- Сообщения
- 74
- Реакции
- 95
За последние полтора года закрылось больше площадок, чем за предыдущие пять лет вместе взятые. Nemesis, Kingdom, Bohemia, Incognito, BidenCash, Archetyp, Abacus — список такой, что уже проще перечислить тех кто ещё стоит. 270 арестов в 10 странах, $200 миллионов конфисковано, 2 тонны веществ изъято — и это только по одной операции RapTOR. А ведь были ещё Deep Sentinel, данные с EncroChat, наработки по ANOM. Короче, разберёмся что происходит, кто кого сдаёт и почему Tor перестал быть гарантией чего бы то ни было.
Хронология: как ложились площадки
Декабрь 2023 — немецкая BKA закрывает Kingdom Market. 42 000 товаров, сотни вендоров. Админ — словак по имени Alan Bill, ник "KingdomOfficial". Работал через Tor и I2P, принимал BTC, LTC, XMR, ZEC. Не помогло.
Март 2024 — Nemesis Market. 150 000 аккаунтов, 1 100 продавцов. Расследование шло с октября 2022, то есть полтора года площадка работала под наблюдением, а никто не знал. Админ — иранец Behrouz Parsarad, единолично рулил всем. Его не арестовали (сидит в Иране, недосягаем), но серверы в Германии и Литве изъяли, а на самого Parsarad повесили санкции OFAC и обвинение в Northern District of Ohio.
Тот же март 2024 — Incognito Market. Тут история другая: админ под ником Pharoah провернул exit scam, забрал деньги пользователей, а потом начал шантажировать всех вендоров и покупателей — от $100 до $20 000 за неразглашение истории транзакций и переписок. Дедлайн поставил 1 апреля, типа шутка. Но в мае 2024 его взяли в аэропорту JFK — 23-летний тайванец Rui-Siang Lin. $105 миллионов в крипте за четыре года работы, 640 000 транзакций. В феврале 2026 получил 30 лет федеральной тюрьмы. Судья сказала что за 27 лет карьеры не видела наркодела серьёзнее.
Июнь 2024 — Bohemia/Cannabia. Голландская полиция работала с конца 2022 года. Админа взяли в Схипхоле — классика, аэропорт. На пике площадка делала 67 000 сделок в месяц, €12 миллионов оборота только за сентябрь 2023. Конфисковали €8 миллионов в крипте.
2025 — год большой зачистки
Май 2025 — Operation RapTOR. Координация: JCODE (США) плюс Europol, 10 стран, 4 континента. 270 арестов: 130 в США, 42 в Германии, 37 в Великобритании, 29 во Франции, 19 в Южной Корее. Конфисковано: $200 миллионов в крипте и валюте, 2 тонны наркотиков, 144 кг фентанила, 180 стволов. Откуда взяли наводки — из данных закрытых площадок: Nemesis, Tor2Door, Bohemia, Kingdom. То есть каждая закрытая площадка — это не просто минус один маркетплейс, это базы пользователей, адреса доставки, переписки, кошельки. И всё это потом используется годами.
Июнь 2025 — BidenCash. Кардинг-площадка с 15 миллионами ворованных карт и 117 000 юзерами. $17 миллионов выручки. DOJ, Secret Service, голландская Politie — 145 доменов изъято, и clearnet и darknet. Все домены теперь редиректят на usssdomainseizure.com.
Тот же июнь — Archetyp Market, операция Deep Sentinel. 600 000 пользователей, €250 миллионов в транзакциях, 5 лет работы. 300 полицейских в шести странах. Админа — 30-летнего немца — взяли в Барселоне. Плюс модератор и крупные вендоры, всего 8 арестов.
Июль 2025 — Abacus Market. Тут exit scam: админ под ником Vitro увидел как взяли Archetyp за месяц до этого и решил не ждать — забрал ~$54 миллиона в BTC и свалил. Площадка контролировала 70% западного рынка, пиковые продажи $6.3 миллиона в месяц. Формально никого не арестовали, но деньги вендоров пропали.
Русский сегмент — другая история, но не легче
После Hydra (закрыта в апреле 2022, оборот $5.2 миллиарда) рынок раздробился. Первые 50 дней вся активность ушла на OMG!OMG!, потом появились BlackSprut и Mega. К 2025 году пятёрка русских площадок — MEGA, Kraken, BlackSprut, OMG!OMG!, Nova — обработала $1.85 миллиарда в BTC только за январь-сентябрь. Kraken один — $737 миллионов к концу 2024.
