Як працює AML-скринінг на криптобіржі: що насправді бачить compliance
«Я нічого не порушував, чому мене заблокували?» — найчастіше питання в нашій пошті. Відповідь майже завжди в механіці AML-движка: він оцінює не вас, а граф ваших транзакцій. Розбираємо, як це працює — без магії і спрощень.
Біржа не дивиться на вас. Вона дивиться на граф
Коли ви робите депозит, движок (Chainalysis KYT, TRM Labs, Elliptic — у великих бірж їх кілька) будує граф: звідки прийшли токени, через які адреси, з якими кластерами ці адреси пов'язані. Кожному відомому кластеру присвоєна категорія: біржа, обмінник, міксер, даркнет-маркет, санкційний сервіс, скам-проєкт, гральний майданчик.
Ваш депозит отримує risk score — зважену оцінку «забрудненості» за всім ланцюжком. Ключове слово — ланцюжком: токени, що пройшли через міксер за три переходи до вас, усе одно тягнуть ризик у ваш скор.
Що таке «хопи» і чому ви відповідаєте за чужі гріхи
Хоп — один переказ у ланцюжку. Движки дивляться на 2–5 хопів углиб залежно від налаштувань. Це означає: ви можете отримати USDT від цілком легального контрагента, який отримав їх від обмінника, який прийняв брудний потік — і флаг дістанеться вам. Несправедливо? Так. Але так працює ризик-модель: вона мінімізує ризик біржі, а не вашу зручність.
Чому блокування приходить через місяці після депозиту
Атрибуція кластерів оновлюється заднім числом. Сьогодні адреса «нейтральна», за пів року її пов'яжуть зі зломом або санкційним сервісом — і движок ретроспективно переоцінить усі транзакції, що її торкались. Тому «старі» депозити раптом стають проблемою, а compliance просить пояснити переказ дворічної давнини.
Що тригерить найчастіше
P2P-потоки
Фіат і крипта від десятків незнайомих контрагентів — статистично найбрудніший канал. Детальніше: розбір P2P-тріангуляції.
Обмінники без KYC
Депозити з «анонімних» свопалок несуть високий базовий ризик — туди зливають крадене.
Міксери і прайвасі-протоколи
Будь-який дотик — майже гарантований флаг, навіть якщо ви «просто хотіли приватності».
Санкційна близькість
Після 2022–2026 список санкційних кластерів зростає щомісяця, і ретроспективні переоцінки зачіпають дедалі більше історій.
Що робити, якщо флаг уже стався
Парадокс AML-кейсів: біржа не скаже, що саме тригернуло — це «розкриє методику». Тому перший крок професійної роботи — незалежний форензик-звіт по ваших адресах тим самим класом інструментів: ви бачите свій граф очима біржі і розумієте, що пояснювати (як саме движки будують цей граф — розбір методології Chainalysis). Другий крок — Source of Funds досьє, яке закриває фіатну частину історії. Третій — одна вивірена відповідь compliance замість серії панічних тікетів.
Як знизити ризик наперед
- Перевіряйте вхідні адреси до прийому коштів — хоча б контрактний блекліст-чек, в ідеалі — повний AML-скор.
- Уникайте депозитів напряму з обмінників без KYC — проганяйте через власний гаманець із чистою історією, але пам'ятайте: хопи не «змивають» слід, лише знижують вагу.
- Тримайте документальний слід кожної великої угоди: хто, за що, яким курсом.
- Не приймайте платежі від третіх осіб у P2P — імʼя платника має збігатися з контрагентом.
І головне: якщо флаг стався — не панікуйте і не «розганяйте» залишки по нових адресах. Це єдиний спосіб зробити кейс гіршим, ніж він є. Оцініть свій сценарій через інтерактивну оцінку — чесно скажемо, чи потрібна вам допомога взагалі.