Санкционный gap — почему 18,108 кошельков, атрибутированных Lazarus, не находятся ни в одном официальном санкционном списке в 2026

Из 18,168 кошельков, атрибутированных Lazarus в нашей таблице intelligence_flags через источник `tayvano_lazarus`:

- **11 кошельков** фигурируют в OFAC SDN Advanced — источнике истины, криптоатрибуционном расширении санкционного списка Министерства финансов США. - **49 дополнительных кошельков** фигурируют в Tether blacklist или записях заморозки, специфичных для USDT. - **18,108 кошельков** не присутствуют ни там, ни там. Они отслеживаются методологией Монахан, перекрёстно подтверждены независимыми аналитиками включая Elliptic и Chainalysis, однако не входят ни в один официальный санкционный список и не были заморожены ни одним крупным эмитентом стейблкоина.

Процентное соотношение: 99,67 процента кошельков, атрибутированных Lazarus, являются tracked-only — известно, что они управляются DPRK, однако designation не получили.

Распределение 18,168 кошельков по цепочкам:

- **Ethereum**: 13,466 кошельков (74,1 процента) - **Bitcoin**: 3,792 кошелька (20,9 процента) - **TRON**: 910 кошельков (5,0 процента)

Покрытие OFAC SDN по цепочкам:

- Ethereum: 11 кошельков в SDN из 13,466 (0,08 процента) - Bitcoin: 0 в SDN из 3,792 (0,00 процента) - TRON: 0 в SDN из 910 (0,00 процента)

Это точный разрыв. На цепочке, где Lazarus действует наиболее активно, OFAC официально обозначил восемь сотых одного процента идентифицированных кошельков. На Bitcoin и TRON — двух цепочках с наиболее активным отмыванием DPRK по состоянию на 2026 год (по данным пост-годовщинной публикации Elliptic по Bybit и отчёта TRM за май 2026 года) — покрытие OFAC равно нулю.

Разрыв — не провал intelligence: список Монахан является gold standard в community-attribution DPRK, а Elliptic, Chainalysis и TRM Labs поддерживают функционально эквивалентные списки внутри. Разрыв — структурная особенность того, как работают официальные санкции.

OFAC обозначает конкретные кошельки, когда:

1. **Существует именованная цель** в правоприменительном действии Министерства финансов (физическое лицо, юридическое лицо или организация), и кошелёк атрибутирован этой цели через доказательства, достаточные для юридической поддержки обозначения. 2. **Обозначение проходит внутреннюю проверку Министерства финансов** — включая юридическую достаточность attribution, политическое обоснование конкретного обозначения и операционные последствия (обозначенный кошелёк фактически становится неликвидным на регулируемых площадках).

OFAC не обозначает как оперативную практику каждый кошелёк, атрибутированный санкционированной группе community intelligence. Юридический стандарт для включения в SDN выше, чем аналитический стандарт кластерного attribution. Кошелёк, который трасировочная методология Тейлор Монахан кластеризовала с подтверждёнными адресами Lazarus через анализ графа транзакций, может быть аналитически атрибутирован Lazarus, не будучи юридически готовым к designation.

Структурное следствие: официальный санкционный список захватывает малую долю от реальной adversary infrastructure. Compliance-команды, полагающиеся исключительно на опубликованный список OFAC — без дополнения через community intelligence, вендорный инструментарий или собственный attribution — проводят screening против приблизительно 0,06 процента универсума кошельков, атрибутированных Lazarus.

Параллельный кейс обостряет картину. LockBit — российская ransomware-операция, атаковавшая западные институты в 2022-2024 годах. Группа была санкционирована OFAC как юридическое лицо в начале 2024 года. В мае 2024 года Национальное агентство по борьбе с преступностью получило операционную утечку из внутренней инфраструктуры LockBit, раскрывшую приблизительно 60 000 адресов выплат жертвам и operator wallet.