BlackSprut держит 28% глобального рынка. В феврале 2023 рекламировался на электронных билбордах в Москве — женщина в футуристической маске и текст "Приходи ко мне если ищешь лучшее". Дерзко, но доход уже падает — минус 13.6% к 2025.
Админ Hydra — Дмитрий Павлов, 30 лет, Москва. Арестован Мещанским судом, но экстрадиции нет (нет договора с РФ). Утверждает что просто хостил серверы и ни при чём. Классическая защита, но в его случае может сработать — именно потому что сидит в России.
Главное: после закрытия каждой крупной площадки координация миграции шла через форумы. В том числе через RuTOR. Это значит что форумы — такой же объект внимания, как и сами маркетплейсы.
Как именно ловят — конкретные провалы OPSEC
Можно сколько угодно говорить про Tor и шифрование, но людей ловят не на технологиях — а на тупых ошибках. Вот реальные кейсы:
Ross Ulbricht (Silk Road) — рекламировал площадку на Bitcoin-форуме с email [email protected]. Задавал вопросы на StackOverflow под реальным именем про разработку скрытого сервиса. Профиль на Mises Institute с реальным фото, совпадающим с LinkedIn. VPN-логи указали на кафе рядом с его квартирой в Сан-Франциско. При аресте ноутбук был открыт и разлогинен. Каждая из этих ошибок — приговор сама по себе, а тут всё вместе.
Alexandre Cazes (AlphaBay) — в заголовках писем при регистрации на площадке светился email [email protected]. Тот же email нашли в постах 2008 года от пользователя Alpha02, что совпало с ником админа. При аресте — ноутбук открыт, на нём файл "AlphaBay Assets" со списком машин и недвижимости купленной на выручку.
Gal Vallerius (Dream Market, "OxyMonster") — пересёк границу с ноутбуком, на котором были учётные данные Dream Market, PGP-ключ "OxyMonster" и $500 000 в BTC.
Вендоры AlphaBay — один использовал [email protected] для аккаунта с фентанилом. Другой выложил HD-фото руки с товаром — следователи сняли отпечатки пальцев с фотографии и сопоставили с базой.
Паттерн один: связь между реальной личностью и площадкой. Один email, один ник, одна фотография — и всё, цепочка собрана.
Мессенджеры-ловушки: EncroChat, ANOM, Sky ECC
Отдельная тема — зашифрованные мессенджеры которые оказались не совсем зашифрованными.
EncroChat — французы внедрили инструмент для перехвата прямо на серверы. 115 миллионов сообщений и фото перехвачено в реальном времени. Итог: 6 558 арестов, €900 миллионов изъято, 103 тонны кокаина, 971 автомобиль, 271 объект недвижимости, 923 ствола, 40 самолётов. Масштаб как у небольшой войны. Правда, в декабре 2024 берлинский суд признал эти данные недопустимыми — но это Германия, в большинстве стран приговоры уже вынесены.
ANOM — тут вообще кино. FBI и австралийская AFP сами создали "защищённый" мессенджер и раздали его преступникам. 800 арестов в 16 странах, 8 тонн кокаина, 22 тонны марихуаны, $48 миллионов наличных, 150 предотвращённых угроз жизни. Люди платили деньги за телефон который транслировал каждое их сообщение напрямую федералам.
Sky ECC — Europol мониторил 70 000 пользователей с февраля 2021. Бельгийский рейд — 1 600 полицейских, 200 обысков за один день. К 2023 году — 2 961 подозреваемый, суд осудил 119 человек, приговор на 1 500 страниц. В апреле 2025 — операция BULUT по наработкам Sky ECC и ANOM: ещё 232 ареста и €300 миллионов в конфискованных активах.
Вывод простой: если мессенджер набирает популярность среди определённой аудитории — рано или поздно его либо взломают, либо он изначально был ловушкой. Доверять можно только тому что контролируешь сам.
