Як в українського підприємця викрали крипту (та як таке попередити)
Як в українського підприємця викрали крипту (та як таке попередити)
Керівник практики безпеки бізнесу Juscutum Станіслав Борис та партнер практики міжнародного бізнесу Максим Греков у своїй колонці для AIN.UA описують реальний випадок викрадення криптовалюти в українського підприємця. А також радять, як такому запобігти.
Викрадення крипти стає карантинним мейнстрімом. Анонімність володіння криптою з переваги стала її недоліком. Як намагаються юзати ІТ-ішніків, у якому місці просідає ІТ-індустрія, відомі кейси, врятовані та безповоротно втрачені мільйони — читайте далі у статті. А наприкінці публікації — практичні поради з легалізації криптовалюти та правила структурування криптоактивів.
Як викрадали крипту раніше?
Далекий 2016 рік. У гонконзькій обмінній платформі Bitfnex кіберзлочинці викрадають близько 120 000 одиниць криптовалюти, що на момент здійснення крадіжки еквівалентно 72 мільйонам доларів США. Збій дала система захисту активів Bitgo.
2017 рік. Викрадають фахівця із блокчейну Павла Лернера. За свою свободу він платить понад $1 млн.
2018 рік. Відомий відеоблогер Ян Балін втрачає близько $2 млн. Гроші у вигляді різної крипти виводять з гаманця під час одного з його стрімів.
2020 рік. Непростий через пандемію, відзначається ще й замахом на замовне вбивство ІТ-бізнесмена. На щастя, воно було попереджене правоохоронцями, зімітовано смерть жертви замаху та затримано замовника. Ним виявився бізнес-партнер потерпілого, який оцінив вартість його життя у $5000. Зовсім скоро відбудеться завершення досудового розслідування у цій справі та направлення провадження до суду.
Про останні новини у цьому кримінальному провадженні повідомимо згодом, адже представляємо інтереси сторони потерпілого ІТ-підприємця.
Таких випадків — сотні, не враховуючи тих, які ще не вийшли в публічну площину. Часто за криптою стоїть інвестор, який має «зайві» декілька мільйонів і готовий дозволити перспективній молоді попрацювати з ними. Ціль інвестора справедливо меркантильна — заробити на своїх грошах і ще більше грошей.
Як крадуть крипту зараз: актуальний кейс
Одного дня до Juscutum звернувся власник ІТ-бізнесу з запитами, які на перший погляд не мають між собою нічого спільного. Мова йшла про викрадення людини та потребу у структурування корпоративних активів. Ситуація полягала в наступному: з гаманців інвестора цього ІТ-бізнесу буквально за лічені хвилини невідомими особами було виведено більше $2 млн (приблизно 80% цієї суми було у біткоїнах —ред.).
Менше ніж за 5 годин після викрадення грошей до його дому завітали молодики спортивної статури, які попросили нашого клієнта слідувати за ними до автівки, а далі до Києва в помешкання, що ними було визначено як безпечне. Забігаючи наперед, відзначимо, що одразу після нашого втручання клієнт переїхав туди, де йому насправді комфортно та безпечно.
Не послухатися прохань молодиків для клієнта було вкрай невигідно: в одного із них з собою був молоток, а на столяра він не дуже був схожий. Відтак, за декілька годин у супроводі невідомих клієнт прибув до Києва, де протягом тривалого часу був під їх постійним наглядом.
Ці люди виявилися компаньйонами інвестора, який не став зволікати та попросив дізнатися у хлопців, чи не причетний наш клієнт до виведення його коштів, адже повне управління активами мали в тому числі він та його команда.
У цілях самозахисту власник ІТ-бізнесу вирішив слідувати інструкціям молодиків.
На цьому етапі правильним та абсолютно логічним рішенням стало б звернення до правоохоронних органів. Адже викрадення людини та погроза вбивством — це кримінально карані дії. Однак враховуючи те, що запуск правоохоронної «машини» займає певний час (у наших реаліях — не менше місяця), а методи роботи правоохоронців залишають бажати кращого (у цьому кейсі вони б зводилися до ловлі «на живця»), позиція клієнта була однозначною: діяти самостійно, максимально швидко без звернення за допомогою до держави.
Клієнт відзначав: «Інвестор хоче з’ясувати як було викрадено його кошти, ми готові цьому сприяти, підемо на поліграф, надамо свою техніку та телефони для перевірки. Правоохоронці нам не допоможуть».
На жаль, методи інвестора продовжували бути примітивними: залякування, погрози, постійне спостереження за діями та пересуванням, без жодного конструктиву. Деталей цієї справи буде достатньо для написання невеликої книги, тому перейдемо до фіналу.
Чотири дослідження на поліграфі власника ІТ-бізнесу та членів його команди, десяток спільних зустрічей, листи із поясненнями інвестору не дали жодного результату. Клієнт був заляканим та дезорієнтованим настільки, що вже не міг приймати раціональні рішення.
Спільними зусиллями клієнта та наших адвокатів було вирішено припинити непродуктивну співпрацю із «силовиками» інвестора та діяти більш ефективно.
