Как работает AML-скрининг на криптобирже: что на самом деле видит compliance
«Я ничего не нарушал, почему меня заблокировали?» — самый частый вопрос в нашей почте. Ответ почти всегда в механике AML-движка: он оценивает не вас, а граф ваших транзакций. Разбираем, как это работает — без магии и упрощений.
Биржа не смотрит на вас. Она смотрит на граф
Когда вы делаете депозит, движок (Chainalysis KYT, TRM Labs, Elliptic — у крупных бирж их несколько) строит граф: откуда пришли токены, через какие адреса, с какими кластерами эти адреса связаны. Каждому известному кластеру присвоена категория: биржа, обменник, миксер, даркнет-маркет, санкционный сервис, скам-проект, игровая площадка.
Ваш депозит получает risk score — взвешенную оценку «загрязнённости» по всей цепочке. Ключевое слово — цепочке: токены, прошедшие через миксер за три перехода до вас, всё равно тянут риск в ваш скор.
Что такое «хопы» и почему вы отвечаете за чужие грехи
Хоп — один перевод в цепочке. Движки смотрят на 2–5 хопов вглубь в зависимости от настроек. Это значит: вы можете получить USDT от вполне легального контрагента, который получил их от обменника, принявшего грязный поток — и флаг достанется вам. Несправедливо? Да. Но так работает риск-модель: она минимизирует риск биржи, а не ваше удобство.
Почему блокировка приходит через месяцы после депозита
Атрибуция кластеров обновляется задним числом. Сегодня адрес «нейтрален», через полгода его свяжут со взломом или санкционным сервисом — и движок ретроспективно переоценит все транзакции, которые его касались. Поэтому «старые» депозиты внезапно становятся проблемой, а compliance просит объяснить перевод двухлетней давности.
Что триггерит чаще всего
P2P-потоки
Фиат и крипта от десятков незнакомых контрагентов — статистически самый грязный канал. Подробнее: разбор P2P-триангуляции.
Обменники без KYC
Депозиты с «анонимных» свопалок несут высокий базовый риск — туда сливают краденое.
Миксеры и прайваси-протоколы
Любое касание — почти гарантированный флаг, даже если вы «просто хотели приватности».
Санкционная близость
После 2022–2026 список санкционных кластеров растёт ежемесячно, и ретроспективные переоценки задевают всё больше историй.
Что делать, если флаг уже случился
Парадокс AML-кейсов: биржа не скажет, что именно триггернуло — это «раскроет методику». Поэтому первый шаг профессиональной работы — независимый форензик-отчёт по вашим адресам тем же классом инструментов: вы видите свой граф глазами биржи и понимаете, что объяснять (как именно движки строят этот граф — разбор методологии Chainalysis). Второй шаг — Source of Funds досье, закрывающее фиатную часть истории. Третий — один выверенный ответ compliance вместо серии панических тикетов.
Как снизить риск заранее
- Проверяйте входящие адреса до приёма средств — хотя бы контрактный блэклист-чек, в идеале — полный AML-скор.
- Избегайте депозитов напрямую с обменников без KYC — прогоняйте через собственный кошелёк с чистой историей, но помните: хопы не «смывают» след, лишь снижают вес.
- Держите документальный след каждой крупной сделки: кто, за что, по какому курсу.
- Не принимайте платежи от третьих лиц в P2P — имя плательщика должно совпадать с контрагентом.
И главное: если флаг случился — не паникуйте и не «разгоняйте» остатки по новым адресам. Это единственный способ сделать кейс хуже, чем он есть. Оцените свой сценарий через интерактивную оценку — честно скажем, нужна ли вам помощь вообще.