Крипто-трейсинг: BTC больше не анонимный
По данным Chainalysis за 2025 год — $154 миллиарда получено нелегальными адресами, рост 162% год к году. Инструменты типа Chainalysis Reactor, TRM Labs, Elliptic умеют строить графы транзакций, кластеризовать кошельки и привязывать их к реальным биржевым аккаунтам.
FBI через Chainalysis отследил выкуп Caesars Entertainment (ransomware) — деньги прогнали через десятки кошельков и Avalanche-бридж, но всё равно заморозили. Великобритания в 2025 изъяла 61 000 BTC. Нелегальные транзакции мигрируют на стейблкоины, но и там трейсинг работает — USDT на Tron замораживается по запросу правоохранителей напрямую через Tether.
Monero пока держится, но объёмы растут медленно — большинству проще работать с BTC и надеяться на авось. А авось уже давно не работает.
Куда всё перетекает
После падения Archetyp и exit scam Abacus западный рынок переехал на TorZon (запущен в 2022, 11 600 товаров). WeTheNorth держит канадский сегмент — строгая верификация, фокус на Северную Америку. STYX работает с финансовым криминалом — ворованные карты, банковские аккаунты, стилер-логи, initial access.
Русский сегмент по-прежнему крутится вокруг пятёрки площадок, но каждая из них живёт в тени Hydra и понимает что может стать следующей. Общий объём даркнет-маркетплейсов за 2025 — $2.6 миллиарда в крипте. Деньги никуда не делись, они просто стали быстрее перемещаться между площадками.
Что из этого следует
Каждая закрытая площадка — это не финал, а начало. Базы пользователей, переписки, адреса, кошельки — всё это ложится в расследования которые тянутся годами. Operation RapTOR построена на данных площадок закрытых за год-два до самой операции. Тебя могли деанонить ещё тогда, а арестовать приедут через полтора года — когда уже забудешь в чём дело.
OPSEC-провалы за 10 лет не изменились: один и тот же email на площадке и в реальной жизни, ник который гуглится, HD-фото с метаданными, незашифрованный ноутбук при пересечении границы. Технологии усложняются, а ошибки остаются человеческими.
Крипта отслеживается — BTC давно не анонимный, стейблкоины замораживаются по звонку, даже миксеры не дают гарантий. Мессенджеры компрометируются — причём иногда с самого начала. Площадки либо закрывают, либо их админы забирают деньги и исчезают.
Кто выживает — тот кто не оставляет связей между реальной личностью и площадкой, не доверяет чужой инфраструктуре и не думает что "меня это не коснётся". Потому что 270 арестованных тоже так думали.
Хронология: как ложились площадки
Декабрь 2023 — немецкая BKA закрывает Kingdom Market. 42 000 товаров, сотни вендоров. Админ — словак по имени Alan Bill, ник "KingdomOfficial". Работал через Tor и I2P, принимал BTC, LTC, XMR, ZEC. Не помогло.
Март 2024 — Nemesis Market. 150 000 аккаунтов, 1 100 продавцов. Расследование шло с октября 2022, то есть полтора года площадка работала под наблюдением, а никто не знал. Админ — иранец Behrouz Parsarad, единолично рулил всем. Его не арестовали (сидит в Иране, недосягаем), но серверы в Германии и Литве изъяли, а на самого Parsarad повесили санкции OFAC и обвинение в Northern District of Ohio.
Тот же март 2024 — Incognito Market. Тут история другая: админ под ником Pharoah провернул exit scam, забрал деньги пользователей, а потом начал шантажировать всех вендоров и покупателей — от $100 до $20 000 за неразглашение истории транзакций и переписок. Дедлайн поставил 1 апреля, типа шутка. Но в мае 2024 его взяли в аэропорту JFK — 23-летний тайванец Rui-Siang Lin. $105 миллионов в крипте за четыре года работы, 640 000 транзакций. В феврале 2026 получил 30 лет федеральной тюрьмы. Судья сказала что за 27 лет карьеры не видела наркодела серьёзнее.
Июнь 2024 — Bohemia/Cannabia. Голландская полиция работала с конца 2022 года. Админа взяли в Схипхоле — классика, аэропорт. На пике площадка делала 67 000 сделок в месяц, €12 миллионов оборота только за сентябрь 2023. Конфисковали €8 миллионов в крипте.
