Autor: Liam Akiba Wright
Tłumaczenie: Saoirse, Foresight News
Zgodnie z doniesieniami San Francisco Chronicle, około godziny 6:45 rano 22 listopada, podejrzany podszywający się pod dostawcę wszedł do domu w dzielnicy „Dolores Mission” w pobliżu 18. ulicy i Dolores Street, obezwładnił mieszkańców, po czym ukradł telefon komórkowy, laptopa oraz kryptowaluty o wartości około 11 milionów dolarów.
Do niedzieli policja w San Francisco nie ogłosiła żadnych aresztowań ani nie podała szczegółów dotyczących skradzionych aktywów. Nadal nie ujawniono, do której sieci blockchain lub rodzaju tokena należały skradzione kryptowaluty.
Ataki fizyczne na posiadaczy kryptowalut nie są odosobnionymi przypadkami — niepokojący trend stopniowo się nasila.
Wcześniej informowaliśmy o podobnych przypadkach: napad rabunkowy w Wielkiej Brytanii na kwotę 4,3 miliona dolarów; porwanie i tortury w nowojorskiej dzielnicy SoHo, mające na celu wymuszenie dostępu do portfela bitcoin; gwałtowny wzrost liczby porwań związanych z kryptowalutami we Francji i reakcje rządu; znani posiadacze kryptowalut (tacy jak „Bitcoin Family”) podejmujący ekstremalne środki bezpieczeństwa, przechowując frazy seedowe na różnych kontynentach; trend zatrudniania ochroniarzy przez inwestorów o wysokiej wartości netto; oraz analizy trendu „ataków kluczem francuskim” (przemoc fizyczna w celu wymuszenia przekazania kryptowalut) i zalet oraz wad samodzielnego przechowywania kryptowalut.
Po napadzie natychmiast rozpoczęto śledzenie on-chain
Nawet jeśli napad zaczyna się od drzwi do domu, skradzione środki często przemieszczają się po publicznym rejestrze blockchain, co umożliwia ich śledzenie — tworząc tym samym „wyścig”: z jednej strony transfery przez kanały prania pieniędzy, z drugiej — coraz bardziej zaawansowane narzędzia do zamrażania i śledzenia środków w 2025 roku. USDT na TRON pozostaje kluczowym elementem tego „wyścigu”.
W tym roku, dzięki współpracy emitentów tokenów, sieci blockchain i firm analitycznych, zdolność branży do zamrażania nielegalnych aktywów znacznie wzrosła. Według raportu „T3 Financial Crime Unit”, od końca 2024 roku zamrożono już setki milionów dolarów w nielegalnych tokenach.
Jeśli wśród skradzionych środków znajdują się stablecoiny, prawdopodobieństwo szybkiego zablokowania przepływu środków znacznie wzrasta — ponieważ główni emitenci stablecoinów współpracują z organami ścigania i partnerami analitycznymi, umieszczając zgłoszone adresy portfeli na czarnej liście po otrzymaniu powiadomienia.
Bardziej ogólne dane również potwierdzają tezę, że „stablecoiny są preferowanym narzędziem do transferu nielegalnych środków”. Z raportu Chainalysis Crime Report 2025 wynika, że w 2024 roku stablecoiny stanowiły około 63% całkowitej wartości nielegalnych transakcji, co stanowi znaczącą zmianę w porównaniu z poprzednimi latami, gdy kanały prania pieniędzy były zdominowane przez BTC i ETH.
Ta zmiana jest kluczowa dla odzyskiwania środków: ponieważ scentralizowani emitenci stablecoinów mogą blokować transakcje na poziomie tokena, a gdy środki trafiają do miejsc wymagających KYC, scentralizowane platformy (takie jak giełdy) stają się dodatkowymi „punktami przechwycenia”.
Jednocześnie Europol ostrzega, że zorganizowane grupy przestępcze wykorzystują sztuczną inteligencję do ulepszania swoich metod działania — co nie tylko skraca cykl prania pieniędzy, ale także umożliwia automatyzację podziału środków między różne sieci blockchain i platformy usługowe. Jeśli uda się zidentyfikować docelowy adres skradzionych środków, kluczowe jest jak najszybsze powiadomienie emitentów tokenów i giełd.
Z perspektywy makro, straty ofiar nadal się pogłębiają
Zgodnie z danymi „Internet Crime Complaint Center” (IC3) podlegającego FBI, w 2024 roku straty spowodowane cyberprzestępczością i oszustwami wyniosły 16,6 miliarda dolarów, a liczba przypadków oszustw inwestycyjnych związanych z kryptowalutami wzrosła rok do roku o 66%. W latach 2024-2025 fizyczne wymuszenia wobec posiadaczy kryptowalut (czasem określane jako „atak kluczem francuskim”) przyciągnęły większą uwagę — tego typu przypadki często łączą włamania, przejęcia kart SIM (oszustwa polegające na przejęciu kontroli nad kartą SIM ofiary) i techniki inżynierii społecznej. TRM Labs (firma zajmująca się bezpieczeństwem blockchain) zarejestrowała już trendy dotyczące tego typu wymuszeń.
Chociaż incydent w San Francisco dotyczył tylko jednego domu, schemat działania jest reprezentatywny: włamanie do urządzenia → wymuszenie przelewu lub eksportu klucza prywatnego → szybkie rozproszenie środków on-chain → testowanie możliwości wypłaty środków.