Було успішно проведено повномасштабну операцію по зміні контактних даних та місця проживання власника ІТ-бізнесу і членів його команди. А також вчинено протидію усім протиправним діям опонентів.
Досі достеменно не відомо, хто викрав більше $2 млн. Адже доступ до гаманців був не тільки у команди нашого клієнта, а й у інвестора — безпосереднього власника коштів, який надав право розпорядження ними власнику ІТ-компанії.
Попередити таку кібератаку дуже складно, практично неможливо. У цьому кейсі врятуватися від неї не вдалося, оскільки звернулися потерпілі за допомогою надто пізно.
Зловмисниками можуть бути як сторонні люди, так і сторона інвестора, яка могла діяти за схемою: інвестувати кошти, масштабувати їх, а потім повернути їх з часткою власника ІТ-бізнесу через вимогу, залякування та погрози.
Анонімність володіння криптою з переваги стала її недоліком
Описаний кейс має одну велику ваду, яка суттєво ускладнює можливість вирішення питання крадіжки криптовалюти в цивілізованому руслі. Це — анонімність володіння криптовалютою.
Так уже склалося від початку криптобуму, що система — децентралізована та ніяким чином не регульована. Можливість анонімного володіння та транзакцій поза увагою регуляторів деякий час була і поки продовжує бути вікном можливостей для тих, хто має суттєві статки і бажає примножити їх за допомогою високої волатильності криптовалют. Криптовалюти майнять, обмінюють на фіатні кошти, товари або послуги і зберігають на анонімних гаманцях
Так чи інакше, децентралізована система вимушена торкатися реального сектору економіки і взаємодіяти із традиційним банкінгом, виробниками товарів і послуг.
Наприклад, якщо криптовалюта зберігається на анонімному гаманці і в якийсь момент власник вирішив вийти в фіатний кеш, то банк-отримувач кешу задасть питання власнику банківського рахунка щодо походження фіатних коштів. Враховуючи те, що останні зміни до регулювання фінансових послуг та комплаєнс процесів в ЄС зобов’язують операторів ринку криптоактивів проводити повний комплаєнс клієнтів, анонімність володіння криптою стає не її перевагою, а недоліком.
Іншими словами, якщо власник крипти не має підтвердження походження своїх криптоактивів від А до Я, то з’являється ризик отримати повідомлення про блокування рахунків не тільки від банку (якщо був вихід у фіат), а й від криптобірж (яких з 2019 року змусили запроваджувати комплаєнс на своїх платформах за рекомендаціями FATF).
Як легалізувати крипту: порядок кроків
Найбільш стратегічно правильним варіантом для власників криптоактивів стане вихід у правове транспарентне поле за допомогою відмови від анонімності.
Для початку необхідно створити інструмент для володіння. Наприклад, зареєструвати іноземну компанію у дружній до криптоактивів юрисдикції. Вибір наразі великий: від класичних офшорів з відсутнім податковим навантаженням до європейських, де необхідно планувати податкову складову відповідно до криптоактивності. Варіант з офшором — легший і дешевший в адмініструванні, однак набагато складніший при комплаєнс-процесах у фінансових установах.
Другим нашим кроком стане легалізація наявних криптоактивів через відновлення документів, які допоможуть відслідкувати і довести походження активів. Тут можуть бути як протоколи про майнінг (наприклад, proof of work або proof of stake), так і договори на послуги з майнінгу, за які розрахувалися біткойнами, так і підтвердження біржових операцій.
Третім кроком буде підготовка фінансової звітності компанії та її аудит.
Четвертим — відкриття банківського рахунку для цієї ж компанії, кошти на який будуть надходити за необхідністю, а банк розумітиме їх походження.
Правила структурування криптоактивів: у чому сила
Коли у будь-якого активу є документ про походження та власника, то кожен, хто з ним має справу, розуміє, що, у разі правопорушення, власник може обґрунтовано звернутися до правоохоронних органів. У тому числі за допомогою правоохоронних органів країни реєстрації компанії, що є ще однією перевагою вибору локації в цивілізованому світі.
Якщо хтось управляє активами, то таке управління можна описати в правовому полі, в тому числі й відповідальність управляючого. Відповідно, такий управляючий десять разів подумає про заходи безпеки для таких активів.
Коли немає домовленостей «по понятім», то, як правило, питаннями відповідальності займаються не молодики спортивної статури з «теслярським арсеналом інструментів», а юристи в костюмах.
Гра на випередження, коли можна спати спокійно і не боятися, що банк чи біржа в будь-який момент заблокують активи до з’ясування питань про їх походження. Такі питання можуть вирішуватись місяцями і навіть роками. Є історії, які досі не завершені, а банки збанкрутували. Тому й перспектив розблокування таких кейсів — дуже сумнівні. У таких випадках ані «хлопці-тесляри», ані юристи вже не допоможуть.
Автори: Станіслав Борис, керівник практики безпеки бізнесу Juscutum, та Максим Греков, партнер практики міжнародного бізнесу Juscutum