Good Carder
Professional
- Messages
- 938
- Reaction score
- 532
- Points
- 93
Введение: криптовалюты как новая финансовая экосистема
С ростом популярности криптовалют платёжные системы — от централизованных бирж до децентрализованных протоколов — стали объектом изощрённых атак. Бинанс, Bybit, OKX и другие площадки внедрили многоуровневую KYC (Know Your Customer), требующую от пользователей предоставления сканов паспортов, селфи, а иногда и подтверждения адреса.Однако, как показывают многочисленные инциденты, ни одна система KYC в мире не является неуязвимой, особенно в эпоху массового распространения генеративных нейросетей и deepfake-технологий. К маю 2026 года Binance сообщила, что её AI-системы предотвратили потерю $10,53 млрд, однако число успешных попыток мошенничества продолжает расти, а кардеры совершенствуют методы обхода с каждым днём.
В этой статье я разберу:
- Как работают современные системы KYC и где их слабые места.
- Технологии создания поддельных документов и deepfake-верификации.
- Принципы функционирования подпольного рынка верифицированных аккаунтов.
- Стратегии использования no‑KYC обменников и каскадирования транзакций.
- Инструменты анализа блокчейна и методы противодействия отслеживанию.
Часть 1. Современное состояние KYC: архитектура и уязвимости
1.1. Стандартные процедуры KYC на централизованных биржах
Большинство крупных криптобирж (Binance, Bybit, Coinbase, OKX, Kraken) используют трёхуровневую систему верификации:| Уровень | Требования | Открываемые возможности |
|---|---|---|
| Базовый (Level 1) | Адрес электронной почты, номер телефона | Вывод до 0,06 BTC в сутки |
| Расширенный (Level 2) | Скан удостоверения личности (паспорт/в/у), селфи (selfie) | Вывод до 100 BTC в сутки, фиатные операции |
| Полный (Level 3) | Подтверждение адреса (коммунальные счета, выписки из банка) | Корпоративный доступ, повышенные лимиты |
Каждый этап, в особенности второй, является целью для атакующих. Здесь они должны предоставить фейковый ID и живое селфи, совпадающее с изображением в документе.
1.2. Встроенные защитные механизмы
Современные KYC-провайдеры (Onfido, Sumsub, Jumio, Shufti Pro) используют комплексы из более чем 5 независимых проверок:- МРЗ (Machine Readable Zone) паспорта — валидация контрольной суммы.
- Сопоставление лица на документе с видеоселфи (facial recognition).
- Анализ метаданных фотографии (GPS, дата создания, оригинальность).
- Проверка по государственным базам данных (в странах с цифровыми ID).
- Liveness detection — выявление подделки с помощью распознавания микродвижений лица.
Binance обновила свои AI-системы, чтобы противостоять deepfake и синтетическим идентичностям, достигнув, по их данным, повышения операционной эффективности в 100 раз по сравнению с традиционными методами ручной обработки. Однако, как показывают реальные примеры, эти системы не являются непроницаемыми.
1.3. Главные уязвимости на 2026 год
- Уязвимость автоматических систем к фотореалистичным подделкам. Инструменты вроде OnlyFake создают поддельные паспорта за секунды с метаданными (GPS, устройство), полностью обходя базовые автоматические проверки.
- Отсутствие единого стандарта верификации по странам. Биржи часто используют «слабые звенья» — страны, где ID можно получить удалённо или где базы данных не интегрированы с глобальными проверками.
- Человеческий фактор. Сотрудники служб комплаенса, проверяющие документы визуально, могут быть обмануты хорошо выполненной подделкой.
Часть 2. AI-фальсификация KYC: deepfake документы и видео
2.1. Генерация фейковых документов
В 2026 году технологии генерации поддельных удостоверений достигли уровня, когда автоматические системы перестали отличать подделку от оригинала.Пример 1: ChatGPT-4o против Binance и Revolut
В апреле 2025 года польский исследователь Борис Муселяк продемонстрировал, что ChatGPT-4o может создать убедительный фальшивый паспорт всего за 5 минут, который прошёл автоматическую KYC-проверку на Revolut и Binance. Муселяк подчеркнул, что традиционные методы верификации, основанные на фото или селфи, более не являются надёжными в эпоху генеративного AI.
