Автор Admin 
Ончейн-анализ позволил выявить еще одну крупную криптовалютную компанию, которая занимается незаконными операциями и нарушает международные санкции. GetBlock AML Research раскрывает схемы, благодаря которым сервис Heleket скрывал истинное происхождение активов.
Главное
- Cryptomus и Heleket — два платежных сервиса, которые позволяют оплачивать товары и услуги криптовалютой, а также выполняют функции обменников — фактически связаны между собой на операционном уровне. Это подтверждается общими техническими решениями, сходством брендинга, пересечением сотрудников, общими источниками ликвидности и скоординированной активностью в блокчейне.
- Heleket был создан администраторами или аффилированными лицами Cryptomus для продолжения масштабных операций по отмыванию криптовалюты, включая обход санкций.
- Есть признаки того, что нелегальные пользователи начали переходить с Cryptomus на Heleket после ужесточения правил, в том числе пользователи, связанные с санкциями и поставщики киберпреступных услуг.
- Heleket демонстрирует значительно более высокий уровень вовлеченности в незаконную деятельность по сравнению с аналогичными сервисами — почти в пять раз выше среднего значения среди платежных провайдеров.
2025: Cryptomus под давлением — запуск Heleket
В октябре 2025 года канадский финансовый регулятор FINTRAC наложил рекордный штраф почти в 177 миллионов канадских долларов на Cryptomus — криптовалютный платежный сервис и обменник, связанный с Россией. Причиной стали многочисленные нарушения законов о борьбе с отмыванием денег и финансированием терроризма.
Еще до штрафа, в феврале 2025 года, Cryptomus ввел обязательную проверку пользователей (KYC — подтверждение личности), вероятно из-за раннего внимания регуляторов. Это вызвало недовольство пользователей и снижение объемов операций. В результате объем транзакций в блокчейне снизился с $153 млн в январе 2025 года до $86 млн в марте.
В ответ на усиление контроля был найден обходной путь: создание альтернативного сервиса, который предоставляет те же услуги той же аудитории, но без строгой проверки личности. Так появился Heleket. Анализ блокчейн-данных и открытых источников указывает на то, что Cryptomus или связанные с ним лица стояли за созданием и запуском Heleket — на это указывают совпадения в архитектуре, времени запуска, персонале и транзакционных связях.
Heleket позиционирует себя как криптовалютный платежный сервис, работающий в основном в Европейском союзе. Он позволяет бизнесу принимать оплату в криптовалюте и недавно начал выпускать виртуальные банковские карты. В обновлении своей политики против отмывания денег сервис заявил, что требует документы для подтверждения личности клиентов, однако на практике было замечено, что проводить операции можно и без их предоставления.
В период с 2022 по 2025 год через Cryptomus прошли сотни миллионов долларов, связанных с незаконной деятельностью, включая продавцов материалов сексуального насилия над детьми, сети финансирования терроризма, торговлю людьми и обход санкций. Среди прочего, сервис активно взаимодействовал с ныне закрытой санкционной российской биржей Garantex и иранскими криптобиржами.
Heleket, запущенный в январе 2025 года, продолжил обслуживать подобные операции — в первую очередь связанные с обходом санкций, а также взаимодействовал с российскими даркнет-рынками и киберпреступными сервисами, которые, вероятно, перешли туда с Cryptomus.
Запуск параллельного сервиса, по всей видимости, был сделан для продолжения такой деятельности даже под давлением регуляторов — за счет переноса пользователей на формально «другую» платформу. Однако имеющиеся данные показывают, что оба сервиса тесно связаны.
Связь Cryptomus и Heleket подтверждается данными блокчейна
Анализ блокчейна позволяет увидеть важные детали: совпадение по времени ключевых изменений, колебания объемов операций, общие источники ликвидности и перемещение пользователей между сервисами.
Источники ликвидности
Cryptomus и Heleket используют общий источник ликвидности — российский платежный сервис Garantex, находящийся под санкциями. Первые крупные поступления средств в Heleket пришли именно от Garantex в январе 2025 года. Для регулируемого сервиса, зарегистрированного в Канаде, использование такого источника выглядит нетипично.