2025 — год большой зачистки
Май 2025 — Operation RapTOR. Координация: JCODE (США) плюс Europol, 10 стран, 4 континента. 270 арестов: 130 в США, 42 в Германии, 37 в Великобритании, 29 во Франции, 19 в Южной Корее. Конфисковано: $200 миллионов в крипте и валюте, 2 тонны наркотиков, 144 кг фентанила, 180 стволов. Откуда взяли наводки — из данных закрытых площадок: Nemesis, Tor2Door, Bohemia, Kingdom. То есть каждая закрытая площадка — это не просто минус один маркетплейс, это базы пользователей, адреса доставки, переписки, кошельки. И всё это потом используется годами.
Июнь 2025 — BidenCash. Кардинг-площадка с 15 миллионами ворованных карт и 117 000 юзерами. $17 миллионов выручки. DOJ, Secret Service, голландская Politie — 145 доменов изъято, и clearnet и darknet. Все домены теперь редиректят на usssdomainseizure.com.
Тот же июнь — Archetyp Market, операция Deep Sentinel. 600 000 пользователей, €250 миллионов в транзакциях, 5 лет работы. 300 полицейских в шести странах. Админа — 30-летнего немца — взяли в Барселоне. Плюс модератор и крупные вендоры, всего 8 арестов.
Июль 2025 — Abacus Market. Тут exit scam: админ под ником Vitro увидел как взяли Archetyp за месяц до этого и решил не ждать — забрал ~$54 миллиона в BTC и свалил. Площадка контролировала 70% западного рынка, пиковые продажи $6.3 миллиона в месяц. Формально никого не арестовали, но деньги вендоров пропали.
Русский сегмент — другая история, но не легче
После Hydra (закрыта в апреле 2022, оборот $5.2 миллиарда) рынок раздробился. Первые 50 дней вся активность ушла на OMG!OMG!, потом появились BlackSprut и Mega. К 2025 году пятёрка русских площадок — MEGA, Kraken, BlackSprut, OMG!OMG!, Nova — обработала $1.85 миллиарда в BTC только за январь-сентябрь. Kraken один — $737 миллионов к концу 2024.
BlackSprut держит 28% глобального рынка. В феврале 2023 рекламировался на электронных билбордах в Москве — женщина в футуристической маске и текст "Приходи ко мне если ищешь лучшее". Дерзко, но доход уже падает — минус 13.6% к 2025.
Админ Hydra — Дмитрий Павлов, 30 лет, Москва. Арестован Мещанским судом, но экстрадиции нет (нет договора с РФ). Утверждает что просто хостил серверы и ни при чём. Классическая защита, но в его случае может сработать — именно потому что сидит в России.
Главное: после закрытия каждой крупной площадки координация миграции шла через форумы. В том числе через RuTOR. Это значит что форумы — такой же объект внимания, как и сами маркетплейсы.
Как именно ловят — конкретные провалы OPSEC
Можно сколько угодно говорить про Tor и шифрование, но людей ловят не на технологиях — а на тупых ошибках. Вот реальные кейсы:
Ross Ulbricht (Silk Road) — рекламировал площадку на Bitcoin-форуме с email [email protected]. Задавал вопросы на StackOverflow под реальным именем про разработку скрытого сервиса. Профиль на Mises Institute с реальным фото, совпадающим с LinkedIn. VPN-логи указали на кафе рядом с его квартирой в Сан-Франциско. При аресте ноутбук был открыт и разлогинен. Каждая из этих ошибок — приговор сама по себе, а тут всё вместе.
Alexandre Cazes (AlphaBay) — в заголовках писем при регистрации на площадке светился email [email protected]. Тот же email нашли в постах 2008 года от пользователя Alpha02, что совпало с ником админа. При аресте — ноутбук открыт, на нём файл "AlphaBay Assets" со списком машин и недвижимости купленной на выручку.
Gal Vallerius (Dream Market, "OxyMonster") — пересёк границу с ноутбуком, на котором были учётные данные Dream Market, PGP-ключ "OxyMonster" и $500 000 в BTC.
Вендоры AlphaBay — один использовал [email protected] для аккаунта с фентанилом. Другой выложил HD-фото руки с товаром — следователи сняли отпечатки пальцев с фотографии и сопоставили с базой.
Паттерн один: связь между реальной личностью и площадкой. Один email, один ник, одна фотография — и всё, цепочка собрана.
