10 рисков для тех, кто донатит и получает пожертвования в крипте

Прочитайте, прежде чем браться за кошелек

Это краткая версия рассылки «Теплицы социальных технологий». Каждую неделю мы рассказываем о самом важном в области технологий и безопасности: как уберечь свои данные, финансы и себя в условиях блокировок, шатдаунов и финансовых ограничений. На сайте публикуется ограниченная версия рассылке. Хотите получать полную? Подпишитесь!

Пока мировые крипторынки ждут нового американского законодательства, а российские держатели кошельков — заодно и набор отечественных ограничений. Ну, а мы решили суммировать все главные наборы рисков для тех, кто собирает и делает донаты в криптовалютах.

К сожалению, список очень длинный — точнее, наиболее короткий из возможных. Государства, криптобиржи, бизнес — все постарались, чтобы нам было сложнее безопасно делать донаты, да и просто платить в крипте. Но это не повод перестать использовать цифровые валюты для донатов. Город — опасное место, кирпич упасть может, машина сбить может, но мы же не перестаем передвигаться по нему. Так и с криптовалютами. Да, это отдельный мир с опасностями на каждом углу. Хорошая новость в том, что почти все эти риски предсказуемы. А, значит, и избегаемы.

Это своеобразный мини-чек-лист и краткий список всего, что стоит помнить. А более подробно о том, как минимизировать риски, можно почитать в специальном разделе у нас на сайте.

1. KYC‑биржи и фиатные он‑/офф‑рампы

  • Риск: Многие биржи и платежные шлюзы собирают и хранят паспортные данные, IP, историю операций и обязаны делиться ими с регуляторами и правоохранителями.
  • В зоне риска: Доноры и сборщики, которые через один и тот же KYC‑аккаунт делают и бытовые платежи, и чувствительные донаты; россияне, продолжающие пользоваться российскими биржами и банками за рубежом.
  • Решение:

    • Развести повседневные и чувствительные операции по разным платформам и кошелькам.
    • Выводить средства с бирж на свои кошельки, а не хранить там крупные суммы.
    • Понимать, что российские лицензированные платформы по умолчанию прозрачны для силовиков.

2. Travel Rule и «свои» кошельки

  • Риск: в ЕС провайдер обязан передавать данные об отправителе и получателе по всем криптопереводам; при суммах свыше €1000 через self‑hosted кошелек он должен удостовериться, что этот кошелек действительно ваш.
  • В зоне риска: Доноры и сборщики, работающие с европейскими CASP и крупными суммами. НКО, принимающие большие пожертвования из юрисдикций, которые банками считаются «странами высокого риска» (например, из России).
  • Решение:

    • Планировать маршруты заранее: какие юрисдикции и провайдеры вы используете, как выглядит экономический смысл платежа.
    • Не делать резких, трудно объяснимых переводов крупных сумм.
    • Стремиться использовать юрлица/фонды в предсказуемых правовых режимах.

3. Блокчейн‑аналитика (Chainalysis, TRM и др.)

  • Риск: Аналитические компании группируют адреса по кластерам, помечают связи с биржами, миксерами, санкционными сервисами; их данные используют регуляторы, налоговые и силовики.
  • В зоне риска: Все, чьи транзакции ходят через уже «отмеченные» биржи/миксеры, а также тех, чьи адреса публично связаны с организациями, которые в РФ признаны «террористическими», «экстремистскими» или «нежелательными».
  • Решение:

    • Не смешивать в одной цепочке чувствительные и бытовые потоки.
    • Понимать, что один засвеченный адрес останется связан с организацией навсегда.

4. Российские банки и платежные системы

  • Риск: Банки и платёжные агрегаторы в РФ обязаны отдавать силовикам данные о транзакциях. Платежи криптой, например, уже фигурируют в уголовных делах о поддержке ФБК.
  • В зоне риска: Все доноры и получатели средств внутри России. Россияне‑эмигранты, которые продолжают покупать/выводить крипту через российские карты и счета.
  • Что можно сделать:

    • Общий совет: если можно не использовать российские сервисы, не делайте этого.