Sanctuary принял данные утечки в нашу таблицу entity_labels. Разбивка:

- **59,975 кошельков** всего в источнике `lockbit_leak` - **Все 59,975** находятся на Bitcoin (единственной операционной цепочке LockBit) - **0 кошельков** находится в OFAC SDN Advanced - **0 кошельков** находится в Tether blacklist (пайплайн заморозки Tether не действует в отношении адресов Bitcoin, поскольку полномочия заморозки Tether работают на уровне USDT-контракта на цепочках, где USDT существует; Bitcoin к ним не относится)

Групповая санкция OFAC против LockBit не произвела wallet-level designations. 59,975 утёкших адресов остаются за пределами официального санкционного универсума. Compliance-команды, проводящие screening по списку OFAC, не видят кошельков, атрибутированных LockBit, — однако кошельки задокументированы в публичных утечках инфраструктуры.

Для американской регулируемой биржи, обрабатывающей депозиты в Bitcoin, призрачный кластер LockBit — это известный threat-intel-датасет с нулевым официальным санкционным покрытием. Screening против него требует либо прямого приёма данных публичной утечки, либо использования compliance-вендора, который это делает. Список OFAC сам по себе молчит об этих 59,975 кошельках.

Третий кейс иллюстрирует иное измерение разрыва. A7A5 — рублёво-обеспеченный стейблкоин, выпущенный Old Vector LLC (Кыргызстан, 51 процент принадлежит через материнскую A7 LLC молдавскому беглецу Илану Шору) — был включён в Приложение LIII в 19-м санкционном пакете ЕС (вступившем в силу 25 ноября 2025 года) и усилен в 20-м пакете (вступившем в полную силу 24 мая 2026 года, за девять дней до предполагаемой даты публикации этой статьи).

Внутренний источник сканирования Sanctuary `a7a5_token_scan` отслеживает 271 кошелёк в кластере A7A5: - 264 TRON-кошелька с тегом `grey_exchanger` - 5 TRON-кошельков с тегом `sanctioned_entity` - 2 Ethereum-кошелька с тегом `grey_exchanger`

Кросс-референция по четырём крупным санкционным источникам данных:

- **OFAC SDN Advanced**: 0 совпадений - **OpenSanctions** (агрегирует приблизительно 250 санкционно-связанных фидов по всему миру): 0 совпадений - **Israel NBCTF** (израильское Национальное бюро по противодействию финансированию терроризма, специализирующееся на адресах, связанных с Ираном/Хезболлой): 0 совпадений - **Tether blacklist / USDT blacklist**: 0 совпадений

Кластер A7A5 имеет нулевое покрытие на уровне кошельков ни в одном из четырёх крупных санкционных фидов. ЕС обозначил актив по имени. Кошельки в кластере — которые несут актив и оперируют вторичным рынком — не входят ни в один санкционный список на уровне кошельков по состоянию на середину мая 2026 года.

Для CASP из ЕС, готовящегося к вступлению в силу 24 мая, это имеет операционное значение. Если screening-пайплайн CASP зависит от designation на уровне кошельков (стандартная архитектура), он не поймает кошельки кластера A7A5 через фиды OpenSanctions или OFAC. CASP должен либо внедрить screening на уровне активов (что и требует 20-й пакет ЕС), либо принять gap-экспозицию по кошелькам кластера A7A5.

Sanctuary поддерживает кластер из 271 кошелька как отдельный источник. Chainalysis, TRM Labs и Elliptic располагают аналогичными внутренними attributions. Ни одно из них не входит в фид OFAC SDN, поскольку США не обозначили отдельно кошельки-держатели A7A5 — обозначение OFAC от августа 2025 года затронуло эмитентные сущности (A7 LLC, Old Vector LLC, Payeer, Grinex), но не конкретные кошельки-держатели A7A5.

Чтобы понять, что официальный санкционный универсум действительно захватывает, релевантная цифра из нашей базы данных — это кросс-верифицированное ядро: кошельки, присутствующие в двух и более независимых санкционно-связанных источниках данных. Запрос даёт 3,378 кошельков по всем цепочкам.

