3,378 кошельков в нескольких санкционных источниках — кросс-верифицированное ядро операторов

Расчёт кросс-источникового пересечения выполняется как SQL-агрегация по нашей производственной таблице intelligence_flags:

``` SELECT count(*) FROM ( SELECT wallet_hash FROM intelligence_flags WHERE source IN ('tayvano_lazarus','opensanctions','ofac_sdn_advanced','tether_blacklist','usdt_blacklist') GROUP BY wallet_hash HAVING count(DISTINCT source) >= 2 ) sub; ```

Результат: 3,378.

Запрос идентифицирует wallet_hash-и, присутствующие как минимум в двух различных источниках из набора пяти. Хэши анонимизированы (слепые хэши HMAC-SHA256) по соображениям конфиденциальности; из того, что мы можем извлечь, — счётчик, распределение по цепочкам и распределение по типам entity пересечения.

Почему именно эти пять источников: каждый представляет независимый threat-intel-пайплайн с самостоятельным сбором данных. Tayvano Lazarus курируется независимым исследователем безопасности Тейлор Монахан на основе её трасировочной работы и координации с правоохранительными органами. OpenSanctions агрегирует данные приблизительно из 250 источниковых списков по всему миру. OFAC SDN Advanced — это канонический американский санкционный список с обогащением криптоадресами. Источники Tether blacklist и USDT blacklist — это записи заморозки уровня эмитента из on-chain мониторинга.

Когда кошелёк появляется в двух из этих источников, это появление является независимым свидетельством. Кошелёк был идентифицирован разными методологиями, с разными операционными пайплайнами. Конвергенция структурно значима.

Второй целевой запрос: сколько кошельков входят **одновременно** в список Tayvano Lazarus **и** в Tether blacklist?

``` SELECT count(*) FROM ( SELECT wallet_hash FROM intelligence_flags WHERE source = 'tayvano_lazarus' INTERSECT SELECT wallet_hash FROM intelligence_flags WHERE source IN ('tether_blacklist','usdt_blacklist') ) overlap; ```

Результат: **60**.

Шестьдесят кошельков одновременно входят в список attribution DPRK / Lazarus и в список заморозки Tether. Это кошельки, которые:

1. Были идентифицированы Тейлор Монахан как принадлежащие DPRK / Lazarus в рамках её трасировочной методологии. 2. Были независимо идентифицированы compliance-пайплайном Tether (через координацию с правоохранительными органами, T3 Financial Crimes Unit или прямые контакты с OFAC) как заслуживающие заморозки.

Пересечение из 60 кошельков — это операционное свидетельство того, что инструментарий заморозки Tether частично направлен на потоки, атрибутированные DPRK. Совокупный итоговый объём заморозок Tether с 2017 года составляет $5.17 миллиарда по 9,856 адресам; пересечение из 60 кошельков с DPRK — малая доля от этого объёма, однако она представляет собой компонент DPRK наивысшего доверия.

Экономическая стоимость 60 кошельков напрямую не извлекается из нашего запроса (метки присваиваются на уровне кошелька, а не на уровне стоимости в USD), однако публичная отчётность оценивает заморозку T3, связанную с Bybit / Lazarus, в $19 миллионов по состоянию на апрель 2025 года, без крупных публичных обновлений с тех пор. Пересечение из 60 кошельков — это кластер, стоящий за этими $19 миллионами.