5. Публичность реквизитов и цифровой след

  • Риск: Статические адреса на сайтах и в соцсетях, боты для донатов, скриншоты переводов и открытые чаты создают устойчивый след; помеченный властями адрес легко мониторить по всем входящим/исходящим транзакциям.
  • В зоне риска: Сборщики донатов, публичные активисты. Кроме того, доноры, которые показывают данные о пожертвованиях из своих криптокошельков, где можно идентифицировать плательщика.
  • Что можно сделать:

    • Использовать для сборов адреса, генерируемые под каждого донора (HD‑кошельки), а не один и тот же годами.
    • Не публиковать скриншоты и подробности чувствительных платежей.
    • Помнить, что открытая реклама реквизитов «экстремистской» или «нежелательной» организации сама по себе риск в РФ.

6. Статус получателя

  • Какой риск: после включения организации в «экстремистские» реестры любая помощь трактуется как финансирование незаконной, по мнению российских властей, деятельности. В России уже есть прецеденты с осуждением людей именно за криптодонаты организациям, признанным государством «экстремистскими» и «террористическими».
  • В зоне риска: Доноры и сборщики, связанные с такими организациями, в том числе живущие за пределами РФ.
  • Решение:

    • Если посещаете Россию, проверяйте статус организации в российских реестрах.

7. Миксеры и privacy‑монеты под прицелом

  • Риск: Миксеры и некоторые privacy‑инструменты сами становятся объектом санкций и уголовных дел. Tornado Cash и другие сервисы внесены в санкционные списки, их использование в ряде юрисдикций трактуется как нарушение санкций. Биржи массово делистят Monero/Zcash и блокируют депозиты с подозрительных миксеров.
  • В зоне риска: Пользователеи, полностью полагающиеся на миксеры и privacy‑монеты как на единственный щит, особенно если они потом идут через KYC‑офф‑рамп.
  • Решение:

    • Относиться к миксерам как к одному из инструментов, а не к «кнопке невидимости».
    • Следить за правовым статусом сервиса в своей юрисдикции и избегать явно санкционированных решений.

8. Адрес‑гигиена и повторное использование кошельков

  • Риск: Повторное использование адресов связывает все транзакции в одну историю, облегчая блокчейн‑аналитику; смешивание личных расходов, донатов и гонораров в одном кошельке разрушает разделение идентичностей.
  • В зоне риска: Активисты и НКО, использующие один адрес для всего, а также любые пользователи, которые «ленятся» разделять кошельки.
  • Решение:

    • Не переиспользовать адреса; заводить отдельные кошельки под разные роли: личное, организация, хранение, операции повышенного риска.
    • Не тащить все средства в один большой кошелек без необходимости.

9. Сетевой след: IP, устройства, мобильные кошельки

  • Риск: Сервисы и биржи логируют IP, устройство, браузер; провайдеры и операторы связи в ряде стран (включая РФ) обязаны хранить и выдавать эти данные. Мобильные кошельки стали основной целью атак: фишинг, малварь, поддельные обновления, перехват SMS‑кодов.
  • В зоне риска: Все, кто делает криптооперации, используя один профиль с соцсетями, почтой и основным номером телефона.
  • Решение:

    • Для операций с повышенным риском использовать VPN/Tor и по возможности отдельное устройство или хотя бы отдельный профиль браузера.
    • Не ставить криптоприложения из случайных источников, внимательно проверять домены и ссылки.
    • Поменять двухфаторную аутентификацию с смс на приложения‑аутентификаторы.

10. Безопасность ключей и резервных копий

  • Риск: Утечка seed‑фразы или компрометация устройства приводит не только к потере средств, но и к компрометации всей сети контактов и доноров.
  • В зоне риска: Сборщики, держащие крупные балансы, и активные доноры, использующие один и тот же ключевой набор для многих операций.
  • Решение:

    • Для значимых сумм использовать аппаратные кошельки и офлайн‑хранение seed‑фраз, а не фото и заметки в телефоне.
    • Шифровать устройства, ставить длинные пароли, по возможности использовать мультиподпись и распределение доступа в командах НКО.
    • Регулярно тренироваться в восстановлении кошелька из бэкапа и периодически пересматривать свою модель угроз.