Nowe przepisy regulacyjne w Kalifornii wprowadzają dodatkową zmienną do tej sprawy. „Digital Financial Assets Law” tego stanu wejdzie w życie w lipcu 2025 roku, przyznając „Department of Financial Protection and Innovation” uprawnienia do wydawania licencji i egzekwowania przepisów wobec określonych giełd kryptowalut i instytucji powierniczych.
Jeśli jakikolwiek „exit channel” (kanał wymiany kryptowalut na waluty fiducjarne), broker OTC lub dostawca usług przechowywania powiązany z Kalifornią zetknie się z tymi skradzionymi środkami, ramy regulacyjne „Digital Financial Assets Law” umożliwią współpracę z organami ścigania. Choć nie jest to bezpośredni sposób na odzyskanie środków z samodzielnie przechowywanych portfeli, wpłynie to na kontrahentów, na których złodzieje zwykle polegają przy wymianie kryptowalut na waluty fiducjarne.
Zmiany polityczne w innych regionach również wpłyną na dalszy przebieg sprawy
Zgodnie z analizą prawną kancelarii Venable LLP, Departament Skarbu USA usunął 21 marca 2025 roku mikser Tornado Cash z „Listy Specjalnie Wyznaczonych Obywateli” (lista osób i podmiotów objętych sankcjami USA), co zmienia wymogi zgodności przy interakcji z kodem tego miksera.
Zmiana ta nie zalegalizowała jednak prania pieniędzy ani nie zmniejszyła możliwości analizy transakcji on-chain.
Jednak rzeczywiście osłabiła wcześniejszy efekt odstraszający, który skłaniał niektórych uczestników do korzystania z innych mikserów lub mostów cross-chain. Jeśli skradzione środki zostaną przed wypłatą przepuszczone przez tradycyjny mikser lub przeniesione przez most cross-chain do stablecoinów, kluczowe pozostaną działania związane z identyfikacją ścieżki środków oraz pierwszy moment uruchomienia procedury KYC.
Ponieważ adresy portfeli związanych ze sprawą nie zostały jeszcze ujawnione, platformy transakcyjne mogą opracować plany działania na najbliższe 14-90 dni w oparciu o trzy główne scenariusze. Poniższa tabela, oparta na strukturze rynku i otoczeniu regulacyjnym w 2025 roku, przedstawia „model transferu środków pierwszego poziomu”, kluczowe wskaźniki oraz prawdopodobieństwo zamrożenia i odzyskania środków:
Oś czasu sprawy można oszacować na podstawie powyższego modelu.
W ciągu pierwszych 24-72 godzin należy zwrócić szczególną uwagę na konsolidację i wczesne transfery środków. Jeśli ujawniony zostanie adres związany ze sprawą, a środki obejmują stablecoiny, należy natychmiast powiadomić emitenta o rozpoczęciu procedury czarnej listy; jeśli środki są w formie bitcoin lub ethereum, należy monitorować aktywność mikserów, mostów cross-chain oraz to, czy przed wypłatą na waluty fiducjarne środki zostaną zamienione na USDT.
Zgodnie z procedurami współpracy „Internet Crime Complaint Center”, jeśli środki trafią do miejsc wymagających KYC, zazwyczaj w ciągu 7-14 dni wydawany jest „asset preservation letter” i zamrażane są odpowiednie konta giełdowe.
W okresie 30-90 dni, jeśli pojawią się ścieżki transferu przez monety prywatności, śledztwo skupi się na śladach poza blockchainem, w tym analizie urządzeń, zapisach komunikacji oraz śladach związanych z oszustwem „fałszywego dostawcy” — prace nad śledzeniem środków prowadzone przez TRM Labs i podobne instytucje będą w tym etapie stopniowo postępować.
Portfele kryptowalutowe są stale udoskonalane, by przeciwdziałać fizycznym wymuszeniom
W 2025 roku zastosowanie „portfeli opartych na wielostronnych obliczeniach” i „portfeli z abstrakcją konta” zostało jeszcze bardziej rozszerzone, wprowadzając takie funkcje jak kontrola strategii, odzyskiwanie bez seed phrase, dzienne limity transferów oraz wieloskładnikowe procesy zatwierdzania — te rozwiązania zmniejszają ryzyko „pojedynczego punktu ujawnienia” klucza prywatnego podczas fizycznych wymuszeń (czyli klucz prywatny nie jest ujawniany przez jedno urządzenie lub etap).
Funkcje takie jak „timelock” na poziomie smart kontraktu (mechanizm opóźniający wykonanie transakcji) oraz „limit wydatków” mogą spowolnić transfer dużych środków, a w przypadku kradzieży konta dać czas na ostrzeżenie emitenta lub giełdy.
Te środki ochronne nie zastępują podstawowych zasad bezpieczeństwa dotyczących korzystania z urządzeń i ochrony domu, ale mogą zmniejszyć prawdopodobieństwo skutecznej kradzieży środków, jeśli złodziej uzyska dostęp do telefonu lub laptopa.
Raport San Francisco Chronicle przedstawia kluczowe fakty dotyczące sprawy, jednak na oficjalnej stronie policji w San Francisco nie opublikowano jeszcze specjalnego komunikatu na ten temat.
Dalszy przebieg sprawy będzie zależał od dwóch głównych czynników: czy adres docelowy zostanie ujawniony oraz czy emitenci stablecoinów lub giełdy otrzymają już zgłoszenia dotyczące weryfikacji i interwencji.
