Как Garantex отмывает миллионы для Lazarus Group, обходя санкции — полное расследование

Крупнейшая российская криптобиржа смогла адаптироваться к санкциям со стороны США и, несмотря на ограничения, обработала транзакции на сумму более $60 млрд.

Краткие факты:

• Garantex продолжила обрабатывать подозрительные транзакции для хакеров Lazarus Group и вымогателей Conti, Lockbit, Black Basta, несмотря на введение санкций OFAC США в апреле 2022 года;
• Для сокрытия незаконных действий биржа ежедневно переводила операционные средства на новые адреса;
• Garantex привлекала организации блокчейн-аналитики для выявления подозрительных транзакций, но не обращала внимание на их предостережения и рекомендации;
• После введения санкций в апреле 2022 года Garantex удалось обработать транзакции на сумму более $60 млрд.

В марте 2025 года российская криптобиржа Garantex вновь привлекла внимание СМИ. Платформа прекратила деятельность из-за блокировки активов со стороны Tether. В Индии по запросу США был задержан один из администраторов биржи. Объясняем, за что Garantex преследуется американскими властями.

В феврале 2023 года хакерская группировка Lazarus Group, предположительно связанная с Северной Кореей, при помощи российской криптобиржи Garantex отмыла более $30 млн в криптовалюте, которые были похищены летом 2022 года в результате взлома Horizon Bridge в сети Harmony. Всего злоумышленникам удалось похитить более $100 млн в различных криптоактивах.

Данные: Elliptic Investigator. Отображены не все потоки транзакций.

По данным GetBlock, c этих трех адресов было выведено 158 639 ETH ($301,6 млн по курсу на 17 марта).

В период с апреля 2022 года по 2024 год, несмотря на санкции, Garantex продолжила отмывать средства, полученные в результате вымогательства от группировок Conti, Lockbit и Black Basta.

Данные: Elliptic Investigator. Отображены не все потоки транзакций.

Также Garantex обработала транзакции на десятки миллионов долларов для таких даркнет-маркетплейсов как Blacksprut, Solaris, Mega и OMG!OMG!. В августе 2024 года Chainalysis установила связь между Garantex и российским конструкторским бюро “Восток”, которое занимается разработкой и производством беспилотников для военных целей. По данным аналитического сервиса, биржа провела для КБ “Восток” транзакции на сумму более $100 млн.

По данным GetBlock, в период с апреля по июль 2023 года с адреса было выведено 36 718 USDT.

Как Garantex удается обходить санкции

Впервые Garantex была подвергнута санкциям со стороны Управления по контролю за иностранными активами Министерства финансов США (OFAC) в апреле 2022 года. Биржу обвинили в отмывании средств, полученных незаконными способами. Были заблокированы три адреса, связанные с Garantex.

После введения санкций Garantex начала придерживаться дополнительных средств защиты, чтобы продолжать незаконную деятельность. Для сокрытия криптовалютных транзакций и их несоответствия требованиям AML биржа начала ежедневно переводить операционные активы на новые адреса, а также использовать сервисы микширования транзакций, такие как Tornado Cash. Несмотря на введение санкций и блокировку веб-интерфейса в 2022 году, децентрализованный смарт-контракт микширования до сих пор продолжает работать. В 2024 году приток средств на Tornado Cash увеличился на 108% по сравнению с годом ранее.

С июня 2023 года по март 2024 года Garantex привлекала сторонние организации для блокчейн-аналитики и выявления подозрительных транзакций. Даже после обнаружения таких транзакций администраторы биржи не предпринимали никаких действий. Например, в период с июня по ноябрь 2023 года одна из организаций идентифицировала 20 транзакций, которые предположительно использовались для финансирования терроризма, однако Garantex все равно их обработала.

Дополнительные средства сокрытия ончейн-данных позволили Garantex обработать транзакции на более чем $60 млрд уже после введения санкций в 2022 году. В марте 2025 года компания Tether заблокировала 89 новых адресов Garantex, на которых хранилось $22,8 млн.

Угроза для пользователей Garantex

Незаконные операции, которые проводит биржа Garantex, могут негативно отразиться на обычных пользователей, регулярно использующих биржу для собственных целей. Один из таких случаев произошел еще в 2023 году. Тогда пользователь использовал Garantex для покупки 200 тыс. стейблкоинов USDT. После отправки средств на другую централизованную биржу они были заблокированы по причине связи с санкционными адресами.

В этом конкретном случае пользователю удалось разморозить средства. Для этого он предоставил платформе доказательства легального происхождения средств, а также привлек аналитическую платформу, которой удалось доказать непричастность владельца криптовалюты к санкциям при помощи ончейн-данных.