Блокчейн-детектив ZachXBT опубликовал расследование, в котором назвал человека, предположительно помогавшего группировке вымогателей отмывать криптовалюту. Им оказался россиянин Александр (Алекс) Хинкис — OTC-брокер, который через один биржевой счет провел более $4,7 млн с июля 2025 года.
Помимо этого, еще около $16,6 млн, связанных с теми же операциями, сейчас размещены в протоколе кредитования Aave и регулярно выводятся в фиат.
Как вычислили Хинкиса
Хинкис работает как OTC-брокер — посредник, который помогает клиентам конвертировать крупные суммы криптовалюты в наличные. Такой формат удобен для отмывания преступных доходов.
Чтобы установить личность брокера, ZachXBT и его команда написали Хинкису в Телеграм, представившись клиентом, который хочет конвертировать криптоактивы из сети Avalanche в фиат. Переписку вели на русском языке.
Хинкис без промедления передал адрес для депозита на бирже: 0xa75666786a4e120110418ed3b4865a114d70706e. Этот адрес и стал отправной точкой всего расследования.
OSINT-анализ добавил интересных деталей. Оказалось, что Хинкис:
- активно путешествует — в частности, бывает в Юго-Восточной Азии и Австралии;
- открыто документирует поездки в социальных сетях;
- фигурирует в нескольких утечках баз данных.
По мнению ZachXBT, такая публичность нетипична для человека, который предположительно отмывает миллионные суммы.
Как работает схема
В основе схемы — три предполагаемые выплаты выкупа на общую сумму 796 BTC. С июля 2025 по март 2026 года они образовали 75 переводов на биржевой счет Хинкиса.
Маршрут движения денег каждый раз был примерно одинаков:
- Биткоин поступает на адрес-получатель.
- Через мгновенные обменники средства конвертируются и уходят по блокчейн-мостам в сеть Avalanche.
- Оттуда деньги попадают на биржевой адрес Хинкиса 0xa756 и выводятся в фиат.
Для отслеживания промежуточных адресов ZachXBT применил тайминг-анализ — сопоставление временных меток транзакций.
Три эпизода: хронология и детали
Всего было выявлено три предполагаемых выплаты выкупа.
Сентябрь 2023 года — 560 BTC. 19 сентября на адрес 1ECPUEjGbbJmXUsxUQSntwf4apjnpGLpUR поступил крупнейший из трех выкупов. Средства прошли через несколько бирж и сервисов, а в 2024 году были переведены по мосту из биткоина в Avalanche. Сейчас 73 BTC остаются нетронутыми на адресе 1ECrX6LiBhuGLGgJYB6mtacEEhzNSS9xdP — ZachXBT предполагает, что рано или поздно их попытаются отмыть.
Сентябрь 2025 года — 72 BTC. 2 сентября на адрес bc1q7mullnemg7sqef9u2tj8clatl04z78mdzhy6dy поступил выкуп, из которого через мгновенный обменник прошло около $1,36 млн. Тайминг-анализ помог найти выходные адреса в сети Tron — TKdsVDE и TWxkK, — откуда деньги ушли на адрес TW5fHfrn5AdV9kDbXTSazGUK7bGfia2X1G. Тот, в свою очередь, связан с адресом TUjsQi, впоследствии заблокированным Tether.
Интересная деталь: инициирующий адрес этого платежа имеет более 15% пересечения с адресами других вымогателей в нескольких compliance-инструментах — это может говорить о том, что он служит платежным процессором для ransomware-группировок.
Октябрь 2025 года — 164 BTC. 10 октября на адрес 19JNQLfoXBgUE7kuW4jMRFoCZJq3cqbRGU поступил выкуп, из которого через мгновенный обменник прошло около $3,8 млн. В ноябре 2025 года Tether заблокировал семь адресов Tron, связанных с этим платежом, — знак того, что к делу подключились правоохранители. Три недели назад замороженные USDT были уничтожены. Адрес TWxkK, фигурирующий в этом эпизоде, также встречается в сентябрьском платеже — еще одна ниточка, связывающая эпизоды между собой.
Tether, регуляторы и проблемы
Эта история показывает, как могут работать в связке блокчейн-аналитики, эмитенты стейблкоинов и следственные органы. Tether оперативно заблокировал адреса, связанные с октябрьским выкупом. Сожжение замороженных USDT означает, что эти деньги навсегда изъяты из оборота.
Тем не менее ZachXBT осторожен в прогнозах насчет судебного преследования Хинкиса: дело охватывает несколько юрисдикций, что сильно усложняет процесс. Он также отмечает, что когда начал изучать этот кластер в начале октября 2025 года, большинство адресов еще не были отмечены в compliance-инструментах сторонних провайдеров.
Рекомендации жертвам атак
ZachXBT подчеркивает: выплаты выкупа часто не регистрируются, но их можно идентифицировать и заморозить в блокчейне — если действовать быстро. Его совет жертвам ransomware-атак прост: всегда сообщайте адреса в правоохранительные органы и провайдерам compliance-инструментов. Именно скорость реакции решает, удастся ли заморозить деньги до их вывода.
Хотите получить доступ к экспертным инсайдам? Подписывайтесь на наш телеграм-канал, получайте доступ торговым сигналам и новостям рынка, общайтесь с нашим аналитиком. Будьте на шаг впереди рынка каждый день!