Распределение по цепочкам:

- **Ethereum**: 2,655 (78,6 процента) - **Bitcoin**: 544 (16,1 процента) - **TRON**: 127 (3,8 процента) - **BSC**: 24 (0,7 процента) - **Polygon**: 23 (0,7 процента) - **Arbitrum**: 23 (0,7 процента) - **Base**: 23 (0,7 процента) - **Solana**: 21 (0,6 процента) - Меньшие представления на Litecoin, Monero, Bitcoin Cash, Dash, Zcash, Ripple

Кросс-верифицированное ядро сильно смещено в сторону Ethereum, поскольку крупные санкционные фиды (OFAC, OpenSanctions, Tether, USDT, Tayvano) все поддерживают плотный Ethereum attribution. Доля Bitcoin меньше, несмотря на то что Bitcoin располагает большим общим числом entity labels (10,1 млн из наших 10,58 млн всего), поскольку работа по криптоатрибуции OFAC и полномочия заморозки Tether действуют преимущественно на EVM-цепочках и TRON.

3,378 — по любому разумному определению — наивысший доверительный операторный уровень в публичном санкционном универсуме. Это кошельки, независимо подтверждённые несколькими некоординированными threat-intel-пайплайнами как санкционно-связанные. Для риск-скоринга Sanctuary кросс-верифицированный статус соответствует наивысшему уровню достоверности движка.

Однако 3,378 — это малое число относительно 18,168 (только Lazarus), 59,975 (только LockBit), 271 (кластер A7A5) и более широкого универсума attribution-only-записей в нашей базе данных. Кросс-верифицированное ядро — это операционно-действенное подмножество; более широкий attribution-датасет — это подмножество ситуационной осведомлённости.

Внутри базы данных один источниковый набор производит парадоксальную сигнатуру, заслуживающую внимания. Наш источник `tornado_cash_depositor` содержит 7,708 кошельков — каждый Ethereum-адрес, взаимодействовавший с депозитным контрактом Tornado Cash с момента его появления, принятый для целей screening.

Из этих 7,708:

- **Только 100 кошельков** имеют какой-либо другой флаг риска в нашей базе данных — то есть 100 из 7,708 вкладчиков Tornado присутствуют в наших прочих источниках как Lazarus, ransomware, sanctions, fraud или иная категория риска. - Оставшиеся 7,608 (98,7 процента) фигурируют в нашей базе данных исключительно как вкладчики Tornado.

Это операционно информативно. Подавляющее большинство вкладчиков Tornado Cash не несут других флагов риска. Tornado использовался непропорционально пользователями, которые, по screening Sanctuary, не выдают никакого другого красного сигнала — что подтверждает постделистинговый консенсус индустрии о том, что пользовательская база Tornado Cash в основном состоит из законных искателей приватности, а не из концентрированных криминальных потоков.

Это не изменяет правовую основу преследования Романа Шторма, направленного против работы протокола, а не состава пользовательской базы. Это, однако, точка данных, рекалибрующая публичный нарратив. Когда Министерство финансов исключило Tornado Cash из санкционного списка 21 марта 2025 года после решения Пятого апелляционного суда по делу Van Loon v. Treasury, политический эффект состоял в выводе протокола из санкционного универсума; эмпирическая реальность такова, что пользовательская база протокола была, по нашему screening, в основном составлена из пользователей, которых наш риск-движок в иных случаях не флагировал бы.

Из 100 вкладчиков Tornado, которые всё же несут другие флаги, разбивка по источнику перекрёстного флага включает семь из списка Lazarus (это операторы DPRK, лично подписавшие транзакции депозита в Tornado, а не получавшие выводы Tornado из кошельков, профинансированных выше по цепочке), плюс более широкие флаги фишинга, мошенничества и sanctions-adjacent.

Пять операционных выводов для compliance-команд в 2026 году.