Пример 2: OnlyFake — массовая подделка ID за $15
В феврале 2024 года был обнаружен сервис OnlyFake, генерирующий поддельные ID и паспорта из 26 стран за $15, которые успешно обходили KYC на OKX, Kraken, Bybit, Huobi и PayPal. Представитель Revolut признал, что это «общеотраслевая проблема». Позже AI-инструменты вроде OnlyFake начали подделывать не только изображения, но и метаданные, включая GPS-координаты и информацию об устройстве.
2.2. Deepfake видео для liveness detection
Наиболее серьёзную угрозу представляют инструменты, способные в реальном времени подменять лицо во время видеоверификации.Инструмент ProKYC (2024)
Набор инструментов ProKYC создаёт искусственное лицо, встраивает его в шаблон поддельного ID, а затем генерирует deepfake-видео, которое успешно проходит проверку распознавания лиц на биржах, включая Bybit. Встроенный голосовой модуль позволяет синхронизировать речь и мимику. Специалисты Cato Networks отметили, что этот инструмент значительно повышает возможности New Account Fraud (NAF) — мошенничества с созданием новых аккаунтов.
Инструмент JINKUSU CAM (2026)
Актуальная на апрель 2026 года разработка JINKUSU CAM представляет собой real-time deepfake-комплект для обхода KYC на биржах Binance, Coinbase, Kraken и OKX.
Технические возможности инструмента:
- Face swap на GPU — подмена лица в режиме реального времени через фреймворки InsightFace.
- Аудиовизуальная синхронизация — генерация речи с возможностью менять тембр, высоту и акцент под выбранную личность.
- Поддержка виртуальных камер через OBS и интеграция с браузерами и Android-эмуляторами.
- Распознавание мимики и её синхронизация с лицом через GFPGAN и трекинг выражений.
Продавец JINKUSU CAM по кличке Jinkusu, продающий свой набор в даркнете, предположительно связан с разработчиком фишинг-инструмента Starkiller, который запускал headless-браузеры в Docker-контейнерах для подмены легитимных страниц в реальном времени.
2.3. Полный цикл создания поддельной KYC-идентичности
- Сбор базовых данных из открытых источников (например, фото жертвы из соцсетей) или генерация синтетического лица с помощью StyleGAN или иной генеративно-состязательной сети.
- Генерация шаблона удостоверения личности с использованием AI-инструментов (ChatGPT-4o для контента, OnlyFake для макета и метаданных).
- Генерация deepfake-видео с помощью ProKYC или JINKUSU CAM, имитирующего движения лица и голос.
- Прохождение KYC-процедуры в реальном времени.
- Получение полностью верифицированного аккаунта со статусом Level 2 или Level 3 без использования реальных документов.
Часть 3. Рынок готовых KYC-аккаунтов
3.1. Экономика и масштаб подпольного рынка
По данным на апрель 2026 года, через тёмные форумы, мессенджеры и даркнет-маркетплейсы ежедневно продаются тысячи верифицированных аккаунтов Binance. Цены варьируются в зависимости от уровня верификации, юрисдикции и лимитов вывода.Типичные цены на чёрном рынке (2026):
| Тип аккаунта | Уровень | Страна регистрации | Средняя цена |
|---|---|---|---|
| Базовый верифицированный | Level 2 (ID+селфи) | US / UK / EU | $80–150 |
| Премиум верифицированный | Level 3 (адрес) | US / EU | $250–500 |
| Аккаунт с историей (aged) | Level 2+ | Любая OECD | $500–2000 |
3.2. Как кардеры добывают аккаунты
- Фишинговые кампании, нацеленные на реальных пользователей. В 2026 году были зафиксированы массированные фишинговые атаки, где кардеры использовали все доступные каналы коммуникации.
- Покупка удостоверений личности в утечках баз данных. Утечки документов, произошедшие за последние 3–4 года, до сих пор продаются на теневых форумах.