Третий целевой запрос: сколько кошельков входят **одновременно** в список Tayvano Lazarus **и** в западные ransomware-источники (LockBit leak, Ransomwhere)?

``` SELECT count(*) FROM ( SELECT wallet_hash FROM intelligence_flags WHERE source = 'tayvano_lazarus' INTERSECT SELECT wallet_hash FROM intelligence_flags WHERE source IN ('lockbit_leak','ransomwhere') ) overlap; ```

Результат: **0**.

Ноль. Экосистема Lazarus / DPRK и западная ransomware-экосистема (LockBit, расширенный датасет Ransomwhere) не разделяют кошельки. Две экосистемы функционируют как структурно раздельные криминальные экономики.

Это операционно важно и, на наш взгляд, недостаточно акцентируется в публичных комментариях threat-intel. Публичное обсуждение иногда смешивает «криптопреступность» как категорию, трактуя кражи DPRK-государственным актором и западный преступный ransomware как связанные явления. Нулевое пересечение подтверждает, что они не связаны на уровне кошельков.

Структурные объяснения:

**Разные операционные пайплайны.** Lazarus использует инфраструктуру класса TraderTraitor с кастомными кошельками, кастомными паттернами финансирования через Tornado Cash и сигнатурами развёртывания по пхеньянскому времени. Западные ransomware-группировки (сеть LockBit) используют коммерчески приобретённый инструментарий кошельков, mixer-сервисы, ориентированные на западных клиентов (Wasabi, Samourai в период активности), и маршруты вывода средств через OTC-дески на русском языке.

**Разная география вывода средств.** Отмывание через Lazarus завершается на OTC-узлах китайского языка (сети CMLN по оценкам Chainalysis: $16.1B в 2025 году). Западные ransomware-группировки завершают на OTC-узлах русского языка, работающих через Garantex / Grinex / TokenSpot. Географическая разделённость — это структурное несущее различие.

**Разная методология attribution.** Список Lazarus от Tayvano построен на основе форензик-трасировки конкретных громких взломов (Bybit, Drift, KelpDAO и др.). Датасет Ransomwhere построен на основе ransomware-платежей, о которых сообщили жертвы. Два метода производят непересекающиеся популяции кошельков, поскольку операторы-источники структурно разделены.

Четвёртый запрос: сколько кошельков Lazarus также зарегистрированы как вкладчики Tornado Cash в нашем источнике `tornado_cash_depositor` (перечисление 7,708 кошельков каждого адреса депозита в Tornado Cash)?

Результат: **7 кошельков**.

Семь. Небольшое абсолютное число, структурно значимое. Семь кошельков — это операторы Lazarus, использовавшие Tornado Cash непосредственно в роли вкладчика, то есть подписавшие депозиты в протокол, а не получавшие выводы Tornado Cash из кошельков, профинансированных выше по цепочке.

Подавляющее большинство активности Lazarus в Tornado Cash (по пост-годовщинной публикации Elliptic по Bybit и предшествующим материалам) приходилось на роль **получателя вывода** — операторы получали средства из существующих депозитов Tornado Cash, сделанных более ранними или отмытыми кошельками. Семь кошельков прямых вкладчиков — это те, кто замкнул цепочку, сделав свежие депозиты в рамках отмывательной цепочки.

Сигнал здесь — позиция OFAC в области compliance. Когда обозначение Tornado Cash OFAC от августа 2022 года было в силе, каждый кошелёк-вкладчик Tornado Cash — включая эти семь — потенциально становился объектом вторичных санкционных рисков для любого контрагента, обрабатывавшего его входящие или исходящие потоки. Решение Пятого федерального апелляционного суда по делу Van Loon v. Treasury (26 ноября 2024 года) и исключение из санкционного списка Министерством финансов 21 марта 2025 года изменили框架 в будущем, однако историческая экспозиция сохраняется.

Пятый запрос: сколько кошельков из нашего источника a7a5_token_scan пересекаются с источниками Tether blacklist?

Результат: **0**.

Ноль пересечений. Tether не заморозил ни одного кошелька из нашего кластера A7A5. Это структурно интересно, поскольку 20-й санкционный пакет ЕС обозначает A7A5 под запрет, вступающий в силу 24 мая 2026 года (через девять дней от даты этой статьи), а базовые организации экосистемы A7 (Old Vector LLC, A7 LLC, Payeer) были обозначены OFAC в августе 2025 года.

Отсутствие заморозки со стороны Tether — структурная иллюстрация юрисдикционного разрыва. Freeze-пайплайн Tether действует по сигналам US-OFAC, азиатских правоохранительных органов, а также в сфере гемблинга и мошенничества. Санкционные обозначения ЕС за уклонение от российских санкций исторически не являлись для Tether категорией заморозки. 20-й пакет ЕС может изменить это — реакция Tether на дату вступления в силу 24 мая является одним из операционно наиболее ожидаемых compliance-событий 2026 года.

Для screening Sanctuary: кошельки A7A5 несут флаги категории sanctions, propagated из обозначения 20-го пакета ЕС, независимо от статуса заморозки Tether. Compliance-офицеры, проверяющие потоки, затрагивающие клиентов из ЕС, должны с 24 мая рассматривать кошельки кластера A7A5 как Critical — вне зависимости от того, выпустил ли Tether заморозку.

Пять структурных выводов из кросс-источникового анализа:

**Первое.** Кросс-источниковая верификация — санкционный сигнал наивысшего доверия. 3,378 кошельков независимо подтверждены по двум и более источникам; это ядро операторов. Compliance-вендоры должны предоставлять кросс-источниковое верифицированное флагирование как отдельный уровень в своей модели риска.

**Второе.** DPRK и западный ransomware структурно разделены. Compliance-фреймворки должны трактовать их как разные категории с разными вероятностями заморозки, разной географией вывода средств и разными пайплайнами attribution.

**Третье.** Инструментарий заморозки Tether избирательно активен. Из 18,168 кошельков, атрибутированных Lazarus, Tether заморозил 60 — примерно 0.33 процента. Заморозка высокоэффективна, когда действует, однако не покрывает более широкий кластер. Compliance-фреймворки не должны считать покрытие Tether-blacklist достаточным.

**Четвёртое.** Популяция вкладчиков Tornado Cash операционно отличается от популяции получателей. Семь прямых вкладчиков Lazarus составляют малую долю следа Lazarus в Tornado Cash. Обнаружение на стороне получателей (поведенческий детектор `tornado_cash_recipient`) — операционно продуктивный screening; флагирование на стороне вкладчиков — меньшая, структурно более узкая категория.

**Пятое.** Юрисдикционные разрывы в санкциях создают пробелы в покрытии. Нулевое пересечение A7A5 с Tether — наглядная иллюстрация. Санкции ЕС должны быть отдельным сигналом в любом screening-движке, обслуживающем клиентов из ЕС, независимо от покрытия US-OFAC или заморозок Tether.

3,378 кошельков независимо верифицированы по нескольким санкционным источникам. Это ядро операторов наивысшего доверия. Одновременно это малая доля от совокупного флагированного универсума (1.43 миллиона флагов всего).

Для compliance-команд: уровневое взвешивание доверия имеет значение. Трактуйте флаги из одного источника как существенные; трактуйте флаги, верифицированные по нескольким источникам, как окончательные. 3,378 — это окончательное множество.

Для анализа экосистемы: нулевое пересечение между Lazarus и западным ransomware подтверждает структурную разделённость. Пересечение из 60 кошельков Lazarus и Tether подтверждает избирательное правоприменение Tether в отношении DPRK. Нулевое пересечение A7A5 и Tether подтверждает юрисдикционный разрыв ЕС.

Датасет показывает структуру. Структура информирует screening. Screening информирует решение.