Мессенджеры-ловушки: EncroChat, ANOM, Sky ECC
Отдельная тема — зашифрованные мессенджеры которые оказались не совсем зашифрованными.
EncroChat — французы внедрили инструмент для перехвата прямо на серверы. 115 миллионов сообщений и фото перехвачено в реальном времени. Итог: 6 558 арестов, €900 миллионов изъято, 103 тонны кокаина, 971 автомобиль, 271 объект недвижимости, 923 ствола, 40 самолётов. Масштаб как у небольшой войны. Правда, в декабре 2024 берлинский суд признал эти данные недопустимыми — но это Германия, в большинстве стран приговоры уже вынесены.
ANOM — тут вообще кино. FBI и австралийская AFP сами создали "защищённый" мессенджер и раздали его преступникам. 800 арестов в 16 странах, 8 тонн кокаина, 22 тонны марихуаны, $48 миллионов наличных, 150 предотвращённых угроз жизни. Люди платили деньги за телефон который транслировал каждое их сообщение напрямую федералам.
Sky ECC — Europol мониторил 70 000 пользователей с февраля 2021. Бельгийский рейд — 1 600 полицейских, 200 обысков за один день. К 2023 году — 2 961 подозреваемый, суд осудил 119 человек, приговор на 1 500 страниц. В апреле 2025 — операция BULUT по наработкам Sky ECC и ANOM: ещё 232 ареста и €300 миллионов в конфискованных активах.
Вывод простой: если мессенджер набирает популярность среди определённой аудитории — рано или поздно его либо взломают, либо он изначально был ловушкой. Доверять можно только тому что контролируешь сам.
Крипто-трейсинг: BTC больше не анонимный
По данным Chainalysis за 2025 год — $154 миллиарда получено нелегальными адресами, рост 162% год к году. Инструменты типа Chainalysis Reactor, TRM Labs, Elliptic умеют строить графы транзакций, кластеризовать кошельки и привязывать их к реальным биржевым аккаунтам.
FBI через Chainalysis отследил выкуп Caesars Entertainment (ransomware) — деньги прогнали через десятки кошельков и Avalanche-бридж, но всё равно заморозили. Великобритания в 2025 изъяла 61 000 BTC. Нелегальные транзакции мигрируют на стейблкоины, но и там трейсинг работает — USDT на Tron замораживается по запросу правоохранителей напрямую через Tether.
Monero пока держится, но объёмы растут медленно — большинству проще работать с BTC и надеяться на авось. А авось уже давно не работает.
Куда всё перетекает
После падения Archetyp и exit scam Abacus западный рынок переехал на TorZon (запущен в 2022, 11 600 товаров). WeTheNorth держит канадский сегмент — строгая верификация, фокус на Северную Америку. STYX работает с финансовым криминалом — ворованные карты, банковские аккаунты, стилер-логи, initial access.
Русский сегмент по-прежнему крутится вокруг пятёрки площадок, но каждая из них живёт в тени Hydra и понимает что может стать следующей. Общий объём даркнет-маркетплейсов за 2025 — $2.6 миллиарда в крипте. Деньги никуда не делись, они просто стали быстрее перемещаться между площадками.
Что из этого следует
Каждая закрытая площадка — это не финал, а начало. Базы пользователей, переписки, адреса, кошельки — всё это ложится в расследования которые тянутся годами. Operation RapTOR построена на данных площадок закрытых за год-два до самой операции. Тебя могли деанонить ещё тогда, а арестовать приедут через полтора года — когда уже забудешь в чём дело.
OPSEC-провалы за 10 лет не изменились: один и тот же email на площадке и в реальной жизни, ник который гуглится, HD-фото с метаданными, незашифрованный ноутбук при пересечении границы. Технологии усложняются, а ошибки остаются человеческими.
Крипта отслеживается — BTC давно не анонимный, стейблкоины замораживаются по звонку, даже миксеры не дают гарантий. Мессенджеры компрометируются — причём иногда с самого начала. Площадки либо закрывают, либо их админы забирают деньги и исчезают.
Кто выживает — тот кто не оставляет связей между реальной личностью и площадкой, не доверяет чужой инфраструктуре и не думает что "меня это не коснётся". Потому что 270 арестованных тоже так думали.