- Кража сессионных cookie и токенов через вредоносное ПО и расширения браузеров. Кардеры могут восстановить полный доступ к уже верифицированному аккаунту, не проходя KYC заново.
- Социальная инженерия, включая массированные рассылки по номерам телефонов, где кардеры предварительно проверяют наличие аккаунта у жертвы через функцию восстановления пароля на сайте Binance.
3.3. Риски покупки готовых аккаунтов для конечного «пользователя»
Binance использует сложные комбинированные методы обнаружения. Если система выявляет, что аккаунт был куплен или перепродан, биржа «навсегда замораживает и аккаунт покупателя, и аккаунт продавца». Попытки купить верифицированный аккаунт почти всегда заканчиваются потерей денег и полной блокировкой.В то же время обычные пользователи, которые обращаются в теневые сервисы после многократных неудач с легальной верификацией (из-за плохого качества фото, истекших документов или технических ошибок), становятся жертвами кардеров, которые крадут их средства и личные данные без какой-либо гарантии работоспособности аккаунта.
Часть 4. Стратегии каскадирования: no‑KYC обменники
4.1. Принцип действия no‑KYC обменников
Платформы вроде ChangeNOW, Godex, StealthEX не требуют регистрации и предоставляют возможность анонимно обменивать одну криптовалюту на другую, принимая средства напрямую с некастодиального кошелька, а не со счёта на бирже. В большинстве случаев KYC не требуется — за исключением срабатывания автоматических систем мониторинга AML/CFT, которые могут быть инициированы крупными транзакциями, подозрительными цепочками или запросами со стороны правоохранительных органов.4.2. Лимиты и «невидимые триггеры» для AML-запроса
ChangeNOW:- Номинально KYC не требуется, но транзакции свыше €2000 часто запускают AML-процедуру: платформа может заморозить обмен и запросить верификацию. Команда ChangeNOW вправе потребовать KYC в любой момент при подозрении на незаконную деятельность или отмывание средств.
- Обмен криптовалюты Monero (XMR) чаще вызывает AML-проверку, чем обмен «прозрачных» криптоактивов с прозрачной цепочкой.
StealthEX:
- Крипто-обмен без KYC, но транзакции на покупку фиата свыше $700 требуют верификации. По сути, «опциональный KYC» может быть включён в любой момент по усмотрению системы.
Godex:
- Изначально проектировался как платформа, полностью отказывающаяся от KYC. При транзакциях, превышающих стандартные лимиты, проверка может быть инициирована. Строгих лимитов на вывод нет, но система оставляет за собой право их ввести.
4.3. Распространённая схема каскадирования
- BTC с compromised-кошелька → ChangeNOW → XMR (Monero)
- XMR → Godex → LTC/BCH (менее отслеживаемая монета с более высокой скоростью транзакций) → фиат через частного продавца на p2p-площадке без KYC
Использование Monero в середине цепочки максимально усложняет отслеживание, поскольку этот актив объединяет три механизма приватности: кольцевые подписи, скрытые адреса и конфиденциальные транзакции. В начале 2026 года Monero достиг исторического максимума около $790, что подтверждает высокий рыночный спрос на абсолютную конфиденциальность.
