогла довести объем обналичивания незаконно полученных криптовалют до угрожающих масштабов, писала TRM. С какими именно биржами могла работать Suex, не уточняется, но после внесения компании в санкционный список стало известно, что она использовала учетные записи бирж Binance и Huobi.

Как пишет в своем расследовании Chainalysis, с момента основания в 2018 году Suex перевела криптовалюту на сотни миллионов долларов, в основном в биткоинах, Ethereum и Tether, а большая часть средств поступила из незаконных и высокорискованных источников. Только транзакции с биткоинами составили $481 млн, а все операции с хакерами-вымогателями и участниками даркнета исследователи оценили в $160 млн. В другой аналитической компании — Elliptic — оценки оказались еще выше: $370 млн незаконных транзакций и $900 млн всего.

В структуре незаконных операций около $13 млн, по данным Chainalysis, пришлось на операторов программ-вымогателей, а еще $24 млн — пришли от недавно рухнувшей пирамиды Finiko (ее историю мы подробно рассказывали здесь). Более $20 млн Suex получила от Hydra, крупнейшего русскоязычного даркнет-маркетплейса по торговле наркотиками. Еще $50 млн — с адресов, размещенных на заблокированной в США криптовалютной бирже BTC-e (захватывающую историю падения этой некогда крупнейшей российской криптобиржи можно прочитать здесь и здесь). Интересно, что сделки с криптовалютой BTC-e продолжались и после того, как она рухнула, а активы оказались заморожены, пишут исследователи. Более подробную схему распределения незаконных транзакций можно посмотреть здесь.

Кто стоит за Suex

Крупнейший акционер Suex, россиянин Егор Петуховский, сейчас, если верить Facebook, живет в Цюрихе. Связь своего бизнеса с какой-либо незаконной деятельностью он отрицает: на своей странице в соцсети Петуховский назвал новости о Suex «дискредитацией» и заявил, что намерен защищать свое имя в суде в США.

Петуховский — серийный предприниматель. В середине 2000-х он начинал с разработки сайтов в компании art of web, затем, если верить его собственному блогу, начал строить «группу компаний», которая занималась всем подряд — от нефтепродуктов и игр для соцсетей до школы иностранных языков, которая предлагает выучить язык за 16 уроков с полиглотом. А в 2014 году создал компанию m4bank.ru, которая делала платежные устройства для банков, а сейчас называется «Центр корпоративных технологий».

Suex Петуховский основал в 2018 году, как он сам описывал в блоге (сейчас эта страница удалена и посмотреть ее можно только в архиве). Сначала его знакомый Иван Петуховский (по словам обоих, они не родственники, а однофамильцы), сооснователь криптовалютной биржи Exmo, рассказал ему о покупке криптовалют. А потом «все изменилось, когда мой партнер по ART OF WEB Максим привел в наш офис Ильдара, очень позитивного и жизнерадостного человека», — писал Егор Петуховский. Максим, по данным TRM, — еще один вероятный инвестор Suex. Расследователи называют две фамилии: Субботин и [...]* — как будто это один человек, но это не так.

Максим Субботин — юрист, его юридическая фирма «Тримфин» зарегистрирована в той же башне «Федерация» в «Москва-Сити» и, судя по вакансиям, специализируется на делах, связанных с покупкой и продажей криптовалюты.

*ОБНОВЛЕНО:  В расследовании TRM указывалась фамилия еще одного россиянина. После публикации этого материала он связался с редакцией The Bell, сообщив, что никогда не был в числе учредителей Suex, а информация об обратном вредит его бизнесу за рубежом. Мы проверили эту информацию, получив в чешском реестре данные компании SUEX OTC s.r.o, на которую был зарегистрирован обменник: судя по этим документам, этот человек, в отличие от других героев этого материла, действительно не входил в число учредителей Suex.

Ильдар, о котором идет речь в блоге Петуховского, — это Ильдар Закиров, внебиржевой трейдер из Казани и еще один сооснователь Suex, который публично ассоциировал себя с компанией. Его Петуховский называл «человеком-успехом»: именно с прихода Закирова начался бизнес Suex, ему же удалось найти первого клиента, и в результате сделки компания заработала приличные деньги — 0,4826 BTC. «Вся пикантность состояла в том, что Иван [Петуховский. — Прим. редакции] был занят и не мог заниматься нашими сделками, предоставив механизм пополнения аккаунта на EXMO, и Ильдару, не имевшему на тот момент даже малейшего опыта обращения с биржей, пришлось совершать покупку криптовалют в реальном времени, прямо на бирже ставя ордера на покупку», — писал Егор Петуховский. Интересно, что после внесения Suex в санкционный список Exmo заявила, что никакой связи с Suex не имела.

Кроме того, руководителями Suex называют чешского венчурного капиталиста Тибора Бокора и россиянина Василия Жабыкина. Последнему принадлежит 10% акций обменника. Жабыкин подтверждал The New York Times свою связь с Suex. По его словам, компания создавалась для разработки программного обеспечения для финансовой индустрии. Любую незаконную деятельность Suex Жабыкин отрицает и считает, что минфин США по ошибке нацелился на компанию. Помимо Suex, Жабыкин руководил Neo bank — экспериментальным дочерним проектом МТС-Банка. Но после этой истории его предсказуемо уволили. «Коммерсант» писал со ссылкой на источник, что это решение было продиктовано исключительно санкциями США.

Расстаться с другим своим проектом пришлось и Егору Петуховскому. Помимо криптообменника, он был директором по вопросам листинга в популярном Telegram-боте для обмена криптовалют Chatex. После санкций ему пришлось из этого бизнеса выйти. Поможет ли это Chatex, неизвестно — хотя формально эти компании не связаны, у них «обширные корпоративные и юридические отношения», пишет TRM: например, они обе в разное время принадлежали эстонской компании Izibits.

Но и на этом история может не закончиться: по данным «Коммерсанта», движение «Стопнаркотик» уже подало заявления в ЦБ и МВД, в котором описало связи Suex с ExMo, группой компаний QIWI и украинским банком «Конкорд», позволявшие Suex проводить платежи для наркотического маркетплейса Hydra, оборот которого составляет $1,5 млрд в год.