**Первое: не полагайтесь исключительно на OFAC SDN.** Опубликованный список захватывает приблизительно 0,06 процента универсума кошельков, атрибутированных Lazarus. Compliance-пайплайны, проводящие screening только по криптоадресному расширению OFAC SDN, упускают 99,94 процента идентифицированной инфраструктуры кошельков DPRK. Дополнительные источники обязательны: курируемые community-списки как список Tayvano, vendor-курируемые списки Chainalysis / TRM / Elliptic / Sanctuary и прямой attribution из собственного intelligence.

**Второе: санкции ЕС идут по другому треку.** 20-й пакет ЕС обозначает A7A5 по имени (на уровне актива) без обозначения конкретных кошельков. Compliance-пайплайны, ожидающие wallet-level designations из OFAC или OpenSanctions по A7A5, не увидят их до 24 мая 2026 года и вероятно не месяцами после, пока designations всё ещё опираются на американские правоприменительные рамки. CASP из ЕС должны внедрить screening на уровне активов (сопоставление адресов контрактов) или принять gap-экспозицию по A7A5 и смежным активам из списка ЕС (RUBx, российские и белорусские цифровые рубли).

**Третье: групповые санкции не производят wallet-level coverage.** Групповое обозначение LockBit от OFAC не распространилось на 59,975 кошельков, раскрытых операционной утечкой NCA. Compliance-фреймворки, интерпретирующие групповую санкцию как покрывающую всю атрибутируемую операторную инфраструктуру, переусердствуют в юридическом прочтении. Конкретные кошельки нуждаются в конкретных designation или конкретном включении в intelligence-список, чтобы попасть в screening.

**Четвёртое: кросс-источниковая верификация важна для тиеринга достоверности.** Кросс-верифицированное ядро из 3,378 кошельков — операторный датасет наивысшей достоверности. Compliance-пайплайны должны предоставлять кросс-источниковое верифицированное флагирование как отдельный уровень достоверности, отдельный от флагирования из одного источника. Это позволяет политику, основанную на риске: отказывать высокодостоверным кросс-верифицированным на уровне депозита; требовать расширенной документации для флагированных из одного источника; пропускать низко-attribution потоки через стандартный мониторинг.

**Пятое: депозиты в Tornado Cash заслуживают калиброванного отношения.** Из 7,708 исторических вкладчиков Tornado в нашем screening 7,608 (98,7 процента) не несут других флагов риска. Единообразное отношение к вкладчикам Tornado как к высокорисковым порождает ложноположительные результаты в промышленных масштабах. Трактовка их как игнорируемых упускает 100, которые всё же несут другие флаги, включая семь прямых операторов Lazarus. Калиброванное отношение — применять кросс-флаговую корректировку: флаг только Tornado не должен давать оценку Critical; флаг Tornado + другой источник — должен.

Глядя вперёд с мая 2026 года по май 2027-го, три структурных сдвига вероятно сузят санкционный gap:

**AMLR, вступающий в силу 10 июля 2027 года**, введёт триггер расширенной CDD при €1 000 для self-hosted wallet по всем CASP ЕС. Фреймворк вероятно произведёт дополнительные designation на уровне кошельков в OpenSanctions, поскольку национальные компетентные органы государств-членов будут флагировать операционные кошельки, наблюдаемые в ходе мониторинга соответствия AMLR.

**Расширение T3 Financial Crimes Unit** в 2026-2027 годах продолжит производить заморозки на уровне Tether. Каждая заморозка добавляет кошелёк в источник Tether blacklist. При темпе мая 2026 года — приблизительно $514 млн заморожено по 370 адресам за 30 дней — Tether blacklist может добавить 4 000+ кошельков в санкционный универсум за следующие двенадцать месяцев, с концентрацией на TRON.

**Последующие обозначения OFAC по конкретным правоприменительным действиям 2026 года** (иранская операция Economic Fury от 23 апреля, сеть ИТ-работников DPRK от 12 марта и вероятные дополнительные действия по российскому коридору в рамках временного горизонта 21-го пакета ЕС) добавят wallet-level-записи в SDN Advanced. Только иранское действие от 23 апреля добавило 2 кошелька в OFAC; действие DPRK от 12 марта добавило 21. Совокупный темп — приблизительно 30-50 wallet-level-добавлений OFAC на одно крупное правоприменительное действие.