Часть 5. Анализ блокчейна и тактики сокрытия транзакций
5.1. Как работает анализ цепочек
Анализ блокчейна — это метод отслеживания потока криптовалюты между кошельками с использованием кластеризации, эвристик и AI-алгоритмов. Централизованные биржи используют AI-инструменты для маркировки транзакций, имеющих «историю загрязнения» от известных криминальных кошельков. Такая разметка может привести к блокировке средств при попытке завести их на легальную биржу без предварительной «очистки».Основные способы отслеживания:
| Метод | Описание | Уязвимость для атакующих |
|---|---|---|
| Кластеризация адресов | Группировка адресов, принадлежащих одному кошельку | Может быть сломлена сложными каскадными схемами с использованием нескольких криптоактивов |
| Анализ графов транзакций | Построение сетей переводов и поиск подозрительных паттернов | Требует значительных вычислительных ресурсов для очень длинных цепочек |
| Эвристика «Common Change» | Поиск адресов, получающих одинаковое количество монет после отправки с одного кошелька | Может быть обойдена через использование нескольких выходов в одной транзакции и случайные суммы |
| AI-анализ временных окон | Сопоставление времени входа и выхода микшеров | Разрывается с помощью больших задержек и рандомизированных временных окон |
5.2. Архитектура Monero — текущий стандарт приватности
На 2026 год Monero (XMR) остаётся бесспорным лидером по уровню приватности среди криптоактивов. Его технологическая основа включает три основных компонента:- Кольцевые подписи — подпись совершившего транзакцию смешивается с несколькими случайными подписями из истории блокчейна, образующими «кольцо». Наблюдатель не может определить, кто именно из участников кольца инициировал транзакцию.
- Скрытые адреса — для каждой транзакции генерируется уникальный одноразовый адрес, так что наблюдатель не может связать несколько переводов с одним получателем.
- RingCT (Ring Confidential Transactions) — технология, скрывающая сумму перевода с помощью криптографических протоколов, но при этом позволяющая верифицировать корректность транзакции.
Дальнейшие улучшения, такие как Full-Chain Membership Proofs (FCMP++), реализованные в 2024 году, укрепили математическую неотличимость транзакций. В начале 2026 года на Monero пришлось более 51,8 млрд долларов объёма заблокированных активов в приватных пулах.
5.3. Практические методы обхода отслеживания
Для максимально эффективного обхода блокчейн-аналитики на практике применяются комбинации следующих методов:- Использование Monero. Monero — ключевое звено разрыва прозрачной цепочки.
- Суб-адреса и «churning» — многократная отправка Monero между собственными кошельками с использованием разных кольцевых наборов и задержками до 24 часов.
- Атомные свопы (Atomic Swaps) — децентрализованный обмен одной криптовалюты на другую без посредников и без оставления записи о связи кошельков.
- Использование Lightning Network — микроплатежи, не записываемые в основной блокчейн и практически не отслеживаемые традиционными эксплорерами.
- Частичный вывод на фиат через частных P2P-продавцов — продажа небольших сумм (менее $1000) физическим лицам наличными или через платёжные системы, не требующие KYC.
Заключение
Подпольный рынок верифицированных аккаунтов и методы их создания с использованием генеративных нейросетей представляют собой серьёзную угрозу для финансовой системы. Единичного AI-инструмента для подделки документа или создания deepfake-видео становится достаточно, чтобы пройти KYC и открыть полноценный доступ к биржевым счетам. Несмотря на это, многоуровневые системы KYC в сочетании с человеческим контролем и использованием аппаратных данных (NFC-чип паспорта, привязка к eSIM) значительно повышают порог входа для кардеров.Главные выводы статьи:
- KYC больше не является абсолютным барьером. В 2025–2026 годах были зафиксированы многочисленные случаи успешного обхода KYC на крупнейших биржах с помощью фальшивых документов и deepfake-видео, сгенерированных AI.
- Рынок верифицированных аккаунтов процветает, но крайне опасен. Покупка готового аккаунта часто заканчивается потерей средств и уголовным преследованием.
- Правильное каскадирование криптоактивов с использованием Monero и no‑KYC обменников создаёт серьёзные препятствия для классического анализа цепочек.
- Полная анонимность недостижима. В 2026 году даже Monero не является абсолютно неотслеживаемым (появляются технологии AI-анализа), но для противодействия среднестатистическому расследованию уровень сложности оказывается непреодолимым.
- Исследование этих техник — ключ к их блокировке. Без глубокого понимания современных методов обхода KYC невозможно построить эффективную систему защиты от них.
Быстрая памятка на одну строку:
«В 2026 году ни один ID не является подлинным без аппаратной проверки, ни один аккаунт — надёжным без поведенческого анализа, а приватность требует неупорядоченных длинных цепочек с обменом и ожиданием по несколько дней между звеньями.