Переток ликвидности с Garantex на Cryptomus и Heleket. Визуализация: TRM Labs
Крупные транзакции между Cryptomus и Garantex по своему характеру напоминают отношения между платежным сервисом и поставщиком ликвидности, что обычно встречается в легальной экономике виртуальных активов. Однако регулируемые компании обычно не используют санкционные площадки в качестве источника средств.
Хронология
Рост объемов транзакций в Heleket вскоре после его запуска совпадает со снижением активности Cryptomus после введения обязательной проверки пользователей. Точно определить, сколько пользователей перешло, невозможно, но совокупность данных указывает на то, что таких было много.
Перемещение нелегальных пользователей
Зафиксированы многочисленные случаи, когда киберпреступные участники, включая продавцов запрещенного контента и сервисы киберпреступности, переходили с Cryptomus на Heleket. Временные рамки этого перехода совпадают с ужесточением требований к проверке личности, что могло подтолкнуть их искать более «свободную» площадку.
Дополнительные доказательства связи
Были обнаружены многочисленные совпадения вне блокчейна: общая инфраструктура, схожие процессы, идентичные формулировки и элементы дизайна. В совокупности с транзакционными данными это указывает на то, что оба сервиса созданы и управляются одной организацией.
Изменение ликвидности Cryptomus и Heleket как фактор сходства. Визуализация: TRM Labs
Оба проекта используют одного и того же регистратора доменов с повышенным уровнем приватности, имеют почти одинаковый визуальный стиль и даже уникальные, необычные формулировки на своих сайтах.
Также есть признаки пересечения сотрудников, включая администратора, предположительно находящегося в странах Балтии. В одном из обсуждений в Telegram администратор Cryptomus подтвердил наличие связи между сервисами, заявив, что между ними есть «определенные договоренности», при этом утверждая, что это разные компании. Пользователи форумов также отмечали сходства — один из них сообщил, что смог войти в Heleket с теми же учетными данными, что и в Cryptomus.
Структурные сходства платформ
Оба сервиса используют одинаковую комиссию в 0,4% за обработку платежей и применяют так называемую «модерацию проектов» — требование описания бизнеса пользователя перед началом работы. Такая практика нетипична для платежных сервисов и обычно реализуется через более формализованные процедуры проверки бизнеса (KYB).
Также оба сервиса используют редкую формулировку «установить скидку на способ оплаты», которая не встречается у других аналогичных платформ.
Cryptomus, Garantex и Heleket как элементы одной системы
Через Cryptomus прошли сотни миллионов долларов, связанных с незаконной деятельностью — от торговли людьми до финансирования терроризма. Было выявлено более 75 тысяч транзакций между Cryptomus и иранскими биржами, включая Nobitex, Bit Pin и Wallex.ir.
Связь Cryptomus и Heleket с грязными активами. Визуализация: TRM Labs
Heleket демонстрирует похожую картину. В 2025 году около 0,6% всех входящих средств были связаны с незаконной деятельностью — это почти в пять раз выше среднего уровня. При этом около 60% таких средств поступало от субъектов, связанных с санкциями, в основном через Garantex.
Сравнение уровней незаконной активности
В начале 2025 года основная доля незаконных транзакций приходилась на Cryptomus. Однако уже к апрелю–маю более 80% таких операций проходили через Heleket. Позже этот показатель снизился, но в последние месяцы года оставался около 45%.
При этом на Heleket приходится лишь около 30% общего объема операций, что говорит о более высокой концентрации незаконной активности — вероятно из-за отсутствия строгой проверки пользователей.
Что это говорит о текущих рисках
Компания Xeltox Enterprises Ltd., стоящая за Cryptomus, оспаривает штраф FINTRAC, утверждая, что не знала о подобных транзакциях и не контролировала их. Создание Heleket могло быть частью стратегии — отделить основной сервис от сомнительной деятельности и сохранить возможность отрицать связь.
Однако если связь между сервисами будет доказана, это может серьезно повлиять на исход разбирательства.
В отчетах за 2026 год отмечается тенденция, получившая название «год российского ребрендинга» — когда участники финансовых схем после давления со стороны властей запускают новые или параллельные сервисы. Связка Cryptomus и Heleket является наглядным примером такого подхода: создание нового сервиса позволяет продолжать работу с частью аудитории вне регулируемой среды.
Источник: cryptonews.net