Operation Atlantic: как правоохранители заморозили $12 млн в украденной крипте

Operation Atlantic — международная операция под координацией Европола, в которой участвовали правоохранительные органы более 30 стран, включая ФБР, Интерпол и национальные киберподразделения ЕС. Целью были организованные группы, специализирующиеся на approval-фишинге: жертв обманом склоняли подписать вредоносные транзакции, после чего дрейнеры автоматически выводили токены. По итогам операции заморожено около 12 млн $ на централизованных биржах. Риск: большая часть похищенного — оценочно сотни миллионов долларов — к моменту операции уже прошла через миксеры и стала невозвратной.

Ключевым инструментом стал блокчейн-анализ через Chainalysis и аналогичные платформы: аналитики строили граф транзакций от адресов-жертв до конечных точек вывода. Когда средства попадали на KYC-биржу, следователи направляли запросы на заморозку через запросы правовой помощи (MLA). Параллельно анализировались on-chain метаданные и IP-адреса, связанные с фишинговыми сайтами. Риск: профессиональные группы использовали многоуровневые миксеры и атомарные свопы, обрывая след до поступления на биржу — именно поэтому заморожено лишь около 12 млн $ из многократно большей суммы ущерба.

Схема состояла из трёх звеньев: разработчики дрейнеров создавали вредоносные смарт-контракты, операторы запускали фишинговые сайты с имитацией легитимных dApp, рекрутёры привлекали трафик через взломанные Discord-серверы и рекламу в соцсетях. Жертва подписывала approve или permit — и дрейнер выводил все токены за одну транзакцию. Выручка делилась: разработчик забирал 20–30%, остальное — оператор. Риск: иерархическая структура означала, что арест одного оператора не останавливал работу сети — другие продолжали по той же схеме.

Замороженные средства находятся под арестом на счетах бирж в ожидании судебных решений в соответствующих юрисдикциях. Возврат пострадавшим — длительный процесс: требуются идентификация жертв, доказательство права собственности на конкретные адреса и решения судов в каждой стране. По опыту аналогичных операций (Silk Road, Bitfinex hack) возврат занимает от двух до пяти лет. Риск: часть средств может быть конфискована в пользу государства, а не возвращена жертвам — это зависит от национального законодательства каждой участвующей юрисдикции.

После крупных операций группы адаптируются: переходят на менее регулируемые сети (Solana, Tron), дробят суммы до порогов KYC-верификации, используют мосты между сетями для запутывания следа. Отдельные группы переключились на Permit2-фишинг — подпись офчейн-сообщений без видимой транзакции в кошельке. Риск: операция снизила активность конкретных групп, но не уничтожила инфраструктуру: исходный код дрейнеров доступен на даркнет-форумах, порог входа для новых операторов остаётся низким.

Если вы стали жертвой approval-фишинга и средства оказались в числе замороженных по Operation Atlantic — зафиксируйте хеш транзакции и адрес получателя, подайте заявление в отдел «К» МВД с указанием на международный контекст операции. Европол публиковал формы для заявок пострадавших. Шансы на возврат выше, если ваши средства попали именно на замороженные адреса, а не прошли через миксер. Риск: для граждан РФ участие в западных юридических процессах по возврату активов затруднено из-за санкционного контекста и ограниченного международного сотрудничества с российскими правоохранителями.

Формально — да, Европол принимает заявки от пострадавших вне зависимости от гражданства. Практически — процесс затруднён из-за ограниченного правового сотрудничества между РФ и ЕС с 2022 года. Шанс выше, если средства хранились на бирже с европейской лицензией.