Если эти три тренда продолжатся, криптоадресный расширенный список OFAC SDN может вырасти с приблизительно 1 200 кошельков сегодня до 2 500-3 500 к середине 2027 года. Кросс-верифицированное ядро может аналогично вырасти с 3,378 до 6 000-8 000.

Эти прогнозы не закрывают Lazarus gap из 18,108, LockBit gap из 59,975 или A7A5 gap из 271. Они снижают долю gap с 99,67 процента, возможно, до 95-96 процентов. Структурная особенность сохраняется: основная масса атрибутированной adversary infrastructure остаётся за пределами официального пайплайна designation.

Для OTC-деска, получающего депозит в TRON USDT в 2026 году, вопрос screening такой: находится ли этот контрагент в нашем флагированном универсуме? Если пайплайн деска работает только по OFAC SDN, ответ для почти всех кошельков, атрибутированных DPRK, будет «нет». Депозит может поступать с operator wallet Lazarus, который годами присутствует в списке Монахан и не входит ни в один официальный санкционный фид.

Для CASP из ЕС, готовящегося к 24 мая, вопрос: проводим ли мы screening транзакций A7A5? Если пайплайн ожидает, когда OFAC или OpenSanctions обозначат конкретные кошельки A7A5, screening не поймает их в масштабе. 271 кошелёк кластера существует в нашей базе данных. Они не входят ни в один из четырёх крупных санкционных фидов.

Для американской регулируемой биржи, обрабатывающей депозиты в Bitcoin, кластер LockBit — это 59,975-кошельковый известный threat-intel-датасет, невидимый при screening только по OFAC. Риск-позиция биржи в отношении депозитов в Bitcoin на практике определяется тем, принимает ли screening-пайплайн данные утечки — напрямую, через вендора или вовсе нет.

В каждом из этих случаев структурный ответ одинаков: официальные санкции — это пол, а не потолок. Compliance-пайплайны, трактующие OFAC SDN как исчерпывающий, операционно неадекватны для threat-среды 2026 года. Дополнительные данные существуют; стоимость их приёма мала; стоимость их неприёма — это следующий депозит, который приземляется на счета площадки и затем прослеживается назад к непроверенному adversary cluster журналистом или регулятором, располагавшим доступом к тем же дополнительным данным.

99,67 процента кошельков, атрибутированных Lazarus, не входят в список OFAC SDN. 100 процентов утёкших кошельков LockBit не входят. Кластер A7A5 имеет нулевое пересечение с четырьмя крупными санкционными фидами. Официальный санкционный универсум несопоставимо мал по сравнению с threat-intelligence-универсумом.

Для compliance-офицеров в 2026 году вывод носит структурный характер. Список OFAC необходим. Он недостаточен. Разрыв между attribution и designation широк, устойчив и квантифицируем. Compliance-фреймворки, распознающие разрыв, дополняющие его и уровневые по достоверности через кросс-источниковую верификацию, производят материально более качественные решения по риску, чем фреймворки, которые этого не делают.

Данные существуют. Кросс-срез — это разница.

Sanctuary публикует этот анализ как наш эксклюзивный форензик-вклад в крипто-AML-литературу 2026 года. Базовые цифры поддаются аудиту на основе счётчиков публичных источников, которые мы цитируем (список Tayvano, расширение OFAC SDN Advanced, покрытие OpenSanctions, объявления о заморозках Tether, опубликованный список Israel NBCTF). Кросс-срез — точное пересечение этих источников, квантификация gap, распределение gap по цепочкам — насколько нам известно, ранее не публиковался. Методология воспроизводима любым, кто имеет доступ к тем же исходным фидам. Вывод носит структурный характер.

Разрыв реален. Разрыв квантифицируем. Именно против разрыва compliance-пайплайны должны быть выстроены в 2026 году и далее.